Ich verwende Personal Capital monatlich, um Informationen zu meinem Vermögen zu sammeln. Ich bin seit über einem Jahrzehnt dabei.
Wenn ich Leuten erzähle, dass ich dafür ein Tool verwende, stellen sie mir alle die gleiche Frage – ist Personal Capital sicher?
Sicherheit ist eine der größten Sorgen, die Menschen bei jedem Finanzaggregator oder -tool haben. Ob es sich um Mint, Personal Capital oder einen anderen Dienst handelt – Ihre Daten in die „Cloud“ zu bringen, kann nervenaufreibend sein. Dies gilt insbesondere angesichts der vielen Hacks, die wir in letzter Zeit gesehen haben. Equifax, eine der größten Kreditauskunfteien, wurde gehackt und 143 Millionen Verbrauchern wurden ihre Daten gestohlen. Es war enorm.
Woher wissen Sie, dass Ihre Daten bei einem anderen Unternehmen sicher sind?
Es kommt auf zwei Schlüsselelemente an – wie schützen sie Ihre Informationen, wenn sie sie haben, und wie schützen sie die Übertragung Ihrer Informationen, während sie sie erhalten.
InhaltsverzeichnisZwei wichtige SicherheitsbereicheWie sicher sind meine Daten in der Cloud?Wie sicher sind meine Daten bei Personal Capital?Kurzanleitung zur VerschlüsselungWie sicher ist die Verbindung mit Personal Capital?Wie schützt Personal Capital vor BetrugIst Personal Capital sicher? Nichts ist 100 % sicher
Zwei wichtige Sicherheitsbereiche
Wenn es um Finanz-Apps und Sicherheit geht, gibt es zwei wichtige Punkte zu beachten:
Wie sicher sind meine Daten – Wenn Sie dem Tool Ihre Daten geben, wie werden diese gespeichert und geschützt? Was wird gespeichert und wo wird es gespeichert? Wie werden die Mitarbeiter überwacht, um jegliche Art von Diebstahl zu verhindern?Wie sicher ist die Verbindung – Wenn Sie mit dem Tool kommunizieren, wie sicher ist diese Verbindung? Wenn Sie sich anmelden, wenn Sie Ihre Daten einsehen, wenn Sie etwas aktualisieren, wenn Sie ihnen Ihre Zugangsdaten geben … die Übertragung dieser Daten unterliegt einem Risiko.
Die Informationen, die Sie in das System eingeben, müssen an ihrem Speicherort sicher sein. Die Art und Weise, wie Sie diese Informationen übermitteln, muss ebenfalls sicher sein.
Wie sicher sind meine Daten in der Cloud?
Eine der größten Bedenken, die Menschen mit Tools wie Personal Capital haben, ist, ihre Daten in der „Cloud“ zu haben.
Ich wandte mich an David M. Parker, Asst. Prof., Abt. of Accounting & Finance und Director, Centre for the Study of Fraud and Corruption an der Saint Xavier University, für seine Gedanken zu Dienstleistungen wie Mint und Personal Capital. Er teilte einige wertvolle Gedanken darüber mit, wie man die potenziellen Risiken und Vorteile der Verwendung von Cloud-basierten Tools abwägt:
In Bezug auf allgemeine Gedanken zum Speichern von Daten in der Cloud, indem Sie Ihre Daten an Amazon, Microsoft, Dropbox, Equifax, Ihre Bank, Google, Facebook oder wen auch immer weitergeben … ist es sicher? Jüngste Nachrichten enthüllen die vielen, vielen Unternehmen, die Datenpannen durch Cyberkriminelle erlitten haben.
Können Ihre Daten gestohlen werden, wenn Sie sie an die Cloud übergeben? Ja.
Sie entscheiden sich also dafür, Ihre Daten zu Hause sicher aufzubewahren. Kann es gestohlen werden? Auch ja. Cyberkriminelle können in Ihren Heimcomputer, Ihr Heim-WLAN, Ihren internetfähigen Thermostat oder Ihre Türklingel usw. eindringen.
Zu den Argumenten, die für die Cloud sprechen, gehört, dass ein großes Unternehmen wie Amazon oder Microsoft möglicherweise über mehr Ressourcen verfügt und bei der defensiven Sicherheit besser ist als Sie zu Hause sind. Und sicherlich ist es im besten Interesse ihres Unternehmens, ihr Bestes zu geben, um sicher zu bleiben. Sie bieten auch redundanten Speicher in einem Ausmaß, in dem Sie Ihre Daten nicht nur zu Hause aufbewahren würden, wo Ihre Festplatte explodieren oder Ihr Haus mit Ihren Daten darin niederbrennen könnte. Daher ist es oft ein akzeptables Risiko.
Ich habe keine direkte persönliche Erfahrung mit Mint oder Personal Capital. Mein Verständnis dieser Finanzdaten-Aggregatordienste von Drittanbietern ist, dass sie funktionieren, indem sie alle Ihre Finanzdaten an einem Ort sammeln und ihren Kunden den daraus resultierenden Komfort der schönen Grafiken und Diagramme bieten. Das bedeutet, dass sie mit Ihrer Bank, Ihrem Broker usw. zusammenarbeiten müssen, um Zugriff auf Ihre Transaktionen zu erhalten. Umfang und Art des Zugangs, den sie erhalten können, können davon abhängen, ob das Finanzinstitut sie als Partner oder Konkurrenten betrachtet.
Ein Problem, das mir in den Sinn kommt, ist die Größe der Angriffsfläche. Wenn sowohl Ihre Bank als auch Ihr Aggregator eine Kopie Ihrer Informationen haben, gibt dies dem Kriminellen zwei mögliche Ziele, von denen er sie stehlen kann. Wenn alle Ihre Informationen an einem Ort gesammelt werden, hat der Kriminelle jetzt alles aus einer Hand, anstatt in mehrere Konten einzudringen.
Risiken wird es immer geben. Kein System wird jemals vollkommen sicher sein. Es wird immer Schwachstellen und schlechte Leute geben, die bereit sind, sie auszunutzen. Es kommt aber immer auf eine individuelle Beurteilung an, ob das Risiko im Vergleich zum Nutzen der Dienstleistung angemessen oder gering ist.
Ihre Daten sind zu Hause nicht 100 % sicher und in der Cloud nicht 100 % sicher.
Die Unternehmen, denen Sie Ihre Daten anvertrauen, verfügen jedoch über Sicherheitsvorkehrungen („defensive Sicherheit“), um Sie zu schützen.
Werfen wir einen genaueren Blick auf Personal Capital und was es tut, um Ihre Daten zu sichern.
Wie sicher sind meine Daten bei Personal Capital?
Sind Sie besorgt darüber, dass Ihre Daten auf Servern von Personal Capital gespeichert werden?
Der Typ, mit dem Sie sprechen sollten, wenn es um Sicherheit bei Personal Capital geht, ist Fritz Robbins. Er ist deren Chief Technology Officer und Chief Information Officer. Er verfügt über mehr als 20 Jahre Erfahrung in diesem Bereich, darunter eine dreijährige Tätigkeit als Systemarchitekt bei RSA Security und 8 Jahre als Leiter seines eigenen Softwareentwicklungsunternehmens für den gesamten Lebenszyklus. Er hat obendrein einen MS in Informatik von der Stanford University.
(Außerdem war der Gründer von Personal Capital, Bill Harris, Mitbegründer von PassMark Security, einem Unternehmen, das Online-Authentifizierungssysteme entwickelt hat, die von den meisten großen Banken verwendet werden, und Fritz Robbins war ebenfalls bei diesem Unternehmen.)
Ich habe Fritz nach Sicherheit gefragt und er hat einige der Punkte erwähnt, auf die ich unten näher eingehen werde:
Unserer Ansicht nach ist das Anzeigen Ihrer Bank- und Brokerage-Konten über Personal Capital *sicherer*, als direkt von Ihrem Browser aus auf die Banking-/Brokerage-Website zu gehen. Sie haben viele der Gründe angesprochen, warum:
Ihre Anmeldeinformationen werden in einem sicheren Rechenzentrum gespeichert und nicht immer über den (im Allgemeinen weniger sicheren) Browser des Benutzers übertragen. Die Verbindung ist schreibgeschützt und es kann kein Geld von Ihrem Bank-/Brokerage-Konto über Personal Capital und Ihr Banking/Brokerage transferiert werden Passwörter werden niemals von unseren Servern an Ihren Browser zurückgegeben. Unser Service benachrichtigt Sie über alle Bank-/Vermittlungstransaktionen (per E-Mail oder mobilen Push-Benachrichtigungen), was es Ihnen leicht macht, Ihre Bank-/Vermittlungskonten auf Betrug zu überwachen, alles an einem Ort !
Nicht umsonst, aber die Sicherheitsvorkehrungen des Teams hinter Personal Capital zu kennen, gibt mir die Gewissheit, dass sie auf dem neuesten Stand sind.
Es gibt zwei Möglichkeiten, wie Personal Capital Ihre Daten schützt:
Sie verwenden eine sehr starke Verschlüsselung und haben strenge interne Zugriffskontrollen.
Schnelle Einführung in die Verschlüsselung
(Klicken Sie hier, um diesen Abschnitt zu erweitern und eine Einführung in die Verschlüsselung zu lesen)
Wenn Sie Ihre Bankdaten in Personal Capital eingeben, werden sie mit AES-256 mit mehrschichtiger Schlüsselverwaltung verschlüsselt, die die Rotation benutzerspezifischer Schlüssel und Salze umfasst. AES-256 ist der Advanced Encryption Standard (AES) und der Goldstandard, wie er vom NIST, dem United States National Institute of Standards and Technology, festgelegt wurde. 256 bezieht sich auf die Länge des verwendeten Schlüssels und 256 Bit ist am längsten. Es ist auch die gleiche Verschlüsselung, die von der US-Regierung verwendet wird.
Sie speichern niemals Ihre finanziellen Anmeldedaten. Diese Daten werden verschlüsselt und bei Envestnet Yodlee gespeichert, einer Plattform, die eine Wäscheliste mit Finanzdienstleistungs- und Vermögensverwaltungstools und -unternehmen betreibt. Yodless wird regelmäßig vom Office of the Comptroller of the Currency geprüft und seine Sicherheitsverfahren sind hier verfügbar.
Was interne Zugriffskontrollen betrifft, hat niemand bei Personal Capital Zugriff auf Ihre Anmeldeinformationen. Null.
Wie sicher ist die Verbindung mit persönlichem Kapital?
Ihre Daten sind auf ihren Servern sicher und verschlüsselt, aber sie müssen zuerst dort ankommen, ohne dass jemand nachsieht.
Hier spielt die Verschlüsselung noch eine weitere Rolle.
Ihre gesamte Online-Interaktion mit Personal Capital ist verschlüsselt, sodass niemand entschlüsseln kann, was Sie mit Personal Capital-Servern kommunizieren. Sie bevorzugen TLS 1.2, unterstützen aber auch TLS 1.1 und TLS 1.0. Sie lassen keine anderen weniger sicheren Protokolle zu. Bei der Verschlüsselung müssen Sie Schlüssel während einer Kommunikationssitzung austauschen, und sie verwenden den ECDHE-Schlüsselaustausch für Perfect Forward Secrecy (lesen Sie die Verschlüsselungs-Grundlage für weitere Informationen).
Sie erfordern auch eine 2-Faktor-Autorisierung. Das bedeutet, dass, wenn Sie sich von einem unbekannten oder neuen Gerät aus anmelden, Ihre Identität über Ihr Telefon oder Ihre E-Mail bestätigt wird (Sie wählen es bei der Einrichtung aus). Ich denke, es ist ein Muss für jedes Finanzinstitut, und es gibt einige Banken, die dies noch nicht haben!
Schließlich werden ihre Apps von NowSecure und dem AppSecure-Zertifizierungsprozess getestet.
Wie persönliches Kapital vor Betrug schützt
Bisher haben wir nur darüber gesprochen, wie Personal Capital Sie und Ihre Daten schützt. Was ist, wenn die Daten schlecht sind?
Was passiert, wenn Ihre Kreditkarte auf betrügerische Weise verwendet wird? Personal Capital überwacht Ihre Transaktionen und kann Ihnen eine tägliche Transaktionsüberwachungs-E-Mail senden, die alles auflistet, was es an diesem Tag gesehen hat. Anstatt Ihre Abrechnung am Ende des Monats zu überprüfen, überprüfen Sie sie täglich, wenn Ihr Gedächtnis frisch ist. Sie erinnern sich vielleicht nicht an eine Transaktion von vor zwei Wochen, aber wenn es heute passiert ist, werden Sie es tun.
Ich persönlich setze Transaktionsbenachrichtigungen für jeden Betrag über 0 $ oder 1 $ (abhängig von der Karte, einige lassen Sie nicht 0 $ tun), aber dies ist eine gute Alternative, wenn Sie der Meinung sind, dass das Niveau der Benachrichtigungen übertrieben ist (wahrscheinlich ist es das).
Ist persönliches Kapital sicher?
Ja, Personal Capital könnte tatsächlich sicherer sein als Ihre Bank.
(Das ist die Sorge, die die Menschen am meisten beunruhigt.)
Wie wird Personal Capital sicherer als Ihre Bank?
Sie tun alles, was Ihre Bank tut, und in einigen Fällen noch mehr:
Es ist schreibgeschützt. Wenn Sie Ihre Konten mit Personal Capital verbinden, kann Personal Capital dies nicht tun alles, außer die Daten lesen. Sie können kein Geld überweisen. Es ist kein attraktives Ziel. Es ist schreibgeschützt und Ihre Anmeldeinformationen werden an anderer Stelle gespeichert (Yodlee). Es verfügt über eine 2-Faktor-Autorisierung. Nicht alle Banken haben eine 2-Faktor-Autorisierung (verblüffend, aber wahr), Personal Capital jedoch schon. Es ist eine zusätzliche und notwendige Sicherheitsebene. Sie verschlüsseln alles mit 256 Bit. Gegen einen Brute-Force-Angriff würde es 1 Milliarde Jahre dauern. Ein Zugangspunkt für mehrere Banken bedeutet, dass Sie sich nicht bei jeder dieser Banken einzeln anmelden müssen. Wenn Sie sich bei Ihrem persönlichen Kapital anmelden, müssen Sie niemals Ihre Bankdaten eingeben, damit diese niemals übertragen werden. Wenn Ihr Computer durch Malware oder einen Keylogger kompromittiert ist, sind Ihre Finanzkonten sicher.
Nichts ist 100 % sicher
Wie sie sagen, das einzige, was 100% sicher ist, ist Abstinenz.
Nichts anderes…