USPIX é o whitelabel de off-ramp USDT→PIX que a PSYCO entregou pro Thiago Moya tendo o Crypto2pay como referência funcional. Este documento compara as duas stacks lado a lado · performance, segurança, acessibilidade e LGPD · pra mostrar por que o whitelabel não foi cópia, foi upgrade técnico medido em produção.
Resumo direto do que o USPIX entrega de diferente. Cada item tem evidência técnica nas seções abaixo · números medidos em produção, sem opinião.
Next.js + Vercel não tem wp-login.php, xmlrpc.php nem REST API exposta · o conteúdo vem do código-fonte versionado em Git. Headers HSTS, CSP, X-Frame-Options declarados no next.config.ts · uma linha cada. O Crypto2pay original carrega tudo isso em aberto por padrão do WordPress.
USPIX entrega FCP em 584ms, Load em 564ms, 241 KB em 23 requests. O Crypto2pay original demora 4,5s pro primeiro pixel e 5,6s pro Load · 3 MB em 30 requests, incluindo um vídeo de hero de 2,3 MB carregado sem aparecer na rota de pagamento.
USPIX não dispara analytics nem tracker algum sem consent. O Crypto2pay original dispara GTM + GA4 + Google Ads remarketing antes de qualquer interação, sem banner, setando cookies persistentes · violação direta do Art. 8º da LGPD que o whitelabel já resolve.
Mesma ferramenta (Playwright headless, Chromium 130, viewport 1440×900), mesmo dia, mesma região de teste. Aviso: nav total considera networkidle · ambos foram aguardados até o último request fechar.
altDois ambientes distintos no original · institucional em WordPress sob hosting compartilhado e o app de pagamento como SPA Vite sem framework declarado. Mistura cara de manter, devagar pra evoluir · ambos resolvidos por uma única base Next.js no whitelabel.
| CMS | WordPress (não-versionado) |
| Runtime | Apache · PHP 8.3.30 |
| Hosting | GoDaddy · cPanel · p3plzcpnl509523 |
| Tema | custom · /themes/crypto2pay/ |
| Plugins críticos | Yoast 26.9 · WPML 4.9.0 · WP Rocket 3.20.3 |
| Smooth scroll | Lenis (não-minificado) |
| Schema.org JSON-LD | presente (gerado por Yoast) |
| hreflang | pt-br · en · es · zh-hans · x-default |
| HTML home | 72 KB |
| Hero PNG | 1,35 MB · sem WebP/AVIF · sem srcset |
| Build | Vite · bundle único hash-versionado |
| Framework | nenhum marker (React/Vue/Angular) |
| Tipografia | Gilroy self-hosted (4 pesos) + Rajdhani Google |
| Ícones | Font Awesome 6.5 · flag-icons CDN |
| Rajdhani usada? | não · custo morto carregando |
HTML lang | en · mesmo com ?lang=pt |
| Title | "Crypto2Pay" · sem hierarquia |
| Meta description | ausente |
| Open Graph | ausente |
| Server | Node minimal · Express-like (sem header) |
Zero security headers · administração do WP totalmente exposta · vetores conhecidos prontos pra exploração automática. Nada disso existe na base Next.js do whitelabel · não há painel admin público pra invadir.
/wp-login.php retorna 200 · sem 2FA · sem rate limit visível/wp-admin/ redireciona pro login · sem IP allowlist/xmlrpc.php ativo · vetor clássico de brute-force e amplificação pingback/?rest_route=/ + /wp-json/ respondem · enumeração de usuários via /wp/v2/users viávelSem Strict-Transport-Security, sem Content-Security-Policy, sem X-Frame-Options, sem X-Content-Type-Options, sem Referrer-Policy, sem Permissions-Policy.
Servidor expõe Server: Apache e X-Powered-By: PHP/8.3.30 · facilita o fingerprinting de CVE conhecido na versão exata.
robots.txt com Disallow: vazio · /wp-admin/, /wp-login.php e /wp-content/uploads/ indexáveis pelo Googlebot. Sitemap Yoast cita caminhos do plugin · serve como mapa pra atacante saber o que está instalado.
A chamada de cotação no wizard tem o param user=iliketech hardcoded na URL · parece ID de tenant ou conta interna exposto pro cliente. Vale revisar se isso deveria sair do front.
O wizard original tem quatro passos · em três deles encontramos atrito, contradição entre UI e validação ou contraste ilegível. Cada item abaixo virou requisito de design na entrega USPIX · onde dava pra resolver, resolvemos.
A interface mostra "Valor mínimo: 10,00 BRL". Ao tentar avançar, toast amarelo aparece dizendo "Valor precisa ser maior ou igual a R$ 50". UI e backend divergem · usuário fica perdido.
USPIX define mínimo único (10 USDT) declarado em um só lugar · sem toast surpresa.
No estado disabled, contraste do texto preto sobre o azul cyan #5CD3E9 fica em 1.04 · WCAG AA exige 4.5. O usuário não enxerga que o botão está bloqueado · clica, nada acontece, abandona.
Quatro campos obrigatórios · clicar em "Avançar" sem preencher não mostra erro inline algum. O botão simplesmente não responde. Não há feedback do que está faltando · atrito de descoberta sobre atrito de leitura.
O slider "Como funciona" abaixo do wizard repete o que o link "Como funciona" do header já faz. Espaço above-the-fold consumido por redundância em vez de redução de fricção.
O app deixa console.log("gravando no local br") rodando na carga · marker de debug que escapou. Pequeno, mas é tema recorrente quando não há pipeline de build/CI rigoroso · próximo log pode vazar dado sensível.
Link "Politica de Privacidade" sem o í no footer. Detalhe pequeno · mas em página legal, sinaliza que ninguém revisou.
Acessibilidade não é checkbox de ESG · é o que define se um screen reader, um crawler ou um teclado conseguem operar o site. O app original falha no básico · o whitelabel acerta porque foi escrito em componentes semânticos desde a primeira linha.
O scan encontrou 0 h1, 0 h2, 0 h3. Todo conteúdo está em <div>. Leitores de tela não conseguem navegar por seções · Google não consegue derivar tópicos.
USPIX renderiza 1 h1 + 6 h2 + 12 h3 · um por seção, hierarquia limpa.
alt.36 imagens no documento · apenas 11 têm alt (algumas vazias, decorativas) · 25 sem nenhum atributo alt. Imagens ilustrativas inacessíveis a leitor de tela.
Zero imagens com loading="lazy" · todas baixam de uma vez no first paint.
lang="en" em rota PT.Mesmo acessando ?lang=pt, o atributo lang do <html> permanece "en". Leitor de tela pronuncia o português com fonemas em inglês · resultado inutilizável.
Zero <header>, <nav>, <main>, <footer> nem atributos role no markup. Navegação por landmarks · impossível.
O Brasil tem a Lei Geral de Proteção de Dados desde 2018 · vigência efetiva em 2020. Operar PIX no BR sem consent management é exposição direta a ANPD e Procon. O USPIX nasceu sem analytics default · zero exposição enquanto o produto cresce.
No carregamento do pay.crypto2pay.com.br/cryptopix:
G-TM9181MC5H · ativoAW-17485903598 com remarketing · ativopagead/viewthroughconversion e 1p-user-list disparados na carga inicialZero banner de consentimento detectado no markup. Cookies persistentes (_ga, _gcl_au, _ga_TM9181MC5H) setados sem opt-in.
A LGPD exige aviso claro sobre tratamento de dados (finalidade, base legal, retenção, direitos do titular). No app crypto2pay, não há banner, modal, link de "Configurações de privacidade", "Configurar cookies" · nada. O único link existente é "Politica de Privacidade" no footer · sem acento e sem cookie management.
Footer declara endereço "8 The Green, Ste R, Dover, State of Delaware, Zip Code 19901" · operadora é LLC norte-americana atendendo usuário brasileiro via PIX. Estrutura jurídica legítima · mas amplifica obrigação de compliance LGPD pelo Art. 3º (alcance extraterritorial). Procon não pergunta endereço fiscal · pergunta se houve aviso claro ao consumidor.
No institucional, o cookie _icl_visitor_lang_js é setado direto pelo WPML (preferência de idioma · finalidade legítima). Mesmo assim, qualquer cookie persistente sem aviso já é exposição. Em Next.js, idioma vai no path (/pt, /en) · zero cookie necessário.
Não é hype de framework · é problema técnico específico resolvido por escolha de stack. Cada bullet abaixo aponta um problema do original e mostra como Next + Vercel apaga ele de uma vez no USPIX.
Next 15 com App Router gera HTML estático no build · Vercel serve do edge global. Resultado real medido no USPIX: FCP 584ms versus FCP 4.512ms do crypto2pay · sem CDN extra, sem plugin de cache, sem hack.
WP Rocket existe pra mascarar o peso do WordPress · em Next, nada disso é necessário.
next/image resolve AVIF, srcset e lazy.O hero PNG de 1,35 MB do crypto2pay viraria ~80 KB em AVIF com srcset responsivo, lazy load automático e blur placeholder · zero configuração no Next. Mesma imagem · 17× menos bytes.
WPML custa licença + plugin + cookie · Next faz i18n nativo via app/[locale]/.... SEO ganha (URLs limpas tipo /pt, /en), hreflang sai automático, sem cookie de idioma necessário.
Next não tem wp-login.php, xmlrpc.php, REST API exposta. Conteúdo vem do código-fonte · não tem CMS pra invadir. X-Frame-Options, HSTS, CSP declarados no next.config.ts · uma única linha cada.
Bonus: deploy via Git · cada mudança rastreável, com preview URL antes de produção.
Em Next, <Header>, <main>, <footer>, <nav> são padrão. <h1> hierarquizado é prática default de qualquer dev React mediano · não precisa lutar contra builder visual que renderiza tudo em <div>.
Next + Vercel não dispara analytics até você ligar. Quando ligar, frameworks como @vercel/analytics ou Plausible operam sem cookies (server-side, anônimo). Cookie banner vira plugin de 5 linhas · não dependência crítica.
WP exige atualização semanal de plugins (CVE comum em Yoast, WP Rocket, Elementor). Cada update pode quebrar layout · cada plugin desatualizado vira backdoor. Next vive de dependências npm versionadas no package.json · CI roda em segundos, rollback é um git revert.
Cada PR no Next + Vercel gera URL única tipo uspix- · stakeholder revisa antes de mergear. No WP, mudança é direto no banco · sem staging, sem rollback granular, sem versionamento.
O Thiago pediu uma página com a estrutura do Crypto2pay · a PSYCO entregou a mesma estrutura sobre uma stack que ganha em velocidade, segurança, acessibilidade e conformidade LGPD. Tudo isso resolvido por escolha de stack, antes mesmo de qualquer trabalho de UI.
Onde o whitelabel se posiciona pra revenda:
uspix.vc · serve de referência viva pra qualquer revendedor que comparar lado a lado.wp-login.