Seguridad y privacidad
Resumen práctico de qué datos tuyos guardamos, cómo, dónde, y qué puedes hacer para revocar acceso o eliminarlos.
Credenciales del broker
Cuando conectas tu cuenta MT4/MT5, las credenciales (login + password + server) viajan a través de nuestra API hacia MetaApi, que es quien mantiene la sesión permanente con tu broker. Nosotros no guardamos tu contraseña: MetaApi la cifra y la usa internamente.
Lo que sí guardamos en nuestra base de datos:
- El número de cuenta (login) — para mostrarlo en la UI ("ICM Real · 12345678").
- El nombre del server.
- El
metaapi_account_id— opaque ID que apunta a tu cuenta dentro de MetaApi.
Si quieres revocar: bot → 📊 Mis brokers → tap broker → 🗑 Eliminar. Nosotros borramos la fila y le pedimos a MetaApi que destruya el terminal asociado.
Sesión de Telegram
Para leer canales de Telegram el listener usa la API oficial de Telegram a tu nombre (Telethon). Tras la verificación con el código SMS, Telegram emite una StringSession — un token largo que representa la sesión.
Guardamos esa session string cifrada con AES-256 en nuestra DB (clave de cifrado en variables de entorno, separada de la DB). La usamos solo para leer mensajes de los chats que tú activaste explícitamente.
El bot NUNCA envía mensajes en tu nombre, no postea en canales, no busca contactos. Es read-only sobre los chats que tú apruebas.
Revocar: bot → /salir. O directamente en Telegram → Ajustes → Dispositivos → cerrar la sesión que tengas marcada como "CopySignal".
Pagos
Los pagos los procesa Stripe. Nosotros nunca vemos tu número de tarjeta — solo guardamos el stripe_customer_id opaque y el stripe_subscription_id. La parte sensible (PAN, CVC, expiración) la gestiona Stripe con su propio cifrado y compliance PCI.
Datos personales
Mínimos:
- Tu Telegram user ID (entero, ej. 1161930909).
- Tu Telegram username si lo tienes (ej.
@belmez). - Tu número de teléfono (necesario para la sesión Telethon).
- Tu locale preferido (ES / EN).
- Email solo si nos contactas o si te suscribes (Stripe lo pide).
No usamos pixels de tracking de terceros (FB, Google) en el bot ni en las Mini Apps. En la landing pública sí usamos un cookie banner que respeta tu elección.
Tokens de webhook
Cada webhook tiene su token único (wh_XXX) que va en la URL. Si se filtra, botón 🔄 Rotar token en la Mini App de Webhooks — la URL anterior deja de funcionar al instante. Opcionalmente, configura un secret HMAC para validar firmas (detalle en Webhooks).
Eliminar tu cuenta
Borra primero brokers, conexiones y webhooks desde el bot. Luego escríbenos a hola@copysignal.aiy borramos tu fila de usuarios + asociados en <72h. Las stats agregadas anónimas (totales, win rates) sí las conservamos para mejorar el producto, pero sin relación a ti.