把自己的财务信息分享出去是一件郑重的事。下面写清楚 Mozaic 能做什么、不能做什么,以及我们如何把这块"被信任的面"缩到足够小、足够可防御。没有时髦词汇,没有"军用级"的表演——只是让后面段落成立的那些架构选择。
Mozaic 不会直接处理银行或券商的登录凭证。当您连接一个账户时,是您直接通过 Plaid(用于加拿大与美国的银行)或 SnapTrade(用于券商)登录到您的机构,凭证从您直接送到银行。Mozaic 只会收到一个不透明的访问令牌,且该令牌只能用于读取余额、持仓和交易——既不能用作您的身份登录,也不能用来取回您的密码。
Plaid 与 SnapTrade 均通过了 SOC 2 Type II 审计,所有传输均走 256 位 TLS,并在机构支持的地方采用 OAuth 或其银行专用等价方案。我们选择它们正是因为他们出售的产品本身就是金融数据基础设施所需的安全姿态——您之前接入过银行的每一个消费类应用(Venmo、Robinhood、Wealthsimple)跑在同一条铁轨上。当您在 Mozaic 中撤销一个连接时,底层的 Plaid 或 SnapTrade 令牌会在源头被吊销——机构立刻不再信任它。
Mozaic 持有的令牌只允许读取。它们无法发起转账、下单、修改持仓或更改受益人。这并不是一条未来版本可能放松的内部政策;这就是我们的集成在您连接账户时所申请的权限范围,也就是您的银行在颁发令牌前于授权页面用平易语言向您确认的内容。
这件事之所以重要,道理很简单:一个安全模型的强度取决于其最糟的可能失败。如果 Mozaic 有一天被攻破——无论是外部攻击者、内部恶意员工,还是代码里的一个 bug——最坏的情况也只是有人能看到您看到的那些数字。他动不了资金,下不了单,改不了您在银行的地址。只读把任何事故的影响半径压缩到"曝光",而不是"损失"。
您的数据位于 Google Cloud 的 northamerica-northeast1 区域——蒙特利尔数据中心。您账户中的信息不会复制到美国或欧盟的任何区域。我们选择加拿大数据驻留,是因为这与适用于我们绝大多数用户的两套隐私法规相一致:联邦层面的 PIPEDA,以及面向魁北克居民的魁北克 Loi 25。
这里使用 PIPEDA 与 Loi 25 的原文,是因为这些法律术语不应翻译——它们赋予您具体的权利:知晓我们保存了什么、要求更正、撤回同意,以及要求删除。落实这些权利的入口存在于产品中,而不仅是写在隐私政策里:数据导出与账户删除都是「设置」里的自助操作,而非排队等工单。
当您在「设置」中删除账户时,会在两条路径之间选择。默认是 30 天宽限期:您的数据被冻结,不再同步也无法访问,但保留为可恢复状态;这样如果您在一个月内改变主意,可以取消删除并从原处继续使用。30 天之后,删除操作执行,数据被永久抹除。
第二条路径是立即删除:目的地相同,但没有宽限期——抹除在请求中同步执行,您的数据在响应返回前就已消失。两种情况下您都可以先把全部历史导出为 CSV,并且都不存在保留漏洞——备份的轮换计划与删除窗口对齐,恢复出来的备份不可能用来复活已经超过窗口的被删账户。
您的浏览器与 Mozaic 之间流动的每一个字节都通过 HTTPS 传输,使用 TLS 1.2 或更高。HTTP 请求会在边缘被重定向到 HTTPS,并配有一年期的 HSTS 头,告诉浏览器在十二个月内拒绝任何降级尝试——敌对的网络环境因此无法把这条连接的 TLS 拆掉。
静态存储方面,敏感字段——Plaid 访问令牌、SnapTrade 用户密钥、MFA 恢复材料,以及交易历史中最能反映消费行为的部分(商户名称、描述、地点和账户名称)——在到达数据库之前已在应用层用 Fernet(AES-128-CBC 加上 HMAC-SHA256 鉴权标签)加密。底层 Cloud SQL 存储则由 Google 用托管密钥再次独立加密。实际效果是:即便有人直接读取数据库,得到的也是密文,而非可用凭证或消费明细。我们刻意不在公开文案里披露具体的密钥管理细节——分享整体架构是健康的;公布精确的派生参数只会便利攻击者。
既不卖给广告商,也不卖给数据经纪人、研究公司,不卖给任何人。Mozaic 不经营广告网络,不出售聚合或匿名化的数据集,也不参与消费类金融数据的转售产业。我们之所以能把它当作一项持久承诺而非空话,原因在于收入模型:订阅业务的钱来自用户;一旦用户从客户变成产品,模型就破了。
同样的逻辑在公司内部也适用。生产环境的访问仅限于一个小型创始团队,所有访问都会被审计,前面提到的敏感集成令牌在写入前就已加密——因此即便在事件响应过程中合法读取数据库,返回的也是密文而非可用的凭证。
身份认证由 Google Cloud Identity Platform(Firebase Authentication 背后的托管产品)负责。您登录后,浏览器收到一个短期的身份令牌(RS256,由 Google 签名),Mozaic 后端在每次请求时都会用 Google 的公钥进行验证。会话时长、刷新与撤销都由 Identity Platform 管理——这意味着您在一台设备上的硬登出能够干净地传播开来,被攻陷的会话也可以被集中地终止。
您可以在「设置」中启用 基于时间的一次性密码(TOTP)双因素认证,任何认证器应用都行——Google Authenticator、Authy、1Password、iOS 内置的「密码」应用。受信任设备令牌让您在已使用过的设备上可以跳过第二步,而对来自陌生机器的新登录依然保留完整保护。账户找回与邮件验证走的是 Google 的基础设施,也就是数十亿人用来保护其主邮箱的同一条链路。
最常被问到的五个问题。这里的答案与上面 FAQPage 结构化数据逐字对应——您读到的,就是 Google 读到的。
您准备好我们就开始。
查看价格 →