Um olhar detalhado sobre como garantimos que os teus dados nunca são legíveis por ninguém a não ser tu.
Não é uma política — é uma propriedade da matemática.
Cada byte nos nossos servidores está selado com uma chave que nunca sai do teu dispositivo — e nada chega ao teu banco sem que o desbloqueies. O backend guarda apenas cifra e chaves públicas.
Um par de chaves ECDH P-256 é gerado no teu browser através da Web Crypto API. A chave privada é embrulhada com a tua frase-passe (PBKDF2) e guardada no IndexedDB — nunca sai do teu dispositivo.
O backend recebe apenas a chave pública — suficiente para cifrar dados para ti, mas matematicamente inútil para os decifrar.
Durante uma sincronização que autorizas, o backend obtém do teu banco e sela de imediato cada conta e transação com a tua chave pública (ECDH P-256 efémero + HKDF-SHA256 + AES-256-GCM) — cifra que pode escrever mas nunca ler.
Nada é guardado às claras — nem sequer o token de sessão do teu banco. Cada registo é apenas um envelope: chave pública efémera, nonce e cifra.
Só três coisas ficam nos nossos servidores — e nenhuma delas pode revelar os teus dados bancários.
Nunca guardado: dados bancários em texto simples. Guardamos apenas cifra que não conseguimos decifrar.
Obténs a cifra e decifra-la localmente. O browser e o cliente S2S headless correm o mesmo caminho de código, por isso as garantias criptográficas são idênticas.
Até o token de sessão bancária está cifrado com a tua chave. Uma sincronização só corre enquanto estás presente com a tua chave desbloqueada: decifrar a sessão → obter do teu banco → voltar a cifrar os resultados → descartar todo o texto simples.
Sem tarefas silenciosas, sem acesso permanente — sem a tua chave desbloqueada, não conseguimos obter nada do teu banco.
Servidor-a-servidor
Exporta a tua chave privada (JWK ou PKCS#8) e provisiona-a na tua própria infraestrutura. O cliente S2S headless usa o mesmo caminho de decifra que o browser, e a chave nunca sai de sistemas que tu controlas.
A exportação exige uma confirmação explícita da tua parte. A chave só se torna extraível nesse momento — em funcionamento normal, a cópia local mantém-se bloqueada no teu browser.