01 · Conexiones
Conexiones de grado bancario vía Plaid y SnapTrade
Mozaic no maneja directamente las credenciales bancarias o de corretaje. Cuando conectas una cuenta, te identificas con tu institución a través de Plaid (para bancos canadienses y estadounidenses) o SnapTrade (para casas de corretaje), y las credenciales pasan directamente de ti al banco. Mozaic solo recibe un token de acceso opaco que únicamente sirve para leer saldos, posiciones y transacciones — nunca para autenticarse como tú, nunca para recuperar tu contraseña.
Tanto Plaid como SnapTrade están auditados SOC 2 Tipo II, transportan todo sobre TLS de 256 bits y utilizan OAuth o sus equivalentes bancarios siempre que las instituciones lo soportan. Los elegimos precisamente porque su postura de seguridad es la única infraestructura de datos financieros que venden — cada otra aplicación de consumo que has conectado a tu banco (Venmo, Robinhood, Wealthsimple) corre sobre las mismas vías. Cuando revocas una conexión en Mozaic, el token subyacente de Plaid o SnapTrade se revoca en origen — la institución deja de confiar en él de inmediato.
02 · Permisos
Solo lectura por diseño — y no por promesa
Los tokens que Mozaic guarda solo permiten lecturas. No pueden iniciar una transferencia, ejecutar una operación, modificar una posición ni cambiar un beneficiario. No es una política interna que pudiera flexibilizarse en una versión futura; es el alcance de los permisos que nuestras integraciones solicitan cuando conectas una cuenta, y es lo que la pantalla de autorización de tu banco te confirma en lenguaje claro antes de emitir el token.
La razón por la que esto importa es simple: un modelo de seguridad solo vale lo que vale su peor fallo posible. Si Mozaic alguna vez se viera comprometido — por un atacante externo, por un empleado deshonesto, por un bug — lo peor que podría pasar es que alguien viera los mismos números que tú ves. No podría mover fondos, no podría operar, no podría cambiar tu dirección en el banco. La solo lectura reduce el radio de impacto de cualquier incidente a "exposición", no a "pérdida".
03 · Jurisdicción
Residencia de datos en Canadá, conforme con PIPEDA y la Loi 25 de Quebec
Tus datos viven en la región northamerica-northeast1 de Google Cloud — el centro de datos de Montreal. Nada de la información de tu cuenta se replica a regiones de EE. UU. ni de la UE. Elegimos la residencia canadiense porque se alinea con los dos regímenes de privacidad que aplican a la mayoría de nuestros usuarios: PIPEDA a nivel federal, y la Loi 25 de Quebec para residentes de Quebec.
PIPEDA y la Loi 25 se nombran aquí por su nombre legal porque los términos jurídicos no se traducen — te conceden derechos concretos: saber qué guardamos, corregirlo, retirar el consentimiento, y el derecho al borrado. Los puntos donde se ejercen estos derechos existen en la aplicación, no solo en la política de privacidad: la exportación y la eliminación de datos son autoservicio desde Ajustes, no una cola de tickets.
04 · Eliminación
Ventana de gracia de 30 días — o eliminación inmediata y síncrona
Cuando eliminas tu cuenta desde Ajustes, eliges entre dos caminos. El predeterminado es una ventana de gracia de 30 días: tus datos quedan bloqueados de sincronización y de acceso, pero se conservan recuperables, así que si cambias de opinión durante ese mes puedes cancelar la eliminación y retomar donde lo dejaste. Pasados 30 días, la eliminación se ejecuta y tus datos se borran de forma permanente.
El segundo camino es eliminar de inmediato: mismo destino, sin ventana de gracia — el borrado se ejecuta de forma síncrona dentro de la petición, y tus datos desaparecen antes de que vuelva la respuesta. En ambos casos puedes exportar todo tu historial en CSV antes, y en ambos casos no hay agujeros de retención — las copias de seguridad rotan en un calendario alineado con las ventanas de eliminación, así que una copia recuperada no puede usarse para resucitar una cuenta eliminada más allá de su ventana.
05 · Cifrado
Cifrado en tránsito y en reposo
Cada byte que se mueve entre tu navegador y Mozaic viaja sobre HTTPS con TLS 1.2 o superior. Las peticiones HTTP se redirigen a HTTPS en el borde, y una cabecera HSTS con un año de duración indica a los navegadores que rechacen cualquier intento de degradación durante doce meses, de modo que una red hostil no pueda arrancarle el TLS a la conexión.
En reposo, los campos sensibles — los tokens de acceso de Plaid, los secretos de usuario de SnapTrade, el material de recuperación de MFA, y las partes más reveladoras de tu historial de transacciones (nombres de comercios, descripciones, ubicaciones y nombres de cuentas) — se cifran a nivel de aplicación con Fernet (AES-128-CBC más una etiqueta de autenticación HMAC-SHA256) antes incluso de llegar a la base de datos. El almacenamiento subyacente de Cloud SQL está cifrado de forma independiente por Google con claves gestionadas. Efecto práctico: incluso el acceso directo de lectura a la base devuelve texto cifrado, no credenciales ni el detalle de tus gastos. Mantenemos a propósito los detalles concretos de gestión de claves fuera de la copia pública — la arquitectura general es saludable compartirla; los parámetros exactos de derivación no ayudan a nadie salvo a un atacante.
06 · Uso de datos
No vendemos tus datos
Ni a anunciantes, ni a corredores de datos, ni a firmas de investigación, a nadie. Mozaic no opera una red publicitaria, no vende conjuntos de datos agregados ni anonimizados, y no participa en la industria de reventa de datos financieros de consumo. La razón por la que podemos comprometernos a esto de forma duradera y no aspiracional es el modelo de ingresos: un negocio por suscripción lo pagan los usuarios; en el momento en que un usuario se convierte en producto en lugar de cliente, el modelo se rompe.
La misma lógica aplica internamente. El acceso a producción está limitado a un pequeño equipo fundador, todos los accesos quedan auditados, y los tokens de integración sensibles descritos arriba se cifran antes de escribirse — por lo que incluso las lecturas legítimas de la base durante una respuesta a incidentes devuelven texto cifrado en lugar de credenciales utilizables.
07 · Inicio de sesión
Inicio de sesión vía Identity Platform, con MFA y dispositivos de confianza opcionales
La autenticación la gestiona Google Cloud Identity Platform (el producto administrado detrás de Firebase Authentication). Cuando inicias sesión, tu navegador recibe un token de identidad de corta duración (RS256, firmado por Google) que el backend de Mozaic verifica contra las claves públicas de Google en cada petición. La duración de sesión, el refresco y la revocación los gestiona Identity Platform — lo que significa que un cierre de sesión en un dispositivo se propaga limpiamente, y una sesión comprometida puede matarse centralmente.
Puedes activar la autenticación de dos factores por contraseña de un solo uso (TOTP) desde Ajustes con cualquier aplicación autenticadora — Google Authenticator, Authy, 1Password, la app Contraseñas de iOS. Los tokens de dispositivos de confianza te permiten saltarte el segundo factor en dispositivos que ya has usado, sin debilitar la protección al iniciar sesión desde una máquina desconocida. La recuperación de cuenta y la verificación de correo pasan por la infraestructura de Google, es decir, la misma cadena en la que ya confían miles de millones de personas para su correo principal.