O capital pessoal é seguro? Segurança de capital pessoal explicada

BlogInvestir Com PrudênciaAug 18, 2021
instagram viewer

eu uso Capital Pessoal em uma base mensal para coletar minhas informações de patrimônio líquido. Eu estou nisso há mais de uma década.

Quando digo às pessoas que uso uma ferramenta para fazer isso, todas me fazem a mesma pergunta - o Capital Pessoal é seguro?

A segurança é uma das maiores preocupações que as pessoas têm com qualquer agregador ou ferramenta financeira. Seja o Mint, Personal Capital ou algum outro serviço - colocar seus dados na "nuvem" pode ser enervante. Isso é especialmente verdadeiro considerando a quantidade de hacks que vimos recentemente. A Equifax, uma das maiores agências de relatórios de crédito, foi hackeada e 143 milhões de consumidores tiveram seus dados roubados. Foi enorme.

Como você sabe se seus dados estarão seguros em outra empresa?

Tudo se resume a duas partes principais - como eles protegem suas informações quando as têm e como eles protegem a transmissão de suas informações enquanto as obtêm.

Índice
  1. Duas áreas-chave de segurança
  2. Quão seguros estão meus dados na nuvem?
  3. Quão seguros estão meus dados na Personal Capital?
  4. Cartilha rápida sobre criptografia
  5. Quão segura é a conexão com o capital pessoal?
  6. Como Capital Pessoal Protege Contra Fraudes
  7. O capital pessoal é seguro?
  8. Nada é 100% seguro

Duas áreas-chave de segurança

Quando se trata de aplicativos financeiros e segurança, há duas peças-chave a serem observadas:

  1. Quão seguros estão meus dados - Quando você fornece seus dados à ferramenta, como eles são armazenados e protegidos? O que é armazenado e onde está armazenado? Como os funcionários são monitorados para evitar qualquer tipo de furto?
  2. Quão segura é a conexão - Quando você se comunica com a ferramenta, quão segura é essa conexão? Quando você faz o login, quando você visualiza seus dados, quando você atualiza qualquer coisa, quando você dá a eles suas credenciais... a transmissão desses dados está sujeita a riscos.

As informações que você coloca no sistema devem estar seguras em seu local de armazenamento. A maneira como você comunica essas informações também deve ser segura.

Quão seguros estão meus dados na nuvem?

Uma das maiores preocupações que as pessoas têm com ferramentas como Personal Capital é ter seus dados na "nuvem".

Procurei David M. Parker, Asst. Prof., Div. de Contabilidade e Finanças e Diretor do Centro de Estudos de Fraude e Corrupção da Saint Xavier University, por seus pensamentos sobre serviços como Mint e Capital Pessoal. Ele compartilhou algumas idéias valiosas sobre como pesar os riscos e recompensas potenciais do uso de ferramentas baseadas na nuvem:

David M. Parker, Asst. Prof., Div. de Contabilidade e Finanças e Diretor, Centro para o Estudo de Fraude e Corrupção

No que diz respeito às ideias gerais sobre o armazenamento de dados na nuvem, fornecendo seus dados para a Amazon, Microsoft, Dropbox, Equifax, seu banco, Google, Facebook ou quem quer que seja... é seguro? Notícias recentes revelam muitas, muitas empresas que sofreram violações de dados nas mãos de cibercriminosos.

Seus dados podem ser roubados se você entregá-los à nuvem? sim.

Portanto, você decide manter seus dados seguros em casa. Pode ser roubado? Também sim. Os cibercriminosos podem invadir seu computador residencial, seu wi-fi doméstico, seu termostato ou campainha habilitado para Internet, etc.

Os pontos a favor da nuvem incluem que uma grande empresa como a Amazon ou a Microsoft pode ter mais recursos e ser melhor em segurança defensiva do que você em casa. E, certamente, é do interesse de seus negócios fazer o melhor para permanecer seguro. Eles também oferecem armazenamento redundante de forma que você não teria apenas armazenar seus dados em casa, onde seu disco rígido poderia explodir ou sua casa queimar com seus dados. Portanto, geralmente é um risco aceitável.

Não tenho experiência pessoal direta com Mint ou Capital Pessoal. Meu entendimento desses serviços agregadores de dados financeiros de terceiros é que eles funcionam reunindo todos os seus dados financeiros em um só lugar e oferecendo a seus clientes a conveniência resultante de belos gráficos e tabelas. Isso significa que eles precisam trabalhar com seu banco, corretor, etc. para obter acesso às suas transações. A extensão e o tipo de acesso que poderão obter dependerá do fato de a instituição financeira os ver como um parceiro ou um concorrente.

Uma questão que me vem à mente é o tamanho da superfície de ataque. Se seu banco e seu agregador tiverem uma cópia de suas informações, isso dará ao criminoso dois possíveis alvos para roubá-la. Além disso, se todas as suas informações forem coletadas em um local, em vez de ter que invadir várias contas, o criminoso agora tem um balcão único.

Sempre haverá riscos. Nenhum sistema estará perfeitamente seguro. Sempre haverá vulnerabilidades e pessoas más dispostas a explorá-las. Mas, sempre se resume a um julgamento individual sobre se o risco é razoável ou mínimo em comparação com o benefício do serviço.

Seus dados não estão 100% seguros em casa e não são 100% seguros na nuvem.

Mas as empresas nas quais você confia seus dados terão salvaguardas em vigor (“segurança defensiva”) para protegê-lo.

Vamos dar uma olhada em Personal Capital e o que eles fazem para proteger seus dados.

Quão seguros estão meus dados na Personal Capital?

Você está preocupado com seus dados sendo armazenados em Capital Pessoal servidores?

O cara com quem você quer falar quando se trata de segurança na Personal Capital é Fritz Robbins. Ele é o Diretor de Tecnologia e Diretor de Informações. Ele tem mais de 20 anos de experiência em seu campo, incluindo uma passagem de três anos como arquiteto de sistema na RSA Security e 8 anos administrando sua própria empresa de engenharia de software de ciclo de vida completo. Ele possui um M.S. em Ciência da Computação pela Universidade de Stanford para arrancar.

(também, pelo que vale a pena, o fundador da Personal Capital, Bill Harris, cofundou a PassMark Security, uma empresa que construiu sistemas de autenticação online usados ​​pela maioria dos grandes bancos, e Fritz Robbins estava com essa empresa como Nós vamos)

Perguntei a Fritz sobre segurança e ele mencionou alguns dos pontos que aprofundarei a seguir:

Fritz Robbins, CTO / CIO da Personal Capital

Nosso ponto de vista é que visualizar suas contas bancárias e de corretagem via Capital Pessoal é * mais seguro * do que ir diretamente para o site do banco / corretora de seu navegador. Você mencionou muitos dos motivos:

  1. Suas credenciais são armazenadas em um data center seguro em vez de sempre serem transmitidas por meio do navegador do usuário (geralmente menos seguro)
  2. A conexão é somente leitura e nenhum dinheiro pode ser transferido de sua conta bancária / corretora via Capital pessoal, e suas senhas de banco / corretora nunca são devolvidos ao seu navegador a partir de nosso servidores.
  3. Nosso serviço fornece notificação de todas as transações bancárias / corretora (via e-mail ou push móvel notificações) que facilitam o monitoramento de fraudes em suas contas bancárias / corretoras, tudo em um Lugar, colocar!

Não é à toa, mas conhecer os recursos de segurança da equipe por trás do Personal Capital me dá a confiança de que eles estão no topo de seu jogo.

Existem duas maneiras de o Capital Pessoal manter seus dados protegidos:

  • Eles usam criptografia muito poderosa e,
  • Eles têm controles de acesso internos rígidos.

Cartilha rápida sobre criptografia

(clique para expandir esta seção e leia uma introdução sobre criptografia)

A criptografia é fascinante. A ideia básica por trás da criptografia é que você tem duas chaves, uma pública e uma privada.

Se você deseja criptografar algo que só eu posso ler, você precisa da minha chave pública. Você criptografa sua mensagem com minha chave pública e, em seguida, fornece a mensagem criptografada. A única maneira de descriptografá-lo é usando minha chave privada (que eu nunca compartilharia). Se eu quiser enviar algo criptografado, precisarei de sua chave pública para criptografá-lo. Só então você pode descriptografá-lo usando sua chave privada.

Fundamentalmente, todas as comunicações criptografadas modernas funcionam dessa maneira. Existem variações para torná-lo mais seguro, dependendo de suas necessidades (mais aros = mais seguro = mais tempo).

Por exemplo, uma variação clássica é confiar em chaves de “sessão” em vez de chaves “permanentes”. É como usar um número de cartão de crédito temporário em vez do número real. Para cada conversa, você cria novas chaves que expiram após o término da sessão.

Outra variação é como obtemos as chaves públicas umas das outras. Podemos apenas publicá-los, e normalmente não há problema, ou podemos usar o que é conhecido como Troca de chave Elliptic Curve Diffie-Hellman (ECDHE). São chaves mais temporárias que apenas nós dois usaríamos para esta única sessão. É isso que o Capital Pessoal usa.

AES-256 é uma criptografia muito séria.

Quando você insere suas credenciais bancárias no Capital Pessoal, eles as criptografam com AES-256 com gerenciamento de chaves multicamadas, que inclui chaves e sais específicos do usuário rotativos. AES-256 é o Advanced Encryption Standard (AES) e é o padrão ouro conforme determinado pelo NIST, o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos. 256 refere-se ao comprimento da chave usada e 256 bits é o mais longo. É também a mesma criptografia usada pelo governo dos EUA.

Eles nunca armazenam suas credenciais de login financeiro. Esses dados são criptografados e armazenados em Envestnet Yodlee, uma plataforma que alimenta uma longa lista de serviços financeiros e ferramentas de gestão de patrimônio e empresas. A Yodless é auditada periodicamente pela Controladoria da Moeda e seus processos de segurança estão disponíveis aqui.

Quanto aos controles de acesso interno, ninguém na Personal Capital tem acesso às suas credenciais. Zero.

Quão segura é a conexão com o capital pessoal?

Seus dados estão seguros e criptografados em seus servidores, mas eles precisam chegar lá primeiro, sem ninguém espiar.

É aí que a criptografia desempenha ainda outro papel.

Toda a sua interação online com a Personal Capital é criptografada, para que ninguém possa decifrar o que você está se comunicando com os servidores da Personal Capital. Eles preferem o TLS 1.2, mas também aceitam o TLS 1.1 e o TLS 1.0. Eles não permitem outros protocolos menos seguros. Na criptografia, você precisa trocar as chaves durante uma sessão de comunicação e eles usam a troca de chaves ECDHE para o Perfect Forward Secrecy (leia a cartilha de criptografia para mais informações).

Eles também exigem Autorização de 2 fatores. Isso significa que se você fizer login a partir de um dispositivo novo ou desconhecido, eles confirmarão que é você por meio do seu telefone ou e-mail (você escolhe ao configurar). Acho que é uma obrigação para qualquer instituição financeira e existem alguns bancos que ainda não têm!

Finalmente, seus aplicativos são testados pelo NowSecure e pelo processo de certificação AppSecure.

Como Capital Pessoal Protege Contra Fraudes

Até este ponto, falamos apenas sobre como o Personal Capital protege você e seus dados. E se os dados forem ruins?

E se o seu cartão de crédito for usado de forma fraudulenta? O Personal Capital monitora suas transações e pode enviar a você um e-mail do Daily Transaction Monitor que lista tudo o que viu naquele dia. Em vez de revisar seu extrato no final do mês, você o analisa diariamente quando sua memória está fresca. Você pode não se lembrar de uma transação de duas semanas atrás, mas se aconteceu hoje, você se lembrará.

Eu pessoalmente definir notificações de transação para qualquer valor acima de $ 0 ou $ 1 (depende do cartão, alguns não permitem que você faça $ 0), mas esta é uma boa alternativa se você achar que o nível de notificações é exagero (provavelmente é).

O capital pessoal é seguro?

Sim, Capital Pessoal pode realmente ser mais seguro do que seu banco.

(Esta é a preocupação que mais preocupa as pessoas.)

Como é Capital Pessoal vai ser mais seguro do que o seu banco?

Eles fazem tudo o que seu banco faz e mais, em alguns casos:

  1. É somente leitura. Quando você conecta suas contas ao Capital Pessoal, o Capital Pessoal não pode Faz qualquer coisa, exceto ler os dados. Você não pode transferir fundos.
  2. Não é um alvo atraente. É somente leitura e suas credenciais são armazenadas em outro lugar (Yodlee).
  3. Possui autorização de 2 fatores. Nem todos os bancos têm autorização de dois fatores (impressionante, mas verdadeiro), mas o Capital Pessoal tem. É uma camada extra e necessária de segurança.
  4. Eles criptografam tudo em 256 bits. Contra um ataque de força bruta, levaria 1 bilhão de bilhões de anos.
  5. Um ponto de acesso para vários bancos significa que você não precisa fazer login em cada um desses bancos individualmente. Na verdade, quando você faz login em seu Capital Pessoal, nunca precisa inserir suas credenciais bancárias para que elas nunca sejam transmitidas. Se o seu computador estiver comprometido por malware ou um keylogger, suas contas financeiras estão seguras.

Nada é 100% seguro

Como se costuma dizer, a única coisa que é 100% segura é a abstinência.

Nada mais é 100% seguro. Capital Pessoal não é 100% seguro. O melhores alternativas para Capital Pessoal também não são 100% seguros.

Se você adicionar outra camada ao sistema, é outra camada que pode ser atacada.

Dito isso, você deve pesar os benefícios que obtém ao usá-los (você pode leia minha crítica sobre Capital Pessoal para ver tudo o que gosto e não gosto neles) versus a pequena chance de serem atacados.

Pessoalmente, estou confortável em usá-los, mas, em última análise, cabe a você decidir. Eles colocaram todas as proteções adequadas no lugar, muitas vezes padrões mais elevados do que o necessário, e isso é bom o suficiente para mim.

Confira Capital Pessoal

click fraud protection