Un análisis detallado de cómo garantizamos que tus datos solo puedas leerlos tú.
No es una política, sino una propiedad de las matemáticas.
Cada byte en nuestros servidores queda sellado con una clave que nunca sale de tu dispositivo, y nada llega a tu banco a menos que lo desbloquees. El backend solo almacena texto cifrado y claves públicas.
Se genera un par de claves ECDH P-256 en tu navegador mediante la Web Crypto API. La clave privada se protege con tu frase de contraseña (PBKDF2) y se almacena en IndexedDB: nunca sale de tu dispositivo.
El backend recibe únicamente la clave pública: suficiente para cifrar datos dirigidos a ti, pero matemáticamente inútil para descifrarlos.
Durante una sincronización que tú autorizas, el backend obtiene los datos de tu banco y sella de inmediato cada cuenta y transacción con tu clave pública (ECDH P-256 efímera + HKDF-SHA256 + AES-256-GCM): texto cifrado que puede escribir pero nunca leer.
Nada se guarda en claro, ni siquiera el token de sesión de tu banco. Cada registro es simplemente un sobre: clave pública efímera, nonce y texto cifrado.
Solo tres cosas residen en nuestros servidores, y ninguna de ellas puede revelar tus datos bancarios.
Nunca se almacena: datos bancarios en claro. Solo conservamos texto cifrado que no podemos descifrar.
Obtienes el texto cifrado y lo descifras localmente. El navegador y el cliente S2S headless ejecutan la misma ruta de código, por lo que las garantías criptográficas son idénticas.
Incluso el token de sesión bancaria está cifrado con tu clave. Una sincronización solo se ejecuta mientras estás presente con tu clave desbloqueada: descifrar la sesión → obtener los datos de tu banco → volver a cifrar los resultados → descartar todo el texto en claro.
Sin tareas silenciosas ni acceso permanente: sin tu clave desbloqueada, no podemos obtener nada de tu banco.
De servidor a servidor
Exporta tu clave privada (JWK o PKCS#8) y provisiónala en tu propia infraestructura. El cliente S2S headless usa la misma ruta de descifrado que el navegador, y la clave nunca sale de sistemas que tú controlas.
La exportación requiere una confirmación explícita por tu parte. La clave solo pasa a ser extraíble en ese momento; en el funcionamiento normal, la copia local permanece bloqueada en tu navegador.