Är personligt kapital säkert? Personal Capital Security förklaras

BloggInvestera FörsiktigtAug 18, 2021
instagram viewer

jag använder Personligt kapital på månadsbasis till samla min nettovärdesinformation. Jag har varit med om det för över ett decennium.

När jag berättar för människor att jag använder ett verktyg för att göra det, ställer de mig alla samma fråga - är Personal Capital säkert?

Säkerhet är en av de största bekymmerna som människor har med någon finansiell aggregat eller verktyg. Oavsett om det är Mint, Personal Capital eller någon annan tjänst - att lägga in dina data i "molnet" kan vara oroande. Detta gäller särskilt med tanke på hur många hack vi har sett nyligen. Equifax, en av de största kreditupplysningsföretagen, hackades och 143 miljoner konsumenter fick sina data stulna. Det var enormt.

Hur vet du att din data kommer att vara säker på ett annat företag?

Det handlar om två viktiga delar - hur skyddar de din information när de har den och hur skyddar de överföringen av din information medan de får den.

Innehållsförteckning
  1. Två viktiga säkerhetsområden
  2. Hur säker är mina data i molnet?
  3. Hur säker är mina uppgifter i personligt kapital?
  4. Snabb primer på kryptering
  5. Hur säker är förbindelsen med personligt kapital?
  6. Hur personligt kapital skyddar mot bedrägeri
  7. Är personligt kapital säkert?
  8. Ingenting är 100% säkert

Två viktiga säkerhetsområden

När det gäller finansiella appar och säkerhet finns det två viktiga delar att titta på:

  1. Hur säker är mina data - När du ger verktyget dina data, hur lagras och skyddas de? Vad lagras och var lagras det? Hur övervakas de anställda för att förhindra någon form av stöld?
  2. Hur säker är anslutningen - Hur säker är den anslutningen när du kommunicerar med verktyget? När du loggar in, när du ser dina data, när du uppdaterar någonting, när du ger dem din legitimation... överföringen av dessa data är utsatt för risk.

Informationen du lägger in i systemet måste vara säker på lagringsplatsen. Sättet du kommunicerar den informationen måste också vara säkert.

Hur säker är mina data i molnet?

En av de största bekymmerna som människor har med verktyg som Personal Capital är att ha sina data i "molnet".

Jag tog kontakt med David M. Parker, ass. Prof., div. för redovisning och finans och direktör, Center for the Study of Fraud and Corruption vid Saint Xavier University, för hans tankar om tjänster som mynt och personligt kapital. Han delade några värdefulla tankar om hur man väger de potentiella riskerna och fördelarna med att använda molnbaserade verktyg:

David M. Parker, ass. Prof., div. för redovisning och finans och direktör, Center for the Study of Fraud and Corruption

När det gäller allmänna tankar om lagring av data i molnet genom att ge dina data till Amazon, Microsoft, Dropbox, Equifax, din bank, Google, Facebook eller vem som helst... är det säkert? De senaste nyheterna avslöjar de många, många företag som har drabbats av dataintrång från cyberkriminella.

Kan din data bli stulen om du överlämnar den till molnet? Ja.

Så du bestämmer dig för att hålla dina data säkra hemma. Kan det bli stulet? Också ja. Cyberbrottslingar kan bryta sig in i din hemdator, ditt hem wi-fi, din internetaktiverade termostat eller dörrklocka etc.

Poäng till förmån för molnet inkluderar att ett stort företag som Amazon eller Microsoft kan ha fler resurser och vara bättre på defensiv säkerhet som du är hemma. Och visst är det i deras företags bästa intresse att göra sitt bästa för att vara säkra. De erbjuder också redundant lagring i en utsträckning som du inte bara skulle lagra dina data hemma där din hårddisk kan sprängas eller ditt hus brinna med dina data i den. Så det är ofta en acceptabel risk.

Jag har ingen direkt personlig erfarenhet av Mint eller Personal Capital. Min förståelse för dessa tredjepartstjänster för finansiell dataaggregat är att de fungerar genom att samla alla dina ekonomisk data på ett ställe och erbjuder sina kunder den resulterande bekvämligheten med de fina graferna och diagrammen. Det betyder att de måste arbeta med din bank, mäklare etc. för att få tillgång till dina transaktioner. Omfattningen och typen av åtkomst de kommer att kunna få kan bero på om finansinstitutet ser dem som en partner eller en konkurrent.

En fråga som jag tänker på är storleken på attackytan. Om din bank och din samlare båda har en kopia av din information ger den brottslingen två möjliga mål att stjäla den från. Om all din information samlas in på ett ställe, snarare än att behöva bryta in på flera konton, har brottslingen nu en enda shopping.

Det kommer alltid att finnas risker. Inget system kommer någonsin att vara helt säkert. Det kommer alltid att finnas sårbarheter och dåliga människor som är villiga att utnyttja dem. Men det handlar alltid om en individuell bedömning av om risken är rimlig eller minimal jämfört med tjänsten.

Dina data är inte 100% säkra hemma och det är inte 100% säkra i molnet.

Men de företag som du litar på med dina uppgifter kommer att ha skyddsåtgärder ("defensiv säkerhet") för att skydda dig.

Låt oss titta närmare på Personal Capital och vad de gör för att säkra dina data.

Hur säker är mina uppgifter i personligt kapital?

Är du orolig för att dina data ska lagras på Personligt kapital servrar?

Killen du vill prata med när det gäller säkerhet på Personal Capital är Fritz Robbins. Han är deras teknologichef och informationschef. Han har över 20 års erfarenhet inom sitt område, inklusive en treårig period som systemarkitekt på RSA Security och 8 år som driver sitt eget program för hela mjukvaruutveckling. Han har en M.S. i datavetenskap från Stanford University för att starta.

(också, för vad det är värt, var Personal Capitals grundare Bill Harris med och grundade PassMark Security, ett företag som byggde online -autentiseringssystem som används av de flesta större banker, och Fritz Robbins var med det företaget som väl)

Jag frågade Fritz om säkerhet och han nämnde några av punkterna som jag kommer att dyka djupare på nedan:

Fritz Robbins, CTO/CIO för Personal Capital

Vår synvinkel är att visning av dina bank- och mäklarkonton via Personal Capital är * säkrare * än att gå direkt till bank-/mäklarsidan från din webbläsare. Du berörde många av anledningarna till varför:

  1. Dina referenser lagras i ett säkert datacenter kontra att de alltid överförs via användarens (i allmänhet mindre säkra) webbläsare
  2. Anslutningen är skrivskyddad och inga pengar kan överföras från ditt bank-/mäklarkonto via Personligt kapital och dina bank-/mäklarlösenord returneras aldrig till din webbläsare från vår servrar.
  3. Vår tjänst ger dig meddelande om alla bank-/mäklartransaktioner (via e -post eller mobil push aviseringar) som gör det enkelt för dig att övervaka dina bank-/mäklarkonton för bedrägeri, allt i ett plats!

Inte för ingenting men att känna till säkerhetshackarna i teamet bakom Personal Capital ger mig förtroende att de är på topp i sitt spel.

Det finns två sätt som Personal Capital håller dina data säkra på:

  • De använder mycket kraftfull kryptering och,
  • De har strikta interna åtkomstkontroller.

Snabb primer på kryptering

(klicka för att expandera det här avsnittet och läs en primer om kryptering)

Kryptering är fascinerande. Grundtanken bakom kryptering är att du har två nycklar, en offentlig nyckel och en privat nyckel.

Om du vill kryptera något som bara jag kan läsa behöver du min offentliga nyckel. Du krypterar ditt meddelande med min offentliga nyckel och ger sedan det krypterade meddelandet. Det enda sättet att dekryptera det är att använda min privata nyckel (som jag aldrig skulle dela). Om jag vill skicka dig något krypterat behöver jag din offentliga nyckel för att kryptera det. Då är det bara du som kan dekryptera den med din privata nyckel.

I grunden fungerar modern krypterad kommunikation på detta sätt. Det finns variationer för att göra det säkrare, beroende på dina behov (fler ringar = säkrare = mer tid).

Till exempel är en klassisk variant att förlita sig på "session" -nycklar snarare än "permanenta". Det är som att använda ett tillfälligt kreditkortsnummer snarare än ditt faktiska. För varje konversation skapar du nya nycklar som löper ut efter att sessionen är över.

En annan variant är hur vi får de offentliga nycklarna till varandra. Vi kan bara publicera dem, och det är vanligtvis bra, eller så kan vi använda det som kallas Elliptic Curve Diffie-Hellman (ECDHE) nyckelbyte. Det är mer tillfälliga nycklar som bara vi två skulle använda för denna enda session. Detta är vad Personal Capital använder.

AES-256 är allvarligt allvarlig kryptering.

När du anger dina bankuppgifter i Personal Capital, krypterar de det med AES-256 med nyckelhantering i flera lager, vilket inkluderar roterande användarspecifika nycklar och salter. AES-256 är Advanced Encryption Standard (AES) och är guldstandarden enligt NIST, United States National Institute of Standards and Technology. 256 hänvisar till längden på nyckeln som används och 256-bitars är den längsta. Det är också samma kryptering som används av den amerikanska regeringen.

De lagrar aldrig dina ekonomiska inloggningsuppgifter. Den informationen krypteras och lagras på Envestnet Yodlee, en plattform som driver en tvättlista över finansiella tjänster och förmögenhetsförvaltningsverktyg och företag. Yodless granskas regelbundet av kontoret för valutakontrollören och deras säkerhetsprocesser är tillgängliga här.

När det gäller interna åtkomstkontroller har ingen på Personal Capital tillgång till dina uppgifter. Noll.

Hur säker är förbindelsen med personligt kapital?

Dina uppgifter är säkra och krypterade på deras servrar, men de måste komma dit först utan att någon tittar.

Det är där kryptering spelar ännu en roll.

All din online -interaktion med Personal Capital är krypterad, så ingen kan dechiffrera vad du kommunicerar med Personal Capital -servrar. De föredrar TLS 1.2 men stöder också TLS 1.1 och TLS 1.0. De tillåter inte andra mindre säkra protokoll. I kryptering måste du byta nycklar under en kommunikationssession och de använder ECDHE -nyckelutbyte för Perfect Forward Secrecy (läs krypteringsprimern för mer information).

De kräver också 2-faktor auktorisation. Det betyder att om du loggar in från en okänd eller ny enhet kommer de att bekräfta att det är du via din telefon eller e -post (du väljer när du konfigurerar den). Jag tycker att det är ett måste för alla finansinstitut och det finns några banker som inte har detta ännu!

Slutligen testas deras appar av NowSecure och AppSecures certifieringsprocess.

Hur personligt kapital skyddar mot bedrägeri

Hittills har vi bara pratat om hur Personal Capital skyddar dig och dina data. Vad händer om uppgifterna är dåliga?

Vad händer om ditt kreditkort används på ett bedrägligt sätt? Personal Capital övervakar dina transaktioner och kan skicka dig ett e -postmeddelande med Daily Transaction Monitor som visar allt det har sett den dagen. Istället för att granska ditt uttalande i slutet av månaden, granskar du det dagligen när ditt minne är fräscht. Du kanske inte kommer ihåg en transaktion från två veckor sedan men om det hände idag, kommer du att göra det.

jag personligen ange transaktionsaviseringar för alla belopp över $ 0 eller $ 1 (beror på kortet, vissa låter dig inte göra $ 0), men det här är ett bra alternativ om du tycker att aviseringsnivån är för hög (det är förmodligen).

Är personligt kapital säkert?

Ja, Personligt kapital kan faktiskt vara säkrare än din bank.

(Det är det som oroar människor mest.)

Hur är Personligt kapital kommer att vara säkrare än din bank?

De gör allt din bank gör plus mer, i vissa fall:

  1. Det är skrivskyddat. När du ansluter dina konton till Personal Capital kan inte Personal Capital det do allt utom att läsa data. Du kan inte överföra pengar.
  2. Det är inte ett tilltalande mål. Den är skrivskyddad och dina uppgifter lagras någon annanstans (Yodlee).
  3. Den har 2-faktor auktorisering. Inte alla banker har 2-faktor auktorisation (bedövande men sant) men Personal Capital gör det. Det är ett extra och nödvändigt lager av säkerhet.
  4. De krypterar allt till 256 bitar. Mot en brutal kraftattack, det skulle ta 1 miljard miljarder år.
  5. En åtkomstpunkt för flera banker betyder att du inte behöver logga in på var och en av dessa banker individuellt. Faktum är att när du loggar in på ditt personliga kapital behöver du aldrig ange dina bankuppgifter så att det aldrig överförs. Om din dator utsätts för skadlig kod eller en keylogger är dina finansiella konton säkra.

Ingenting är 100% säkert

Som de säger, det enda som är 100% säkert är avhållsamhet.

Inget annat är 100% säkert. Personligt kapital är inte 100% säker. De bästa alternativen till Personal Capital är inte heller 100% säkra.

Om du lägger till ytterligare ett lager i systemet är det ett annat lager som kan attackeras.

Som sagt, du måste väga fördelarna med att använda dem (du kan läs min Personal Capital -recension att se allt jag gillar och ogillar med dem) kontra den lilla chansen att de kan bli attackerade.

Jag är personligen bekväm med att använda dem men det är i slutändan du som bestämmer. De har infört alla korrekta skydd, ofta högre standarder än vad som krävs, och det är tillräckligt bra för mig.

Kolla in Personal Capital

click fraud protection