Cómo YPA Finance protege los datos de tu dinero — y cómo lo construimos así

Seguridad es una de esas palabras que se usan tanto que dejan de significar algo. Cada app de finanzas dice que se la toma en serio. Casi ninguna explica cómo se ve eso de verdad por debajo.

Así que voy a hacer algo diferente. Voy a contarte exactamente cómo construimos la infraestructura de seguridad de YPA Finance — los estándares de cifrado que usamos, los socios que elegimos y por qué, las cosas que nunca almacenamos y dónde estamos en nuestro camino hacia el cumplimiento. Los detalles concretos, no los argumentos de venta.

Si ya leíste mi texto sobre conectar tu cuenta bancaria a una app de finanzas, este va una capa más profundo.

La seguridad no se añadió después. Fue el punto de partida.

He visto lo que pasa cuando las startups le ponen seguridad después. Aparece en su arquitectura, en su modelo de datos, en su respuesta a incidentes. Se nota.

Cuando diseñamos YPA Finance, tomamos una decisión temprano: no íbamos a almacenar nada que no necesitáramos absolutamente. Ni tus credenciales bancarias. Ni tu Social Security Number. Ni los números de tus tarjetas de pago. Si no tenemos los datos, no nos los pueden robar. Eso no es una declaración filosófica — es una restricción arquitectónica alrededor de la cual construimos todo el producto.

Esa única decisión terminó dirigiendo prácticamente todo lo demás — con quién nos asociamos, cómo estructuramos nuestro modelo de datos, qué acordamos no tocar nunca.

La capa de cifrado: AES-256 y TLS 1.3

Cada byte de tus datos financieros en YPA Finance se cifra con AES-256 en reposo. En tránsito, usamos TLS 1.3 — el mismo estándar que usan las grandes instituciones financieras de EE. UU.

AES-256 significa que, incluso si alguien de algún modo extrajera datos en bruto de nuestros servidores, tendría un bloque cifrado que tardaría más en descifrarse por fuerza bruta que la edad del universo. TLS 1.3 significa que los datos que se mueven entre tu teléfono y nuestros servidores no pueden interceptarse en una forma legible.

Quiero ser específica aquí porque este es exactamente el tipo de detalle que la mayoría de las apps deja vago. Estos no son argumentos de marketing — son estándares que cumples o no. Nosotros los cumplimos.

Los socios que elegimos — y por qué los elegimos

Ya escribí por separado sobre cómo funcionan realmente las conexiones bancarias, así que no voy a repetir aquí toda la explicación. La versión corta: usamos Plaid para las conexiones bancarias, Equifax vía Array para los datos de crédito y Stripe para los pagos. En cada caso, la elección se redujo a una sola cosa — no queríamos manejar datos que no nos correspondía manejar.

Nunca vemos tu contraseña bancaria. Nunca vemos el número de tu tarjeta. Nunca vemos ni almacenamos tu Social Security Number ni tu ITIN. Cada uno de esos datos pasa por un proveedor regulado y construido específicamente para manejarlos de forma segura.

La decisión de ingeniería detrás de eso no es solo "usar buenos socios". Es que nuestro modelo de datos fue limitado a propósito — diseñamos la arquitectura alrededor de lo que nunca íbamos a tener, no solo alrededor de lo que sí íbamos a tener. Esa restricción luego determinó qué socios podíamos siquiera usar. El modelo OAuth de Plaid, el flujo de verificación de identidad de Array, el procesamiento de pagos de Stripe — todos son compatibles con un sistema que se niega a estar en el medio para credenciales sensibles.

La infraestructura: Google Cloud, endurecida desde el día uno

YPA Finance corre en Google Cloud Platform. Nuestra infraestructura está gestionada con Terraform — lo que significa que cada cambio en nuestros sistemas está versionado, es auditable y se revisa antes de acercarse a producción.

Usamos un Web Application Firewall para proteger las APIs, con rate limiting para bloquear intentos de fuerza bruta y de escaneo. El monitoreo en tiempo real significa que, si pasa algo inusual, lo sabemos antes que tú.

Cada petición a nuestros sistemas — venga de un usuario o de un servicio interno — tiene que ser autenticada y autorizada. Nada dentro del sistema se asume confiable por defecto.

SOC 2: dónde estamos y a dónde vamos

Quiero ser honesta sobre esto, porque he visto a otras empresas dar a entender que están certificadas SOC 2 cuando no lo están.

Todavía no estamos certificadas SOC 2 Type II. Estamos trabajando para conseguirlo. Nuestros controles están diseñados e implementados según los estándares SOC 2 — controles de acceso basados en roles, registro completo de auditoría, pruebas de penetración periódicas, revisiones de seguridad por terceros.

¿Por qué mencionarlo si no está hecho? Porque creo que mereces saber dónde estamos de verdad, no dónde nos gustaría que pensaras que estamos. Los controles son reales. El proceso de certificación lleva tiempo. Estamos en ello.

Las cinco cosas que nunca haremos

Qué hacer ahora mismo

Si ya estás usando YPA Finance: puedes revisar qué datos has compartido en cualquier momento en la app. Puedes desconectar tu cuenta bancaria en dos toques. Puedes escribirnos a security@ypa.finance con cualquier pregunta específica sobre tus datos, y un humano te responderá.

Si estás considerando YPA Finance: lee nuestra Security page antes de conectar nada. Aplica la misma lista de verificación a cada app de finanzas que uses. Cualquier app que valga la pena confiar debería poder responder a cada pregunta de esa página.

La confianza en fintech no se construye sobre promesas. Se construye sobre decisiones que son ciertas o no — tomadas antes de que nadie estuviera mirando, porque la alternativa no es aceptable. Eso es lo que intentamos construir.

---

Svetlana Burninova es cofundadora y CTO de YPA Finance, con 15 años en sistemas financieros y 7 años en infraestructura. Posee certificaciones de AWS, CKA, CKAD y HashiCorp Terraform. ¿Preguntas sobre nuestras prácticas de seguridad? Escríbele a security@ypa.finance.