¿Es seguro el capital personal? Explicación de la seguridad del capital personal

Utilizo Personal Capital mensualmente para recopilar información sobre mi patrimonio neto . Lo he estado haciendo durante más de una década .

Cuando le digo a la gente que uso una herramienta para hacerlo, todos me hacen la misma pregunta: ¿es seguro el capital personal?

La seguridad es una de las mayores preocupaciones que tiene la gente con cualquier agregador o herramienta financiera. Ya sea Mint, Personal Capital o algún otro servicio, poner sus datos en la “nube” puede resultar desconcertante. Esto es especialmente cierto dada la cantidad de hacks que hemos visto recientemente. Equifax, una de las mayores agencias de informes crediticios, fue pirateada y se robaron sus datos a 143 millones de consumidores. Fue enorme.

¿Cómo sabe que sus datos estarán seguros en otra empresa?

Todo se reduce a dos partes clave: cómo protegen su información cuando la tienen y cómo protegen la transmisión de su información mientras la obtienen.

Dos áreas clave de seguridad

Cuando se trata de aplicaciones financieras y seguridad, hay dos piezas clave a tener en cuenta:

  1. ¿Qué tan seguros son mis datos ? Cuando le da a la herramienta sus datos, ¿cómo se almacenan y protegen? ¿Qué se almacena y dónde se almacena? ¿Cómo se monitorea a los empleados para prevenir cualquier tipo de robo?
  2. ¿Qué tan segura es la conexión ? Cuando se comunica con la herramienta, ¿qué tan segura es esa conexión? Cuando inicia sesión, cuando ve sus datos, cuando actualiza algo, cuando les da sus credenciales ... la transmisión de esos datos está sujeta a riesgos.

La información que ingresa al sistema debe estar segura en su lugar de almacenamiento. La forma en que comunique esa información también debe ser segura.

¿Qué tan seguros están mis datos en la nube?

Una de las mayores preocupaciones que tienen las personas con herramientas como Personal Capital es tener sus datos en la "nube".

Me acerqué a David M. Parker, asistente. Prof., Div. de Contabilidad y Finanzas y Director del Centro para el Estudio del Fraude y la Corrupción de la Universidad de Saint Xavier, por sus reflexiones sobre servicios como Mint y Personal Capital. Compartió algunas ideas valiosas sobre cómo sopesar los posibles riesgos y recompensas de usar herramientas basadas en la nube:

David M. Parker, Asistente. Prof., Div. de Contabilidad y Finanzas y Director del Centro para el Estudio del Fraude y la Corrupción

Con respecto a las ideas generales sobre el almacenamiento de datos en la nube al entregar sus datos a Amazon, Microsoft, Dropbox, Equifax, su banco, Google, Facebook o quien sea ... ¿es seguro? Las noticias recientes revelan las muchas, muchas empresas que han sufrido violaciones de datos a manos de los ciberdelincuentes.

¿Pueden robar sus datos si los entrega a la nube? sí.

Entonces, decides mantener tus datos seguros en casa. ¿Puede ser robado? También sí. Los ciberdelincuentes pueden irrumpir en la computadora de su hogar, el wifi de su hogar, el termostato o timbre con acceso a Internet, etc.

Los puntos a favor de la nube incluyen que una gran empresa como Amazon o Microsoft podría tener más recursos y ser mejor en seguridad defensiva que tú en casa. Y, sin duda, lo mejor para su negocio es hacer todo lo posible por mantenerse seguros. También ofrecen almacenamiento redundante en la medida en que no solo almacenaría sus datos en casa, donde su disco duro podría explotar o su casa quemarse con sus datos en él. Por tanto, suele ser un riesgo aceptable.

No tengo experiencia personal directa con Mint o Personal Capital. Mi comprensión de estos servicios de agregación de datos financieros de terceros es que funcionan reuniendo todos sus datos financieros en un solo lugar y ofreciendo a sus clientes la conveniencia resultante de los agradables gráficos y tablas. Esto significa que necesitan trabajar con su banco, corredor, etc. para tener acceso a sus transacciones. La extensión y el tipo de acceso que podrán obtener puede depender de si la institución financiera los ve como un socio o un competidor.

Un tema que me viene a la mente es el tamaño de la superficie de ataque. Si su banco y su agregador tienen una copia de su información, le da al criminal dos posibles objetivos para robarla. Además, si toda su información se recopila en un solo lugar, en lugar de tener que acceder a varias cuentas, el delincuente ahora tiene una ventanilla única.

Siempre habrá riesgos. Ningún sistema será jamás perfectamente seguro. Siempre habrá vulnerabilidades y malas personas dispuestas a explotarlas. Pero siempre se trata de un juicio individual sobre si el riesgo es razonable o mínimo en comparación con el beneficio del servicio.

Sus datos no están 100% seguros en casa y no están 100% seguros en la nube.

Pero las empresas en las que confía sus datos tendrán medidas de seguridad ("seguridad defensiva") para protegerlo.

Echemos un vistazo más de cerca a Personal Capital y lo que hacen para proteger sus datos.

¿Qué tan seguros están mis datos en Personal Capital?

¿Le preocupa que sus datos se almacenen en los servidores de Personal Capital ?

El tipo con el que quiere hablar cuando se trata de seguridad en Personal Capital es Fritz Robbins. Es su director de tecnología y director de información. Tiene más de 20 años de experiencia en su campo, incluido un período de tres años como arquitecto de sistemas en RSA Security y 8 años dirigiendo su propia empresa de ingeniería de software de ciclo de vida completo. Tiene una maestría en Ciencias de la Computación de la Universidad de Stanford para empezar.

(también, por lo que vale, el fundador de Personal Capital, Bill Harris, cofundó PassMark Security, una compañía que construyó sistemas de autenticación en línea utilizados por la mayoría de los bancos importantes, y Fritz Robbins también estaba con esa compañía)

Le pregunté a Fritz sobre seguridad y mencionó algunos de los puntos en los que profundizaré a continuación:

Fritz Robbins, CTO / CIO de Personal Capital

Nuestro punto de vista es que ver sus cuentas bancarias y de corretaje a través de Personal Capital es * más seguro * que ir directamente al sitio bancario / de corretaje desde su navegador. Tocaste muchas de las razones por las que:

  1. Sus credenciales se almacenan en un centro de datos seguro en lugar de transmitirse siempre a través del navegador del usuario (generalmente menos seguro)
  2. La conexión es de solo lectura y no se puede transferir dinero desde su cuenta bancaria / de corretaje a través de Personal Capital, y sus contraseñas bancarias / de corretaje nunca se devuelven a su navegador desde nuestros servidores.
  3. Nuestro servicio le brinda notificaciones de todas las transacciones bancarias / de corretaje (a través de correo electrónico o notificaciones automáticas móviles) que le facilitan el control de sus cuentas bancarias / corretaje para detectar fraudes, ¡todo en un solo lugar!

No en vano, pero conocer las habilidades de seguridad del equipo detrás de Personal Capital me da la confianza de que están en la cima de su juego.

Hay dos formas en que Personal Capital mantiene sus datos seguros:

  • Utilizan un cifrado muy potente y,
  • Tienen estrictos controles de acceso internos.

function showhideprimer() {
var x = document.getElementById("encryption");
if (x.style.display === "none") {
x.style.display = "block";
} else {
x.style.display = "none";
}
}

Introducción rápida al cifrado

( haga clic para expandir esta sección y leer un manual sobre cifrado )

Encryption is fascinating. The basic idea behind encryption is that you have two keys, a public key and a private key.

If you want to encrypt something that only I can read, you need my public key. You encrypt your message with my public key and then give the encrypted message. The only way to decrypt it is by using my private key (which I would never share). If I want to send you something encrypted, I will need your public key to encrypt it. Then only you can decrypt it using your private key.

Fundamentally, modern encrypted communications all work this way. There are variations to make it more secure, depending on your needs (more hoops = more secure = more time).

For example, one classic variation is to rely on “session” keys rather than “permanent” ones. It’s like using a temporary credit card number rather than your actual one. For every conversation, you create new keys that expire after the session is over.

Another variation is how we get the public keys to one another. We can just publish them, and that’s typically fine, or we can use what’s known as the Elliptic Curve Diffie-Hellman (ECDHE) key exchange. It’s more temporary keys that only the two of us would use for this single session. This is what Personal Capital uses.

AES-256 es un cifrado muy serio.

Cuando ingresa sus credenciales bancarias en Personal Capital, las encriptan con AES-256 con administración de claves multicapa, que incluye claves y sales rotativas específicas del usuario. AES-256 es el estándar de cifrado avanzado (AES) y es el estándar de oro según lo determinado por NIST, el Instituto Nacional de Estándares y Tecnología de los Estados Unidos. 256 se refiere a la longitud de la clave utilizada y 256 bits es la más larga. También es el mismo cifrado que utiliza el gobierno de EE. UU.

Nunca almacenan sus credenciales de inicio de sesión financieras. Esos datos se cifran y almacenan en Envestnet Yodlee, una plataforma que impulsa una larga lista de servicios financieros y herramientas y empresas de gestión patrimonial. Yodless es auditado periódicamente por la Oficina del Contralor de la Moneda y sus procesos de seguridad están disponibles aquí .

En cuanto a los controles de acceso internos, nadie en Personal Capital tiene acceso a sus credenciales. Cero.

¿Qué tan segura es la conexión con el capital personal?

Sus datos están seguros y encriptados en sus servidores, pero primero deben llegar allí sin que nadie los mire.

Ahí es donde el cifrado juega otro papel.

Toda su interacción en línea con Personal Capital está encriptada, por lo que nadie puede descifrar lo que está comunicando con los servidores de Personal Capital. Prefieren TLS 1.2 pero también soportan TLS 1.1 y TLS 1.0. No permiten otros protocolos menos seguros. En el cifrado, debe intercambiar claves durante una sesión de comunicación y ellos utilizan el intercambio de claves ECDHE para Perfect Forward Secrecy ( lea el manual de cifrado para obtener más información ).

También requieren autorización de 2 factores . Esto significa que si inicia sesión desde un dispositivo nuevo o desconocido, confirmarán que es usted a través de su teléfono o correo electrónico (usted elige cuando lo configura). ¡Siento que es imprescindible para cualquier institución financiera y hay algunos bancos que aún no lo tienen!

Finalmente, sus aplicaciones son probadas por NowSecure y el proceso de certificación de AppSecure.

Cómo protege el capital personal contra el fraude

Hasta este punto, solo hemos hablado sobre cómo Personal Capital lo protege a usted y a sus datos. ¿Qué pasa si los datos son malos?

¿Qué pasa si su tarjeta de crédito se usa de manera fraudulenta? Personal Capital monitorea sus transacciones y puede enviarle un correo electrónico de Daily Transaction Monitor que enumera todo lo que ha visto ese día. En lugar de revisar su estado de cuenta al final del mes, lo revisa diariamente cuando su memoria está fresca. Es posible que no recuerde una transacción de hace dos semanas, pero si sucedió hoy, lo hará.

Personalmente configuro notificaciones de transacciones para cualquier monto superior a $ 0 o $ 1 (depende de la tarjeta, algunos no le permitirán hacer $ 0), pero esta es una buena alternativa si cree que el nivel de notificaciones es excesivo (probablemente lo sea).

¿Es seguro el capital personal?

Sí, Personal Capital podría ser más seguro que su banco.

(Esta es la preocupación que más preocupa a la gente).

¿Cómo va a ser el capital personal más seguro que su banco?

Hacen todo lo que hace su banco y más, en algunos casos:

  1. Es de solo lectura. Cuando conecta sus cuentas a Personal Capital, Personal Capital no puede hacer nada más que leer los datos. No puede transferir fondos.
  2. No es un objetivo atractivo. Es de solo lectura y sus credenciales se almacenan en otro lugar (Yodlee).
  3. Tiene autorización de 2 factores. No todos los bancos tienen autorización de 2 factores (sorprendente pero cierto), pero Personal Capital sí la tiene. Es una capa de seguridad adicional y necesaria.
  4. Cifran todo a 256 bits. Contra un ataque de fuerza bruta, se necesitarían mil millones de años .
  5. Un punto de acceso para varios bancos significa que no tiene que iniciar sesión en cada uno de esos bancos individualmente. De hecho, cuando inicia sesión en su Capital personal, nunca tiene que ingresar sus credenciales bancarias para que nunca se transmita. Si su computadora se ve comprometida por malware o un keylogger, sus cuentas financieras están seguras.

Nada es 100% seguro

Como dicen, lo único que es 100% seguro es la abstinencia.

Nada más es 100% seguro. El capital personal no es 100% seguro. Las mejores alternativas al Capital Personal tampoco son 100% seguras.

Si agrega otra capa al sistema, es otra capa que puede ser atacada.

Dicho esto, debe sopesar los beneficios que obtiene al usarlos (puede leer mi revisión de Capital personal para ver todo lo que me gusta y no me gusta de ellos) versus la pequeña posibilidad de que puedan ser atacados.

Personalmente, me siento cómodo usándolos, pero eso es lo que tú decides en última instancia. Han implementado todas las protecciones adecuadas, a menudo estándares más altos de lo que se requiere, y eso es lo suficientemente bueno para mí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir