Le capital personnel est-il sûr? La sécurité du capital personnel expliquée

BlogInvestissez PrudemmentAug 18, 2021
instagram viewer

j'utilise Capital personnel sur une base mensuelle à collecter mes informations sur la valeur nette. J'y suis depuis plus d'une décennie.

Quand je dis aux gens que j'utilise un outil pour le faire, ils me posent tous la même question: Personal Capital est-il sûr ?

La sécurité est l'une des plus grandes préoccupations des gens avec tout agrégateur ou outil financier. Qu'il s'agisse de Mint, Personal Capital ou d'un autre service, mettre vos données dans le « cloud » peut être déconcertant. Cela est particulièrement vrai compte tenu du nombre de piratages que nous avons vus récemment. Equifax, l'une des plus grandes agences d'évaluation du crédit, a été piratée et 143 millions de consommateurs se sont fait voler leurs données. C'était énorme.

Comment savez-vous que vos données seront en sécurité dans une autre entreprise ?

Cela se résume à deux éléments clés: comment protègent-ils vos informations lorsqu'ils les ont et comment protègent-ils la transmission de vos informations pendant qu'ils les obtiennent.

Table des matières
  1. Deux zones de sécurité clés
  2. Dans quelle mesure mes données sont-elles sécurisées dans le cloud ?
  3. Dans quelle mesure mes données sont-elles sécurisées chez Personal Capital ?
  4. Introduction rapide sur le cryptage
  5. Dans quelle mesure la connexion avec le capital personnel est-elle sûre ?
  6. Comment le capital personnel protège contre la fraude
  7. Le capital personnel est-il sûr ?
  8. Rien n'est sûr à 100%

Deux zones de sécurité clés

En ce qui concerne les applications financières et la sécurité, il y a deux éléments clés à examiner :

  1. Quelle est la sécurité de mes données – Lorsque vous donnez vos données à l'outil, comment sont-elles stockées et protégées? Qu'est-ce qui est stocké et où est-il stocké? Comment les employés sont-ils surveillés pour éviter tout type de vol ?
  2. Quelle est la sécurité de la connexion – Lorsque vous communiquez avec l'outil, à quel point cette connexion est-elle sécurisée? Lorsque vous vous connectez, lorsque vous consultez vos données, lorsque vous mettez à jour quoi que ce soit, lorsque vous leur donnez vos identifiants… la transmission de ces données est sujette à des risques.

Les informations que vous mettez dans le système doivent être en sécurité dans leur lieu de stockage. La façon dont vous communiquez ces informations doit également être sécurisée.

Dans quelle mesure mes données sont-elles sécurisées dans le cloud ?

L'une des plus grandes préoccupations des gens avec des outils comme Personal Capital est d'avoir leurs données dans le « cloud ».

J'ai contacté David M. Parker, assistant. Prof., Div. of Accounting & Finance et directeur, Center for the Study of Fraud and Corruption à l'Université Saint Xavier, pour ses réflexions sur des services comme Mint et Personal Capital. Il a partagé quelques réflexions précieuses sur la façon d'évaluer les risques et les avantages potentiels de l'utilisation d'outils basés sur le cloud :

David M. Parker, assistant. Prof., Div. de la comptabilité et des finances et directeur, Centre d'études sur la fraude et la corruption

En ce qui concerne les réflexions générales sur le stockage de données dans le cloud en donnant vos données à Amazon, Microsoft, Dropbox, Equifax, votre banque, Google, Facebook ou quiconque… est-ce sûr? Des actualités récentes révèlent les très nombreuses entreprises qui ont subi des violations de données aux mains de cybercriminels.

Vos données peuvent-elles être volées si vous les transférez dans le cloud? Oui.

Alors, vous décidez de garder vos données en sécurité à la maison. Peut-il être volé? Oui aussi. Les cybercriminels peuvent s'introduire dans votre ordinateur personnel, votre réseau Wi-Fi domestique, votre thermostat ou votre sonnette connecté à Internet, etc.

Les points en faveur du cloud incluent le fait qu'une grande entreprise comme Amazon ou Microsoft pourrait avoir plus de ressources et être meilleure en matière de sécurité défensive que vous êtes chez vous. Et, certainement, il est dans le meilleur intérêt de leur entreprise de faire de leur mieux pour rester en sécurité. Ils offrent également un stockage redondant dans une mesure où vous n'auriez pas simplement à stocker vos données à la maison où votre disque dur pourrait exploser ou votre maison brûler avec vos données. C'est donc souvent un risque acceptable.

Je n'ai aucune expérience personnelle directe avec Mint ou Personal Capital. D'après ce que je comprends de ces services tiers d'agrégation de données financières, ils fonctionnent en rassemblant tous vos données financières en un seul endroit et offrant à leurs clients la commodité résultante des beaux graphiques et tableaux. Cela signifie qu'ils doivent travailler avec votre banque, votre courtier, etc. pour accéder à vos transactions. L'étendue et le type d'accès qu'ils pourront obtenir peuvent dépendre du fait que l'institution financière les considère comme un partenaire ou un concurrent.

Un problème qui me vient à l'esprit est la taille de la surface d'attaque. Si votre banque et votre agrégateur ont tous deux une copie de vos informations, cela donne au criminel deux cibles possibles pour les voler. De plus, si toutes vos informations sont collectées à un seul endroit, plutôt que d'avoir à s'introduire dans plusieurs comptes, le criminel dispose désormais d'un guichet unique.

Il y aura toujours des risques. Aucun système ne sera jamais parfaitement sécurisé. Il y aura toujours des vulnérabilités et des personnes malveillantes prêtes à les exploiter. Mais, cela revient toujours à un jugement individuel quant à savoir si le risque est raisonnable ou minime par rapport à l'avantage du service.

Vos données ne sont pas sécurisées à 100 % chez vous et elles ne sont pas sécurisées à 100 % dans le cloud.

Mais les entreprises à qui vous confiez vos données auront mis en place des mesures de protection (« sécurité défensive ») pour vous protéger.

Examinons de plus près Personal Capital et ce qu'ils font pour sécuriser vos données.

Dans quelle mesure mes données sont-elles sécurisées chez Personal Capital ?

Craignez-vous que vos données soient stockées sur Capital personnel les serveurs?

Le gars à qui vous voulez parler en matière de sécurité chez Personal Capital est Fritz Robbins. Il est leur directeur de la technologie et directeur de l'information. Il a plus de 20 ans d'expérience dans leur domaine, dont trois ans en tant qu'architecte système chez RSA Security et huit ans à la tête de sa propre société d'ingénierie logicielle à cycle de vie complet. Il est titulaire d'un M.S. en informatique de l'Université de Stanford pour démarrer.

(aussi, pour ce que ça vaut, le fondateur de Personal Capital, Bill Harris, a cofondé PassMark Security, une société qui a construit des systèmes d'authentification en ligne utilisés par la plupart des grandes banques, et Fritz Robbins était avec cette société en tant que bien)

J'ai interrogé Fritz sur la sécurité et il a mentionné quelques-uns des points sur lesquels je vais approfondir ci-dessous :

Fritz Robbins, CTO/CIO de Personal Capital

Notre point de vue est que l'affichage de vos comptes bancaires et de courtage via Personal Capital est *plus sûr* que d'aller directement sur le site bancaire/de courtage à partir de votre navigateur. Vous avez évoqué plusieurs des raisons pour lesquelles :

  1. Vos informations d'identification sont stockées dans un centre de données sécurisé au lieu d'être toujours transmises via le navigateur de l'utilisateur (généralement moins sécurisé)
  2. La connexion est en lecture seule et aucun argent ne peut être transféré de votre compte bancaire/de courtage via Personal Capital, et vos mots de passe bancaires/courtiers ne sont jamais renvoyés à votre navigateur à partir de notre les serveurs.
  3. Notre service vous informe de toutes les transactions bancaires/de courtage (par e-mail ou push mobile notifications) qui vous permettent de surveiller facilement la fraude sur vos comptes bancaires/de courtage, le tout en un endroit!

Ce n'est pas pour rien, mais connaître les compétences de sécurité de l'équipe derrière Personal Capital me donne l'assurance qu'ils sont au sommet de leur art.

Personal Capital protège vos données de deux manières :

  • Ils utilisent un cryptage très puissant et,
  • Ils ont des contrôles d'accès internes stricts.

Introduction rapide sur le cryptage

(cliquez pour développer cette section et lire une introduction sur le cryptage)

Le cryptage est fascinant. L'idée de base derrière le cryptage est que vous avez deux clés, une clé publique et une clé privée.

Si vous voulez crypter quelque chose que moi seul peux lire, vous avez besoin de ma clé publique. Vous cryptez votre message avec ma clé publique, puis donnez le message crypté. La seule façon de le déchiffrer est d'utiliser ma clé privée (que je ne partagerais jamais). Si je veux vous envoyer quelque chose crypté, j'aurai besoin de votre clé publique pour le crypter. Alors seulement vous pouvez le déchiffrer en utilisant votre clé privée.

Fondamentalement, les communications cryptées modernes fonctionnent toutes de cette façon. Il existe des variantes pour le rendre plus sécurisé, en fonction de vos besoins (plus d'arceaux = plus de sécurité = plus de temps).

Par exemple, une variante classique consiste à s'appuyer sur des clés de « session » plutôt que sur des clés « permanentes ». C'est comme si vous utilisiez un numéro de carte de crédit temporaire plutôt que le vôtre. Pour chaque conversation, vous créez de nouvelles clés qui expirent une fois la session terminée.

Une autre variante est la façon dont nous nous communiquons les clés publiques. Nous pouvons simplement les publier, et c'est généralement bien, ou nous pouvons utiliser ce qu'on appelle le Échange de clés à courbe elliptique Diffie-Hellman (ECDHE). Il s'agit plutôt de clés temporaires que seuls nous deux utiliserions pour cette seule session. C'est ce que Personal Capital utilise.

AES-256 est un cryptage très sérieux.

Lorsque vous entrez vos informations d'identification bancaires dans Personal Capital, elles les chiffrent avec AES-256 avec une gestion des clés multicouche, qui comprend la rotation des clés et des sels spécifiques à l'utilisateur. AES-256 est l'Advanced Encryption Standard (AES) et est l'étalon-or tel que déterminé par le NIST, l'Institut national des normes et de la technologie des États-Unis. 256 fait référence à la longueur de la clé utilisée et 256 bits est la plus longue. Il s'agit également du même cryptage utilisé par le gouvernement américain.

Ils ne stockent jamais vos identifiants de connexion financiers. Ces données sont cryptées et stockées sur Envestnet Yodlee, une plate-forme qui alimente une liste exhaustive de services financiers et d'outils et d'entreprises de gestion de patrimoine. Yodless est périodiquement audité par le Bureau du contrôleur de la monnaie et leurs processus de sécurité sont disponibles ici.

En ce qui concerne les contrôles d'accès internes, personne chez Personal Capital n'a accès à vos informations d'identification. Zéro.

Dans quelle mesure la connexion avec le capital personnel est-elle sûre ?

Vos données sont sécurisées et cryptées sur leurs serveurs, mais elles doivent d'abord y parvenir sans que quelqu'un jette un œil.

C'est là que le cryptage joue un autre rôle.

Toutes vos interactions en ligne avec Personal Capital sont cryptées, de sorte que personne ne peut déchiffrer ce que vous communiquez avec les serveurs de Personal Capital. Ils préfèrent TLS 1.2 mais supportent aussi TLS 1.1 et TLS 1.0. Ils n'autorisent pas d'autres protocoles moins sécurisés. En cryptage, vous devez échanger des clés lors d'une session de communication et ils utilisent l'échange de clés ECDHE pour Perfect Forward Secrecy (lisez l'introduction au cryptage pour plus d'informations).

Ils nécessitent également Autorisation à 2 facteurs. Cela signifie que si vous vous connectez à partir d'un appareil inconnu ou nouveau, ils confirmeront qu'il s'agit bien de vous via votre téléphone ou votre e-mail (vous choisissez quand vous le configurez). Je pense que c'est un must pour toute institution financière et il y a des banques qui ne l'ont pas encore !

Enfin, leurs applications sont testées par NowSecure et le processus de certification AppSecure.

Comment le capital personnel protège contre la fraude

Jusqu'à présent, nous n'avons parlé que de la façon dont Personal Capital vous protège, vous et vos données. Et si les données sont mauvaises ?

Que faire si votre carte de crédit est utilisée de manière frauduleuse? Personal Capital surveille vos transactions et peut vous envoyer un e-mail Daily Transaction Monitor qui répertorie tout ce qu'il a vu ce jour-là. Plutôt que de réviser votre relevé à la fin du mois, vous le révisez quotidiennement lorsque votre mémoire est fraîche. Vous ne vous souvenez peut-être pas d'une transaction d'il y a deux semaines, mais si cela s'est produit aujourd'hui, vous vous en souviendrez.

Personnellement, je définir des notifications de transaction pour tout montant supérieur à 0 $ ou 1 $ (dépend de la carte, certains ne vous laisseront pas faire 0 $), mais c'est une bonne alternative si vous pensez que le niveau de notifications est excessif (c'est probablement le cas).

Le capital personnel est-il sûr ?

Oui, Capital personnel pourrait en fait être plus sûr que votre banque.

(C'est la préoccupation qui inquiète le plus les gens.)

Comment est Capital personnel sera plus sûr que votre banque ?

Ils font tout ce que fait votre banque et plus encore, dans certains cas :

  1. C'est en lecture seule. Lorsque vous connectez vos comptes à Personal Capital, Personal Capital ne peut pas faire tout sauf lire les données. Vous ne pouvez pas transférer de fonds.
  2. Ce n'est pas une cible attrayante. Il est en lecture seule et vos informations d'identification sont stockées ailleurs (Yodlee).
  3. Il a une autorisation à 2 facteurs. Toutes les banques n'ont pas d'autorisation à 2 facteurs (superbe mais vrai) mais Personal Capital le fait. C'est une couche de sécurité supplémentaire et nécessaire.
  4. Ils cryptent tout à 256 bits. Contre une attaque par force brute, il faudrait 1 milliard de milliards d'années.
  5. Un point d'accès pour plusieurs banques signifie que vous n'avez pas à vous connecter à chacune de ces banques individuellement. En fait, lorsque vous vous connectez à votre Capital personnel, vous n'avez jamais à saisir vos identifiants bancaires, ils ne sont donc jamais transmis. Si votre ordinateur est compromis par un logiciel malveillant ou un enregistreur de frappe, vos comptes financiers sont sécurisés.

Rien n'est sûr à 100%

Comme on dit, la seule chose qui soit sûre à 100 % est l'abstinence.

Rien d'autre n'est sûr à 100 %. Capital personnel n'est pas sûr à 100 %. Le meilleures alternatives au capital personnel ne sont pas non plus sûrs à 100 %.

Si vous ajoutez une autre couche au système, c'est une autre couche qui peut être attaquée.

Cela dit, vous devez peser les avantages que vous tirez de leur utilisation (vous pouvez lire mon avis sur le capital personnel voir tout ce que j'aime et n'aime pas chez eux) par rapport à la faible probabilité qu'ils soient attaqués.

Je suis personnellement à l'aise avec leur utilisation, mais c'est finalement à vous de décider. Ils ont mis en place toutes les protections appropriées, des normes souvent plus élevées que celles requises, et cela me suffit.

Découvrez le capital personnel

click fraud protection