Is persoonlijk kapitaal veilig? Persoonlijke kapitaalbeveiliging uitgelegd

BlogInvesteer VerstandigAug 18, 2021
instagram viewer

ik gebruik Persoonlijk kapitaal maandelijks naar mijn vermogen informatie verzamelen. Ik ben er al mee bezig meer dan een decennium.

Als ik mensen vertel dat ik daarvoor een tool gebruik, stellen ze me allemaal dezelfde vraag: is persoonlijk kapitaal veilig?

Beveiliging is een van de grootste zorgen die mensen hebben met een financiële aggregator of tool. Of het nu gaat om Mint, Personal Capital of een andere service - het kan zenuwslopend zijn om uw gegevens in de "cloud" te plaatsen. Dit geldt vooral gezien het aantal hacks dat we onlangs hebben gezien. Equifax, een van de grootste kredietinformatiebureaus, werd gehackt en bij 143 miljoen consumenten werden hun gegevens gestolen. Het was enorm.

Hoe weet u dat uw gegevens veilig zijn bij een ander bedrijf?

Het komt neer op twee belangrijke onderdelen: hoe beschermen ze uw informatie wanneer ze deze hebben en hoe beschermen ze de overdracht van uw informatie terwijl ze deze krijgen.

Inhoudsopgave
  1. Twee belangrijke beveiligingsgebieden
  2. Hoe veilig zijn mijn gegevens in de cloud?
  3. Hoe veilig zijn mijn gegevens bij Personal Capital?
  4. Snelle inleiding op versleuteling
  5. Hoe veilig is de verbinding met persoonlijk kapitaal?
  6. Hoe persoonlijk kapitaal beschermt tegen fraude
  7. Is persoonlijk kapitaal veilig?
  8. Niets is 100% veilig

Twee belangrijke beveiligingsgebieden

Als het gaat om financiële apps en beveiliging, zijn er twee belangrijke onderdelen om naar te kijken:

  1. Hoe veilig zijn mijn gegevens – Wanneer u de tool uw gegevens geeft, hoe worden deze dan opgeslagen en beschermd? Wat wordt opgeslagen en waar wordt het opgeslagen? Hoe worden de medewerkers gecontroleerd om elke vorm van diefstal te voorkomen?
  2. Hoe veilig is de verbinding? – Hoe veilig is die verbinding als u met de tool communiceert? Wanneer u inlogt, wanneer u uw gegevens bekijkt, wanneer u iets bijwerkt, wanneer u hen uw inloggegevens geeft... de overdracht van die gegevens is onderhevig aan risico's.

De informatie die u in het systeem invoert, moet veilig zijn op de plaats van opslag. De manier waarop u die informatie communiceert, moet ook veilig zijn.

Hoe veilig zijn mijn gegevens in de cloud?

Een van de grootste zorgen die mensen hebben met tools zoals Personal Capital, is dat hun gegevens in de 'cloud' staan.

Ik nam contact op met David M. Parker, Asst. Prof., Afd. van Accounting & Finance en directeur van het Centrum voor de Studie van Fraude en Corruptie aan de Saint Xavier University, voor zijn mening over diensten zoals Munt en Persoonlijk Kapitaal. Hij deelde enkele waardevolle gedachten over het afwegen van de potentiële risico's en voordelen van het gebruik van cloudgebaseerde tools:

David M. Parker, Asst. Prof., Afd. van Accounting & Finance en directeur, Centrum voor de Studie van Fraude en Corruptie

Met betrekking tot algemene gedachten over het opslaan van gegevens in de cloud door uw gegevens aan Amazon, Microsoft, Dropbox, Equifax, uw bank, Google, Facebook of wie dan ook te geven... is het veilig? Recente nieuwsberichten onthullen de vele, vele bedrijven die te maken hebben gehad met datalekken door cybercriminelen.

Kunnen uw gegevens worden gestolen als u deze overdraagt ​​aan de cloud? Ja.

Je besluit dus om je gegevens thuis veilig te bewaren. Kan het gestolen worden? Ook ja. Cybercriminelen kunnen inbreken op uw thuiscomputer, uw wifi-thuisnetwerk, uw thermostaat of deurbel met internetverbinding, enz.

Punten in het voordeel van de cloud zijn onder meer dat een groot bedrijf als Amazon of Microsoft mogelijk meer middelen heeft en beter is in defensieve beveiliging dan u thuis bent. En het is zeker in het belang van hun bedrijf om hun best te doen om veilig te blijven. Ze bieden ook redundante opslag in een mate dat u uw gegevens niet alleen thuis zou hebben waar uw harde schijf zou kunnen ontploffen of uw huis zou kunnen afbranden met uw gegevens erin. Het is dus vaak een acceptabel risico.

Ik heb geen directe persoonlijke ervaring met Mint of Personal Capital. Ik heb begrepen dat deze externe financiële gegevensaggregatorservices werken door al uw gegevens te verzamelen financiële gegevens op één plek en bieden hun klanten het resulterende gemak van de mooie grafieken en grafieken. Dit betekent dat ze moeten samenwerken met uw bank, makelaar, enz. om toegang te krijgen tot uw transacties. De mate en het type toegang dat ze kunnen krijgen, kan afhangen van het feit of de financiële instelling hen als een partner of een concurrent beschouwt.

Een probleem dat bij mij opkomt, is de grootte van het aanvalsoppervlak. Als uw bank en uw aggregator beide een kopie van uw informatie hebben, geeft dit de crimineel twee mogelijke doelen om deze te stelen. Als al uw informatie op één plek wordt verzameld, heeft de crimineel nu one-stop-shopping, in plaats van in te breken op meerdere accounts.

Er zullen altijd risico's zijn. Geen enkel systeem zal ooit perfect veilig zijn. Er zullen altijd kwetsbaarheden zijn en slechte mensen die ze willen uitbuiten. Maar het komt altijd neer op een individuele beoordeling of het risico redelijk of minimaal is in vergelijking met het voordeel van de service.

Uw gegevens zijn thuis niet 100% veilig en ook niet 100% veilig in de cloud.

Maar de bedrijven die u uw gegevens toevertrouwt, zullen voorzorgsmaatregelen hebben getroffen (“defensieve beveiliging”) om u te beschermen.

Laten we persoonlijk kapitaal eens nader bekijken en wat ze doen om uw gegevens te beveiligen.

Hoe veilig zijn mijn gegevens bij Personal Capital?

Maakt u zich zorgen dat uw gegevens worden opgeslagen op Persoonlijk kapitaal servers?

De man met wie je wilt praten als het gaat om beveiliging bij Personal Capital is Fritz Robbins. Hij is hun Chief Technology Officer en Chief Information Officer. Hij heeft meer dan 20 jaar ervaring in hun vakgebied, waaronder een periode van drie jaar als systeemarchitect bij RSA Security en 8 jaar aan het leiden van zijn eigen full-lifecycle software-engineeringbedrijf. Hij heeft een M.S. in Computer Science van Stanford University om op te starten.

(ook, voor wat het waard is, Bill Harris, de oprichter van Personal Capital, was mede-oprichter van PassMark Security, een bedrijf die online authenticatiesystemen bouwde die door de meeste grote banken worden gebruikt, en Fritz Robbins was bij dat bedrijf als goed)

Ik vroeg Fritz naar beveiliging en hij noemde een paar van de punten waar ik hieronder dieper op in zal gaan:

Fritz Robbins, CTO/CIO van Persoonlijk Kapitaal

Ons standpunt is dat het bekijken van uw bank- en effectenrekeningen via Personal Capital *veiliger* is dan rechtstreeks vanuit uw browser naar de bank-/makelaarssite te gaan. Je hebt veel van de redenen genoemd waarom:

  1. Uw inloggegevens worden opgeslagen in een beveiligd datacenter en worden niet altijd verzonden via de (over het algemeen minder veilige) browser van de gebruiker
  2. De verbinding is alleen-lezen en er kan geen geld worden overgemaakt van uw bank-/makelaarsrekening via Personal Capital, en uw bank-/makelaarswachtwoorden worden nooit teruggestuurd naar uw browser vanuit onze servers.
  3. Onze service geeft u een melding van alle bank-/makelaarstransacties (via e-mail of mobiele push meldingen) waarmee u gemakkelijk uw bank-/makelaarsrekeningen kunt controleren op fraude, alles in één plaats!

Niet voor niets, maar het kennen van de beveiligingskarbonades van het team achter Personal Capital geeft me het vertrouwen dat ze op de hoogte zijn van hun spel.

Er zijn twee manieren waarop Personal Capital uw gegevens veilig houdt:

  • Ze gebruiken zeer krachtige codering en,
  • Ze hebben strikte interne toegangscontroles.

Snelle inleiding op versleuteling

(klik om deze sectie uit te vouwen & lees een inleiding over encryptie)

Encryptie is fascinerend. Het basisidee achter encryptie is dat je twee sleutels hebt, een openbare sleutel en een privésleutel.

Als je iets wilt versleutelen dat alleen ik kan lezen, heb je mijn openbare sleutel nodig. U versleutelt uw bericht met mijn openbare sleutel en geeft vervolgens het versleutelde bericht. De enige manier om het te decoderen is door mijn privésleutel te gebruiken (die ik nooit zou delen). Als ik je iets versleuteld wil sturen, heb ik je openbare sleutel nodig om het te versleutelen. Alleen dan kun je het ontsleutelen met je privésleutel.

In wezen werken moderne versleutelde communicatie allemaal op deze manier. Er zijn variaties om het veiliger te maken, afhankelijk van uw behoeften (meer hoepels = veiliger = meer tijd).

Een klassieke variatie is bijvoorbeeld om te vertrouwen op "sessie" -sleutels in plaats van op "permanente" sleutels. Het is alsof u een tijdelijk creditcardnummer gebruikt in plaats van uw echte. Voor elk gesprek maakt u nieuwe sleutels aan die verlopen nadat de sessie voorbij is.

Een andere variatie is hoe we de publieke sleutels bij elkaar krijgen. We kunnen ze gewoon publiceren, en dat is meestal prima, of we kunnen gebruiken wat bekend staat als de Elliptische curve Diffie-Hellman (ECDHE) sleuteluitwisseling. Het zijn meer tijdelijke sleutels die alleen wij tweeën zouden gebruiken voor deze enkele sessie. Dit is wat Personal Capital gebruikt.

AES-256 is serieus serieuze versleuteling.

Wanneer u uw bankgegevens invoert in Personal Capital, versleutelen ze deze met AES-256 met meerlaags sleutelbeheer, inclusief roterende gebruikersspecifieke sleutels en salts. AES-256 is de Advanced Encryption Standard (AES) en is de gouden standaard zoals bepaald door NIST, het National Institute of Standards and Technology van de Verenigde Staten. 256 verwijst naar de lengte van de gebruikte sleutel en 256-bits is de langste. Het is ook dezelfde codering die door de Amerikaanse regering wordt gebruikt.

Ze slaan nooit uw financiële inloggegevens op. Die gegevens worden versleuteld en opgeslagen bij Envestnet Yodlee, een platform dat een waslijst aan financiële diensten en tools voor vermogensbeheer en bedrijven aanstuurt. Yodless wordt periodiek gecontroleerd door het Office of the Comptroller of the Currency en hun beveiligingsprocessen zijn beschikbaar hier.

Wat interne toegangscontroles betreft, heeft niemand bij Personal Capital toegang tot uw inloggegevens. Nul.

Hoe veilig is de verbinding met persoonlijk kapitaal?

Uw gegevens zijn veilig en versleuteld op hun servers, maar ze moeten daar eerst komen zonder dat iemand ernaar kijkt.

Dat is waar encryptie nog een andere rol speelt.

Al uw online interactie met Personal Capital is versleuteld, zodat niemand kan ontcijferen wat u communiceert met Personal Capital-servers. Ze geven de voorkeur aan TLS 1.2 maar ondersteunen ook TLS 1.1 en TLS 1.0. Ze staan ​​geen andere, minder veilige protocollen toe. Bij codering moet u sleutels uitwisselen tijdens een communicatiesessie en ze gebruiken ECDHE-sleuteluitwisseling voor Perfect Forward Secrecy (lees de encryptie-primer voor meer informatie).

Ze vereisen ook: 2-factor autorisatie. Dit betekent dat als u zich aanmeldt vanaf een onbekend of nieuw apparaat, zij zullen bevestigen dat u het bent via uw telefoon of e-mail (u kiest wanneer u het instelt). Ik vind het een must voor elke financiële instelling en er zijn banken die dit nog niet hebben!

Ten slotte worden hun apps getest door NowSecure en het AppSecure-certificeringsproces.

Hoe persoonlijk kapitaal beschermt tegen fraude

Tot nu toe hebben we het alleen gehad over hoe Personal Capital u en uw gegevens beschermt. Wat als de gegevens slecht zijn?

Wat als uw creditcard op frauduleuze wijze wordt gebruikt? Personal Capital bewaakt uw transacties en kan u een Daily Transaction Monitor e-mail sturen met een overzicht van alles wat het die dag heeft gezien. In plaats van uw afschrift aan het einde van de maand te herzien, bekijkt u het dagelijks wanneer uw geheugen vers is. U herinnert zich misschien een transactie van twee weken geleden niet meer, maar als het vandaag is gebeurd, zult u dat wel doen.

ik persoonlijk stel transactiemeldingen in voor elk bedrag boven $ 0 of $ 1 (afhankelijk van de kaart, sommige laten je geen $ 0 doen), maar dit is een goed alternatief als je vindt dat het aantal meldingen overdreven is (waarschijnlijk is dat zo).

Is persoonlijk kapitaal veilig?

Ja, Persoonlijk kapitaal kan zelfs veiliger zijn dan uw bank.

(Dit is de zorg die mensen het meest zorgen baart.)

Hoe is Persoonlijk kapitaal veiliger zal zijn dan uw bank?

Ze doen alles wat uw bank doet, plus meer, in sommige gevallen:

  1. Het is alleen-lezen. Wanneer u uw rekeningen koppelt aan Personal Capital, kan Personal Capital niet doen alles behalve de gegevens lezen. U kunt geen geld overmaken.
  2. Het is geen aantrekkelijk doelwit. Het is alleen-lezen en uw inloggegevens worden elders opgeslagen (Yodlee).
  3. Het heeft 2-factor autorisatie. Niet alle banken hebben 2-factor-autorisatie (prachtig maar waar), maar Personal Capital wel. Het is een extra en noodzakelijke beveiligingslaag.
  4. Ze versleutelen alles tot 256 bits. Tegen een aanval met brute kracht, het zou 1 miljard miljard jaar duren.
  5. Eén toegangspunt voor meerdere banken betekent dat u niet bij elk van die banken afzonderlijk hoeft in te loggen. Wanneer u zich aanmeldt bij uw Personal Capital, hoeft u zelfs nooit uw bankgegevens in te voeren, zodat deze nooit worden verzonden. Als uw computer is aangetast door malware of een keylogger, zijn uw financiële rekeningen veilig.

Niets is 100% veilig

Zoals ze zeggen, is onthouding het enige dat 100% veilig is.

Niets anders is 100% veilig. Persoonlijk kapitaal is niet 100% veilig. De beste alternatieven voor persoonlijk kapitaal zijn ook niet 100% veilig.

Als je nog een laag aan het systeem toevoegt, is het een andere laag die kan worden aangevallen.

Dat gezegd hebbende, moet u de voordelen afwegen die u krijgt van het gebruik ervan (u kunt lees mijn Personal Capital review om alles te zien wat ik wel en niet leuk vind aan hen) versus de kleine kans dat ze zouden kunnen worden aangevallen.

Ik vind het persoonlijk prettig om ze te gebruiken, maar dat is uiteindelijk aan jou om te beslissen. Ze hebben alle juiste beveiligingen aangebracht, vaak hogere normen dan vereist, en dat is goed genoeg voor mij.

Bekijk Persoonlijk Kapitaal

click fraud protection