هل رأس المال الشخصي آمن؟ وأوضح أمن رأس المال الشخصي

مقالاتاستثمر بحكمةAug 18, 2021
instagram viewer

أنا أستعمل رأس المال الشخصي على أساس شهري ل جمع معلوماتي عن صافي ثروتي. لقد كنت في ذلك من أجل أكثر من عقد.

عندما أخبر الناس أنني أستخدم أداة للقيام بذلك ، فإنهم جميعًا يسألونني نفس السؤال - هل رأس المال الشخصي آمن؟

الأمان هو أحد أكبر مخاوف الناس مع أي مجمع أو أداة مالية. سواء كانت خدمة Mint أو رأس المال الشخصي أو خدمة أخرى - قد يكون وضع بياناتك في "السحابة" أمرًا مزعجًا. هذا صحيح بشكل خاص بالنظر إلى عدد الاختراقات التي رأيناها مؤخرًا. تم اختراق Equifax ، وهي واحدة من أكبر وكالات الإبلاغ عن الائتمان ، وسرقت بيانات 143 مليون مستهلك. كان هائلا.

كيف تعرف أن بياناتك ستكون آمنة في شركة أخرى؟

يتعلق الأمر بجزئين أساسيين - كيف يحمون معلوماتك عندما تكون في حوزتهم وكيف يحمون نقل معلوماتك أثناء حصولهم عليها.

جدول المحتويات
  1. مجالان أمنيان رئيسيان
  2. ما مدى أمان بياناتي في السحابة؟
  3. ما مدى أمان بياناتي في رأس المال الشخصي؟
  4. سريع التمهيدي على التشفير
  5. ما مدى أمان الاتصال برأس المال الشخصي؟
  6. كيف يحمي رأس المال الشخصي من الاحتيال
  7. هل رأس المال الشخصي آمن؟
  8. لا شيء آمن بنسبة 100٪

مجالان أمنيان رئيسيان

عندما يتعلق الأمر بالتطبيقات المالية والأمان ، هناك قطعتان أساسيتان يجب النظر إليهما:

  1. ما مدى أمان بياناتي - عند إعطاء الأداة بياناتك ، كيف يتم تخزينها وحمايتها؟ ما الذي يتم تخزينه وأين يتم تخزينه؟ كيف تتم مراقبة الموظفين لمنع أي نوع من السرقة؟
  2. ما مدى أمان الاتصال - عند الاتصال بالأداة ، ما مدى أمان هذا الاتصال؟ عند تسجيل الدخول ، عند عرض البيانات الخاصة بك ، عند تحديث أي شيء ، عندما تمنحهم بيانات الاعتماد الخاصة بك... فإن نقل تلك البيانات يكون عرضة للخطر.

يجب أن تكون المعلومات التي تدخلها في النظام آمنة في مكان تخزينها. يجب أن تكون الطريقة التي تنقل بها هذه المعلومات آمنة أيضًا.

ما مدى أمان بياناتي في السحابة؟

أحد أكبر مخاوف الأشخاص بشأن أدوات مثل رأس المال الشخصي هو وجود بياناتهم في "السحابة".

لقد تواصلت مع David M. باركر ، مساعد. البروفيسور ، شعبة. من المحاسبة والمالية ومدير مركز دراسة الاحتيال والفساد في جامعة سانت كزافييه ، لأفكاره حول خدمات مثل سك العملة ورأس المال الشخصي. شارك بعض الأفكار القيمة حول كيفية الموازنة بين المخاطر والمكافآت المحتملة لاستخدام الأدوات المستندة إلى السحابة:

ديفيد م. باركر ، مساعد. البروفيسور ، شعبة. قسم المحاسبة والمالية ومدير مركز دراسة الاحتيال والفساد

فيما يتعلق بالأفكار العامة حول تخزين البيانات في السحابة من خلال إعطاء بياناتك إلى Amazon أو Microsoft أو Dropbox أو Equifax أو البنك الذي تتعامل معه أو Google أو Facebook أو أيًا كان... هل هي آمنة؟ تكشف الأخبار الأخيرة عن العديد والعديد من الشركات التي تعرضت لانتهاكات البيانات على أيدي مجرمي الإنترنت.

هل يمكن سرقة بياناتك إذا سلمتها إلى السحابة؟ نعم فعلا.

لذلك ، قررت الحفاظ على أمان بياناتك في المنزل. هل يمكن أن تتم سرقتها؟ نعم ايضا. يمكن لمجرمي الإنترنت اقتحام جهاز الكمبيوتر المنزلي أو شبكة wi-fi المنزلية أو منظم الحرارة أو جرس الباب المتصل بالإنترنت ، إلخ.

تشمل النقاط المؤيدة للسحابة أن شركة كبيرة مثل Amazon أو Microsoft قد يكون لديها المزيد من الموارد وتكون أفضل في الأمان الدفاعي الذي أنت في المنزل. ومن المؤكد أنه من مصلحة أعمالهم أن يبذلوا قصارى جهدهم ليظلوا آمنين. كما أنها توفر مساحة تخزين زائدة عن الحاجة إلى حد لن يكون لديك فيه مجرد تخزين بياناتك في المنزل حيث يمكن أن ينفجر محرك الأقراص الثابتة أو يحترق منزلك ببياناتك فيه. لذلك ، غالبًا ما تكون مخاطرة مقبولة.

ليس لدي أي خبرة شخصية مباشرة مع سك أو رأس المال الشخصي. إن ما أفهمه من خدمات مجمِّع البيانات المالية للجهات الخارجية هو أنها تعمل من خلال جمع كل ما لديك البيانات المالية في مكان واحد وتقدم لعملائها الراحة الناتجة عن الرسوم البيانية والمخططات الجميلة. هذا يعني أنهم بحاجة إلى العمل مع البنك الذي تتعامل معه أو الوسيط أو ما إلى ذلك. للوصول إلى معاملاتك. قد يعتمد مدى ونوع الوصول الذي يمكنهم الحصول عليه على ما إذا كانت المؤسسة المالية تنظر إليهم كشريك أو منافس.

المشكلة التي تتبادر إلى ذهني هي حجم سطح الهجوم. إذا كان لدى البنك الذي تتعامل معه والمجمع الذي تتعامل معه نسخة من معلوماتك ، فإنه يمنح المجرم هدفين محتملين لسرقة المعلومات منهما. أيضًا ، إذا تم جمع جميع معلوماتك في مكان واحد ، فبدلاً من الاضطرار إلى اقتحام حسابات متعددة ، أصبح لدى المجرم الآن مكان واحد للتسوق.

ستكون هناك دائما مخاطر. لن يكون أي نظام آمنًا تمامًا. ستكون هناك دائمًا نقاط ضعف وأشخاص سيئون على استعداد لاستغلالها. ولكن ، دائمًا ما يرجع الأمر إلى الحكم الفردي حول ما إذا كانت المخاطر معقولة أو ضئيلة مقارنة بمزايا الخدمة.

بياناتك ليست آمنة بنسبة 100٪ في المنزل وليست آمنة بنسبة 100٪ في السحاب.

لكن الشركات التي تثق بها فيما يتعلق ببياناتك سيكون لديها ضمانات مطبقة ("الأمان الدفاعي") لحمايتك.

دعونا نلقي نظرة فاحصة على رأس المال الشخصي وما يفعلونه لتأمين بياناتك.

ما مدى أمان بياناتي في رأس المال الشخصي؟

هل أنت قلق بشأن تخزين بياناتك على رأس المال الشخصي الخوادم؟

الشخص الذي تريد التحدث إليه عندما يتعلق الأمر بالأمن في Personal Capital هو Fritz Robbins. وهو رئيس قسم التكنولوجيا ورئيس قسم المعلومات. لديه أكثر من 20 عامًا من الخبرة في مجالهم بما في ذلك مهمة لمدة ثلاث سنوات كمهندس أنظمة في RSA Security و 8 سنوات في إدارة شركته الخاصة بهندسة البرمجيات ذات دورة الحياة الكاملة. حاصل على ماجستير. في علوم الكمبيوتر من جامعة ستانفورد للتمهيد.

(أيضًا ، لما يستحق ، مؤسس Personal Capital's Bill Harris شارك في تأسيس شركة PassMark Security ، وهي شركة أنشأت أنظمة مصادقة عبر الإنترنت تستخدمها معظم البنوك الكبرى ، وكان فريتز روبنز مع تلك الشركة بصفته حسنا)

سألت فريتز عن الأمن وذكر بعض النقاط التي سأتعمق فيها بشكل أعمق:

فريتز روبينز ، كبير موظفي التكنولوجيا / رئيس قسم المعلومات لرأس المال الشخصي

وجهة نظرنا هي أن عرض حساباتك المصرفية والسمسرة عبر رأس المال الشخصي * أكثر أمانًا * من الانتقال مباشرة إلى موقع الخدمات المصرفية / الوساطة من متصفحك. لقد تطرقت إلى العديد من الأسباب:

  1. يتم تخزين بيانات الاعتماد الخاصة بك في مركز بيانات آمن مقابل إرسالها دائمًا عبر متصفح المستخدم (الأقل أمانًا بشكل عام)
  2. الاتصال للقراءة فقط ولا يمكن تحويل أي أموال من حسابك المصرفي / الوساطة عبر رأس المال الشخصي وكلمات المرور المصرفية / الوساطة الخاصة بك لا يتم إرجاعها أبدًا إلى متصفحك من موقعنا الخوادم.
  3. تمنحك خدمتنا إخطارًا بجميع المعاملات المصرفية / الوساطة (عبر البريد الإلكتروني أو الدفع عبر الهاتف المحمول الإخطارات) التي تسهل عليك مراقبة حساباتك المصرفية / الوساطة بحثًا عن الاحتيال ، كل ذلك في جهاز واحد مكان!

ليس لشيء سوى معرفة الأجزاء الأمنية للفريق وراء Personal Capital يمنحني الثقة بأنهم في صدارة لعبهم.

هناك طريقتان يحافظ بهما رأس المال الشخصي على أمان بياناتك:

  • يستخدمون تشفيرًا قويًا للغاية ،
  • لديهم ضوابط وصول داخلية صارمة.

سريع التمهيدي على التشفير

(انقر لتوسيع هذا القسم وقراءة كتاب تمهيدي عن التشفير)

التشفير رائع. الفكرة الأساسية وراء التشفير هي أن لديك مفتاحين ، مفتاح عام ومفتاح خاص.

إذا كنت تريد تشفير شيء ما يمكنني فقط قراءته ، فأنت بحاجة إلى مفتاحي العام. تقوم بتشفير رسالتك بمفتاحي العمومي ثم تقوم بإعطاء الرسالة المشفرة. الطريقة الوحيدة لفك تشفيرها هي باستخدام مفتاحي الخاص (الذي لن أشاركه أبدًا). إذا أردت أن أرسل لك شيئًا مشفرًا ، فسوف أحتاج إلى مفتاحك العام لتشفيره. عندها فقط يمكنك فك تشفيرها باستخدام مفتاحك الخاص.

في الأساس ، تعمل جميع الاتصالات المشفرة الحديثة بهذه الطريقة. هناك اختلافات لجعله أكثر أمانًا ، اعتمادًا على احتياجاتك (المزيد من الأطواق = أكثر أمانًا = مزيد من الوقت).

على سبيل المثال ، أحد الأشكال الكلاسيكية هو الاعتماد على مفاتيح "الجلسة" بدلاً من المفاتيح "الدائمة". إنه يشبه استخدام رقم بطاقة ائتمان مؤقت بدلاً من رقمك الفعلي. لكل محادثة ، تقوم بإنشاء مفاتيح جديدة تنتهي صلاحيتها بعد انتهاء الجلسة.

الاختلاف الآخر هو كيف نحصل على المفاتيح العامة لبعضنا البعض. يمكننا فقط نشرها ، وهذا أمر جيد عادةً ، أو يمكننا استخدام ما يُعرف بـ تبادل المفاتيح Elliptic Curve Diffie-Hellman (ECDHE). إنها مفاتيح مؤقتة لن يستخدمها سوى اثنين منا لهذه الجلسة الفردية. هذا ما يستخدمه رأس المال الشخصي.

AES-256 هو تشفير خطير للغاية.

عندما تقوم بإدخال بيانات الاعتماد المصرفية الخاصة بك في Personal Capital ، فإنها تقوم بتشفيرها باستخدام AES-256 مع إدارة مفاتيح متعددة الطبقات ، والتي تتضمن مفاتيح وأملاحًا متناوبة خاصة بالمستخدم. AES-256 هو معيار التشفير المتقدم (AES) وهو المعيار الذهبي على النحو الذي تحدده NIST ، المعهد الوطني الأمريكي للمعايير والتكنولوجيا. 256 تشير إلى طول المفتاح المستخدم و 256 بت هي الأطول. وهو أيضًا نفس التشفير المستخدم من قبل حكومة الولايات المتحدة.

لا يقومون بتخزين بيانات اعتماد تسجيل الدخول المالية الخاصة بك. يتم تشفير هذه البيانات وتخزينها في Envestnet Yodlee ، وهي منصة تعمل على تشغيل قائمة غسيل للخدمات المالية وأدوات وشركات إدارة الثروات. يتم تدقيق Yodless بشكل دوري من قبل مكتب المراقب المالي للعملة وعملياتها الأمنية متاحة هنا.

بالنسبة إلى ضوابط الوصول الداخلية ، لا يمكن لأي شخص في Personal Capital الوصول إلى بيانات الاعتماد الخاصة بك. صفر.

ما مدى أمان الاتصال برأس المال الشخصي؟

بياناتك آمنة ومشفرة على الخوادم الخاصة بهم ، ولكن يجب أن تصل إلى هناك أولاً دون أن يراها أحد.

هذا هو المكان الذي يلعب فيه التشفير دورًا آخر.

يتم تشفير جميع تفاعلاتك عبر الإنترنت مع Personal Capital ، لذلك لا يمكن لأي شخص فك تشفير ما تتواصل معه مع خوادم Personal Capital. إنهم يفضلون TLS 1.2 ولكنهم يدعمون أيضًا TLS 1.1 و TLS 1.0. لا تسمح ببروتوكولات أخرى أقل أمانًا. في التشفير ، تحتاج إلى تبادل المفاتيح أثناء جلسة الاتصال وأنهم يستخدمون تبادل مفاتيح ECDHE من أجل Perfect Forward Secrecy (اقرأ دليل التشفير للحصول على مزيد من المعلومات).

هم أيضا يتطلبون 2 عامل إذن. هذا يعني أنه إذا قمت بتسجيل الدخول من جهاز غير معروف أو جديد ، فسيؤكدون هويتك عبر الهاتف أو البريد الإلكتروني (يمكنك اختياره عند إعداده). أشعر أنه أمر لا بد منه لأي مؤسسة مالية وهناك بعض البنوك التي ليس لديها هذا حتى الآن!

أخيرًا ، يتم اختبار تطبيقاتهم بواسطة NowSecure وعملية شهادة AppSecure.

كيف يحمي رأس المال الشخصي من الاحتيال

حتى الآن ، تحدثنا فقط عن كيفية حماية رأس المال الشخصي لك وحماية بياناتك. ماذا لو كانت البيانات سيئة؟

ماذا لو تم استخدام بطاقتك الائتمانية بطريقة احتيالية؟ يراقب رأس المال الشخصي معاملاتك ويمكنه إرسال بريد إلكتروني لمراقبة المعاملات اليومية يسرد كل ما شاهده في ذلك اليوم. بدلاً من مراجعة البيان الخاص بك في نهاية الشهر ، تقوم بمراجعته يوميًا عندما تكون ذاكرتك منتعشة. قد لا تتذكر معاملة من أسبوعين ولكن إذا حدثت اليوم ، فستتذكرها.

أنا شخصيا قم بتعيين إشعارات المعاملات لأي مبلغ يزيد عن 0 دولار أو 1 دولار (بناءً على البطاقة ، لن يسمح لك البعض بتقديم 0 دولار أمريكي) ، ولكن هذا بديل جيد إذا شعرت أن مستوى الإشعارات مبالغ فيه (ربما يكون كذلك).

هل رأس المال الشخصي آمن؟

نعم، رأس المال الشخصي يمكن أن يكون في الواقع أكثر أمانًا من البنك الذي تتعامل معه.

(هذا هو مصدر القلق الذي يقلق الناس أكثر من غيرهم).

كيف هو رأس المال الشخصي ستكون أكثر أمانًا من بنكك؟

يفعلون كل ما يفعله البنك الذي تتعامل معه بالإضافة إلى المزيد ، في بعض الحالات:

  1. إنه للقراءة فقط. عندما تربط حساباتك برأس المال الشخصي ، فإن رأس المال الشخصي لا يمكنه ذلك فعل أي شيء ما عدا قراءة البيانات. لا يمكنك تحويل الأموال.
  2. إنه ليس هدفًا جذابًا. إنه للقراءة فقط ويتم تخزين بيانات الاعتماد الخاصة بك في مكان آخر (Yodlee).
  3. لديها إذن عاملين. لا تمتلك جميع البنوك تفويضًا ثنائيًا (مذهل ولكنه حقيقي) ولكن رأس المال الشخصي يمتلكه. إنها طبقة أمان إضافية وضرورية.
  4. يقومون بتشفير كل شيء إلى 256 بت. ضد هجوم القوة الغاشمة ، سوف يستغرق الأمر مليار مليار سنة.
  5. تعني نقطة وصول واحدة لعدة بنوك أنك لست مضطرًا لتسجيل الدخول إلى كل من هذه البنوك على حدة. في الواقع ، عندما تقوم بتسجيل الدخول إلى رأس المال الشخصي الخاص بك ، فلن تضطر أبدًا إلى إدخال بيانات اعتمادك البنكية حتى لا يتم نقلها أبدًا. إذا تم اختراق جهاز الكمبيوتر الخاص بك عن طريق برنامج ضار أو مسجل لوحة مفاتيح ، فإن حساباتك المالية ستكون آمنة.

لا شيء آمن بنسبة 100٪

كما يقولون ، الشيء الوحيد الآمن بنسبة 100٪ هو الامتناع عن ممارسة الجنس.

لا يوجد شيء آخر آمن بنسبة 100٪. رأس المال الشخصي ليس آمنًا بنسبة 100٪. ال أفضل البدائل لرأس المال الشخصي ليست آمنة أيضًا بنسبة 100٪.

إذا أضفت طبقة أخرى إلى النظام ، فهذه طبقة أخرى يمكن مهاجمتها.

بعد قولي هذا ، عليك أن تزن الفوائد التي تحصل عليها من استخدامها (يمكنك ذلك قراءة تقييم رأس المال الشخصي الخاص بي لأرى كل ما يعجبني وما لا يعجبني بشأنهم) مقابل فرصة صغيرة يمكن مهاجمتهم.

أنا مرتاح شخصيًا لاستخدامها ولكن هذا الأمر متروك لك في النهاية. لقد وضعوا جميع وسائل الحماية المناسبة ، وغالبًا ما تكون أعلى من المطلوب ، وهذا جيد بما يكفي بالنسبة لي.

تحقق من رأس المال الشخصي

click fraud protection