Política de privacidad

Cuando usás Maxito recolectamos solo lo necesario para que el producto funcione:

• Email: lo usás como identificador único de tu cuenta y para recuperar acceso si perdés el código.
• Display name: opcional, el que vos elegís.
• Datos financieros que vos cargás: cuentas, transacciones, holdings (acciones / CEDEARs / crypto), categorías, alertas de precio. Vos los ingresás manualmente o via bot de Telegram.
• Hash de tu código de acceso (HMAC-SHA256). No guardamos el código original — solo un hash con el que podemos verificarlo al loguearte.
• Chat ID de Telegram (opcional): solo si vinculás el bot, para mandarte mensajes y recibir comandos.
• Logs técnicos: timestamps de login, intentos fallidos, IP hasheada (para rate-limit anti-spam). No guardamos IP en claro.

NO recolectamos: contraseñas (Maxito no usa contraseñas — usa códigos de acceso de un solo uso), datos biométricos, ubicación, contactos, ni info de redes sociales.

• Mostrarte tu dashboard, portfolio y proyecciones.
• Mandarte código de verificación cuando creás cuenta o pedís recuperar tu código.
• Notificarte cuando se dispara una alerta de precio (si vinculaste el bot).
• Prevenir abuso (rate-limit anti-bot, anti-spam).
• Estadísticas agregadas anónimas (cuántos usuarios activos hay, qué features se usan) para mejorar el producto. Nunca personales.

No vendemos tus datos. Maxito no tiene programas de afiliados con brokers, ni partners de marketing que reciban tu info.

Tus datos viven en Supabase, una plataforma de backend con base de datos PostgreSQL hospedada en regiones de AWS (US East / EU West, según asignación). Cada usuario tiene sus datos aislados por Row Level Security a nivel Postgres, lo que significa que las queries de un usuario no pueden ver datos de otro, ni siquiera si hubiera un bug en la app.

El sitio se sirve desde Netlify (edge CDN global) y el DNS pasa por Cloudflare.

• Supabase — auth y base de datos. Su política: supabase.com/privacy.
• Netlify — hosting y CDN.
• Cloudflare — DNS, SSL y Turnstile anti-bot.
• Resend — envío de emails transaccionales (códigos de acceso, recuperación).
• Telegram — solo si vinculás el bot. El chat ID es lo único que persistimos.
• Yahoo Finance, data912, Binance, dolarapi, argentinadatos — APIs públicas de precios. No reciben datos tuyos: solo tickers que querés consultar.
• Gemini (Google) — solo si usás OCR para importar holdings via screenshot. La imagen se procesa y descarta; Google tiene políticas de retención propias para sus APIs.
• TradingView — embed de charts. Si lo activás, TradingView puede setear sus propias cookies. Su política: tradingview.com/policies.
• Google Analytics 4 — métricas anónimas de tráfico (pageviews, países, dispositivos). No le mandamos a Google tu email, datos financieros, ni tickers de holdings. Solo rutas visitadas y tiempos de sesión agregados. IP anonymización activa por default en GA4. Política: policies.google.com/privacy.

Maxito usa solo las cookies y storage estrictamente necesarios:

• Cookies de sesión Supabase (HttpOnly, Secure, SameSite=Lax). Mantienen tu sesión activa entre páginas.
• localStorage: preferencias de UI (modo Simple/Avanzado seleccionado, balance visibility toggle, progreso del tutorial). Nada sensible.
• Cookies Google Analytics (_ga, _ga_*): identifican de forma anónima una sesión para que las métricas de tráfico agregadas funcionen. No nos permiten identificarte personalmente.

No usamos cookies de tracking publicitario. No tenemos pixel de Facebook, Google Ads, ni equivalentes.

Vos podés en cualquier momento:

• Ver tus datos — el dashboard y la sección transacciones te muestran todo.
• Editar/borrar — desde la app misma podés borrar cuentas, transacciones, holdings, alertas.
• Cambiar tu código de acceso desde tu perfil o via /login/recuperar.
• Pedir la eliminación completa de tu cuenta y todos tus datos: escribinos a hola@maxito.com.ar con el subject "Borrar cuenta". Cumplimos en 72hs hábiles.
• Solicitar tus datos exportados — escribinos al mismo mail y te enviamos un JSON con todo lo que tenemos sobre vos.

• HTTPS obligatorio (HSTS preload).
• Códigos de acceso hasheados con HMAC-SHA256.
• 2FA TOTP opcional (Google Authenticator / Authy / 1Password).
• Row Level Security en Postgres por cada tabla con datos del usuario.
• Anti-bot en signup/login (Cloudflare Turnstile + honeypot + rate-limit por IP y email).
• Service role key del backend nunca expuesta al cliente. Solo server-side via Edge Functions auditadas.

Ningún sistema es 100% seguro. Si detectás una vulnerabilidad, reportala responsablemente a hola@maxito.com.ar.

Maxito no está dirigido a menores de 18 años. Si sos menor, pedile a un adulto responsable que abra la cuenta y supervise tu uso.

Si actualizamos esta política, cambiamos la fecha de "Última actualización" al inicio. Si el cambio es material (afecta cómo usamos tus datos), te notificamos por email antes de que entre en vigencia.

Cualquier pregunta sobre esta política o tus datos: hola@maxito.com.ar.

Responsable: Máximo Serafini, Argentina. Esta política se rige por las leyes de la República Argentina (Ley 25.326 de Protección de Datos Personales).