Manio

Segurança

Última revisão: April 2026

O Manio sincroniza suas transações bancárias com Google Sheets, YNAB e Notion. Utiliza acesso somente leitura via Open Finance regulado pelo Banco Central, criptografia AES-256-GCM para todos os dados armazenados e nunca armazena credenciais bancárias. Esta página documenta exatamente como o sistema funciona e quais controles de segurança estão em vigor.

Resumo rápido

  • Acesso somente leitura via Open Finance Brasil. O Manio nunca vê a senha do seu banco.
  • Open Finance é obrigatório e regulado pelo Banco Central do Brasil. Os bancos emitem tokens com escopo limitado, então pagamentos não são possíveis.
  • Você revoga nosso acesso a qualquer momento, com um toque, direto no app do seu banco.

Qual a diferença para entregar a senha do banco para um app?

O Open Finance Brasil é a alternativa regulada aos antigos apps que pediam senha do banco. Veja a diferença na prática.

 

Screen scraping

Apps antigos de finanças

Open Finance Brasil

O que o Manio usa

Quem vê a senha do seu banco?
O app terceiro armazena
Só o seu banco, o Manio nunca vê
O que o serviço consegue fazer?
Qualquer coisa que você faz logado
Apenas ler transações e saldos
Regulado pelo Banco Central?
Não
Sim, framework obrigatório e auditado
Como revogar o acesso?
Trocar a senha do banco e torcer
Um toque no app do seu banco
Consegue fazer Pix ou transferir dinheiro?
Sim, acesso total à conta
Tecnicamente impossível com esse token

Open Finance: Regulado pelo Banco Central do Brasil

O Manio se conecta ao seu banco através do Open Finance Brasil, o sistema oficial de compartilhamento de dados regulado pelo Banco Central do Brasil sob a Resolução Conjunta CMN/BCB nº 1/2020. Quando você conecta uma conta bancária, você autoriza a conexão diretamente no app ou site do seu banco. O Manio nunca vê sua senha bancária ou credenciais de acesso. O consentimento do Open Finance é granular e revogável. Você escolhe quais contas compartilhar e pode revogar o acesso a qualquer momento pelo app do seu banco. O consentimento tem prazo limitado e precisa ser renovado periodicamente. A cadeia de integração funciona assim. O Manio usa a POLP como camada de integração, e a POLP roteia as conexões reguladas com os bancos através da Pluggy Brasil Instituição de Pagamento LTDA. (CNPJ 37.943.755/0001-30). A Pluggy é uma Iniciadora de Transação de Pagamento (ITP) autorizada pelo Banco Central do Brasil sob a Resolução BCB nº 80/2021 e está listada no diretório oficial de participantes do Open Finance Brasil. Você verá o nome da Pluggy na tela de autorização do seu banco quando conceder o consentimento. É essa instituição autorizada pelo Banco Central que recebe a sua autorização.
Banco Central do Brasil explica o Open Finance
Vídeo oficial do Banco Central do Brasil, série BC te Explica nº 129. Não foi produzido pelo Manio. Assista no YouTube.

Criptografia: AES-256-GCM para Todos os Dados Sensíveis

Cada valor sensível armazenado em nosso banco de dados é criptografado usando AES-256-GCM, um padrão de criptografia autenticada usado por instituições financeiras no mundo todo. Isso inclui: • Tokens OAuth do YNAB, Google Sheets e Notion • Números de contas bancárias • Descrições de transações • Tokens de atualização de todos os serviços conectados Cada valor criptografado usa um vetor de inicialização (IV) aleatório único e inclui uma tag de autenticação para prevenir adulteração. As chaves de criptografia são armazenadas separadamente do banco de dados e nunca são expostas em logs da aplicação ou mensagens de erro.

Acesso Somente Leitura: Não Podemos Movimentar Seu Dinheiro

O Manio solicita acesso somente leitura aos seus dados bancários através do Open Finance. Isso significa que podemos ver suas transações e saldos, mas não podemos iniciar transferências, pagamentos ou qualquer outra operação financeira. O mesmo princípio se aplica aos seus destinos conectados. Para o Google Sheets, solicitamos a permissão mínima (drive.file), que permite acesso apenas às planilhas que você seleciona explicitamente ou que o Manio cria. Não temos acesso a outros arquivos no seu Google Drive. Para o YNAB, usamos OAuth limitado a ler orçamentos e criar transações nas contas que você selecionar. O Manio é listado no diretório oficial de aplicativos do YNAB como integração aprovada.

Autenticação e Controle de Acesso

As senhas dos usuários são hasheadas com bcrypt usando fator de custo que atende as recomendações atuais da OWASP. Senhas em texto puro nunca são armazenadas. Todos os endpoints da API exigem autenticação baseada em sessão. Cada rota que acessa dados do usuário verifica a sessão e limita todas as consultas ao ID do usuário autenticado, impedindo acesso cruzado entre contas. Os endpoints possuem rate limiting para prevenir abuso. Todas as entradas de usuário são validadas com schemas rígidos para prevenir ataques de injeção.

Infraestrutura e Segurança de Transporte

O Manio é hospedado na Vercel e usa HTTPS para todas as conexões. Headers de segurança são aplicados em cada resposta: • HSTS (Strict-Transport-Security) com max-age de dois anos, incluindo subdomínios • Content Security Policy (CSP) restringindo fontes de scripts, estilos e conexões • X-Frame-Options: DENY para prevenir clickjacking • X-Content-Type-Options: nosniff • Referrer-Policy: strict-origin-when-cross-origin Respostas de erro são sanitizadas para evitar vazamento de detalhes internos, tokens ou informações pessoais identificáveis para o cliente.

Seus Dados, Seu Controle

Você pode excluir sua conta a qualquer momento nas configurações do seu perfil. Quando você exclui sua conta, o Manio: • Desconecta todas as conexões bancárias através do provedor de Open Finance • Revoga todos os tokens OAuth armazenados • Remove suas sessões e dados de autenticação • Exclui os dados da sua conta do nosso banco de dados Você também pode revogar o consentimento do Open Finance a qualquer momento diretamente pelo app do seu banco, independentemente do Manio. Pagamentos são processados pelo Stripe. Não armazenamos números de cartão de crédito ou dados de pagamento em nossos servidores.

Perguntas Frequentes

O Manio armazena minha senha bancária?

Não. O Manio se conecta ao seu banco através do Open Finance Brasil, onde você autoriza o acesso diretamente no app do seu banco. Suas credenciais bancárias nunca são compartilhadas ou armazenadas pelo Manio.

O Manio pode transferir dinheiro da minha conta?

Não. O Manio tem acesso somente leitura aos seus dados bancários. Podemos ver transações e saldos, mas não podemos iniciar nenhuma operação financeira como transferências, pagamentos ou Pix.

Qual criptografia o Manio usa?

Todos os dados sensíveis são criptografados com AES-256-GCM, o mesmo padrão de criptografia autenticada usado por grandes bancos e provedores de nuvem. Cada valor é criptografado com um vetor de inicialização único e inclui uma tag de autenticação que detecta qualquer adulteração.

Posso revogar o acesso a qualquer momento?

Sim. Você pode revogar o consentimento do Open Finance diretamente pelo app do seu banco a qualquer momento. Também pode desconectar destinos ou excluir toda a sua conta pelas configurações de perfil do Manio.

O Manio acessa todo o meu Google Drive?

Não. Usamos o escopo drive.file, que permite acesso apenas às planilhas que você seleciona explicitamente ou que o Manio cria. Não podemos ver ou acessar nenhum outro arquivo no seu Google Drive.

Quem regula o Open Finance no Brasil?

O Banco Central do Brasil. O Open Finance Brasil é um framework regulatório onde toda instituição participante (banco ou Open Finance) precisa cumprir padrões de segurança, privacidade e técnicos definidos e fiscalizados pelo Banco Central. O Manio usa a POLP como camada de integração; a POLP roteia as conexões bancárias reguladas através da Pluggy Brasil Instituição de Pagamento LTDA., uma Iniciadora de Transação de Pagamento (ITP) autorizada pelo Banco Central sob a Resolução BCB nº 80/2021. É o nome da Pluggy que aparece na tela de consentimento do seu banco.

O Manio é seguro?

O Manio utiliza acesso somente leitura via Open Finance regulado pelo Banco Central do Brasil, criptografia AES-256-GCM para todos os dados armazenados, hashing de senhas com bcrypt e nunca armazena credenciais bancárias. É listado no diretório oficial de aplicativos do YNAB como integração aprovada. As conexões bancárias passam pela Pluggy, uma Iniciadora de Transação de Pagamento autorizada pelo Banco Central sob a Resolução BCB nº 80/2021. O seu banco só libera os dados depois que você autoriza o compartilhamento na tela do próprio banco, e você pode revogar o acesso a qualquer momento.

Confira você mesmo

Esses links levam diretamente aos órgãos reguladores e entidades que descrevemos nesta página. Use para verificar qualquer afirmação de forma independente.

Dúvidas sobre segurança?

Se você tem dúvidas ou preocupações sobre segurança, entre em contato pelo contato@manio.app. Priorizamos questões de segurança e respondemos em até um dia útil.