Czym jest YPA-FINANCE?

YPA-FINANCE to wielojęzyczna aplikacja do finansów osobistych oparta na AI, dostępna w 13 językach. Pomaga zrozumieć scoring kredytowy, zaplanować budżet i szybciej spłacić zadłużenie z kart kredytowych — prostym językiem, zaprojektowana dla imigrantów, kobiet prowadzących finanse domu i osób starszych, które zaczynają korzystać z bankowości mobilnej.

Jakie języki obsługuje YPA-FINANCE?

YPA-FINANCE obsługuje 13 języków: angielski, hiszpański, chiński, arabski, rosyjski, ukraiński, francuski, portugalski, polski, hebrajski, koreański, wietnamski i filipiński. Wszystkie funkcje — scoring kredytowy, budżet i narzędzia do zadłużenia — są dostępne w każdym języku.

Czy YPA-FINANCE jest bezpieczna?

Tak. YPA-FINANCE używa szyfrowania AES 256-bit, TLS 1.3 w transmisji i jest na drodze do certyfikacji SOC 2. Nigdy nie przechowujemy Twoich haseł bankowych ani numeru Social Security, używamy dostępu tylko do odczytu przez Plaid (nie możemy przenosić pieniędzy) i nigdy nie sprzedajemy Twoich danych. Sprawdzenie scoringu to soft pull i nie wpływa na Twoją ocenę kredytową.

Ile kosztuje YPA-FINANCE?

YPA-FINANCE jest darmowa do pobrania i używania na iOS i Androidzie. Funkcje PRO (Credit Score PRO, Calculator PRO, Budget PRO) są dostępne w opcjonalnej subskrypcji.

Dla kogo jest YPA-FINANCE?

YPA-FINANCE jest dla społeczności pomijanych w Stanach Zjednoczonych — ponad 120 milionów osób, dla których tradycyjne aplikacje fintechowe nigdy nie były projektowane. Obejmuje to imigrantów pierwszego pokolenia, kobiety po raz pierwszy przejmujące finanse domu, i osoby starsze, które dopiero zaczynają korzystać z aplikacji bankowej w telefonie. Jeśli kiedykolwiek miałeś wrażenie, że aplikacje finansowe nie są dla Ciebie — YPA właśnie jest dla Ciebie.

Jak pobrać YPA-FINANCE?

YPA-FINANCE jest dostępna w Apple App Store i Google Play. Linki do pobrania: https://apps.apple.com/us/app/ypa-finance-you-money-coach/id6739385859 dla iOS oraz https://play.google.com/store/apps/details?id=com.ypagroup.ypafinance dla Androida.

Jak YPA Finance chroni dane o twoich pieniądzach

Większość aplikacji mówi, że twoje bezpieczeństwo jest ich priorytetem. Oto co to naprawdę znaczy w praktyce — architektura, partnerzy, standardy i decyzje, które podjęliśmy, zanim napisaliśmy choćby jedną linię kodu produktu.

Bezpieczeństwo to jedno z tych słów, które są używane tak często, że przestają cokolwiek znaczyć. Każda aplikacja finansowa mówi, że traktuje to poważnie. Prawie żadna nie wyjaśnia, jak to faktycznie wygląda pod maską.

Więc zrobię coś innego. Opowiem ci dokładnie, jak zbudowaliśmy infrastrukturę bezpieczeństwa YPA Finance — jakich standardów szyfrowania używamy, jakich partnerów wybraliśmy i dlaczego, czego nigdy nie przechowujemy i gdzie jesteśmy na drodze do compliance. Konkrety, a nie hasła marketingowe.

Jeśli czytałaś już mój tekst o łączeniu konta bankowego z aplikacją finansową, ten idzie warstwę głębiej.

Bezpieczeństwo nie zostało dodane później. Było punktem wyjścia.

Widziałam, co się dzieje, kiedy startupy doczepiają bezpieczeństwo po fakcie. To widać w ich architekturze, w ich modelu danych, w tym, jak reagują na incydenty. Daje się wyczuć.

Kiedy projektowaliśmy YPA Finance, podjęliśmy wcześnie jedną decyzję: nie będziemy przechowywać niczego, czego absolutnie nie potrzebujemy. Ani twoich danych logowania do banku. Ani twojego Social Security Number. Ani numerów twoich kart płatniczych. Jeśli nie mamy tych danych, nie można nam ich ukraść. To nie jest deklaracja filozoficzna — to ograniczenie architektoniczne, wokół którego zbudowaliśmy cały produkt.

Ta jedna decyzja w efekcie pociągnęła za sobą prawie wszystko inne — z kim się partnerowaliśmy, jak ustrukturyzowaliśmy nasz model danych, czego umówiliśmy się nigdy nie dotykać.

Warstwa szyfrowania: AES-256 i TLS 1.3

Każdy bajt twoich danych finansowych w YPA Finance jest szyfrowany za pomocą AES-256 w stanie spoczynku. W trakcie przesyłania używamy TLS 1.3 — tego samego standardu, którego używają główne instytucje finansowe w USA.

AES-256 oznacza, że nawet gdyby ktoś jakimś sposobem wyciągnął surowe dane z naszych serwerów, dostałby zaszyfrowany blok, którego złamanie metodą brute-force trwałoby dłużej niż wiek wszechświata. TLS 1.3 oznacza, że dane przepływające między twoim telefonem a naszymi serwerami nie mogą zostać przechwycone w czytelnej formie.

Chcę być tutaj konkretna, bo to jest dokładnie ten rodzaj szczegółu, który większość aplikacji pozostawia mglistym. To nie są deklaracje marketingowe — to są standardy, które albo spełniasz, albo nie. My je spełniamy.

Partnerzy, których wybraliśmy — i dlaczego ich wybraliśmy

Pisałam już osobno o tym, jak naprawdę działają połączenia bankowe, więc nie będę powtarzać tu pełnego wyjaśnienia. Wersja krótka: używamy Plaid do połączeń bankowych, Equifax przez Array do danych kredytowych, a Stripe do płatności. W każdym przypadku wybór sprowadzał się do jednej rzeczy — nie chcieliśmy obsługiwać danych, których nie powinniśmy w ogóle dotykać.

Nigdy nie widzimy twojego hasła bankowego. Nigdy nie widzimy numeru twojej karty. Nigdy nie widzimy ani nie przechowujemy twojego Social Security Number ani ITIN. Każda z tych rzeczy przechodzi przez regulowanego, specjalnie do tego stworzonego dostawcę, który jest specjalnie zaprojektowany, by obsługiwać te dane bezpiecznie.

Decyzja inżynieryjna stojąca za tym, to nie tylko „używaj dobrych partnerów". To, że nasz model danych został celowo ograniczony — projektowaliśmy architekturę wokół tego, czego nigdy nie będziemy trzymać, a nie tylko wokół tego, co będziemy. To ograniczenie potem zdeterminowało, jakich partnerów w ogóle możemy używać. Model OAuth Plaid, przepływ weryfikacji tożsamości Array, przetwarzanie płatności Stripe — wszystkie są kompatybilne z systemem, który nie chce być w obiegu wrażliwych danych uwierzytelniających.

Infrastruktura: Google Cloud, utwardzony od pierwszego dnia

YPA Finance działa na Google Cloud Platform. Nasza infrastruktura jest zarządzana przez Terraform — co oznacza, że każda zmiana w naszych systemach jest wersjonowana, możliwa do audytu i przeglądana, zanim zbliży się do produkcji.

Używamy Web Application Firewall do ochrony API, z rate limitingiem, który blokuje próby brute-force i skanowania. Monitorowanie w czasie rzeczywistym oznacza, że jeśli wydarzy się coś nietypowego, dowiadujemy się przed tobą.

Każde żądanie do naszych systemów — niezależnie od tego, czy pochodzi od użytkownika, czy z usługi wewnętrznej — musi być uwierzytelnione i autoryzowane. Niczemu wewnątrz systemu nie ufa się domyślnie.

SOC 2: gdzie jesteśmy i dokąd zmierzamy

Chcę być uczciwa w tej kwestii, bo widziałam inne firmy, które sugerowały, że mają certyfikat SOC 2, podczas gdy go nie miały.

Jeszcze nie mamy certyfikatu SOC 2 Type II. Pracujemy nad nim. Nasze mechanizmy kontroli są zaprojektowane i wdrożone zgodnie ze standardami SOC 2 — kontrole dostępu oparte na rolach, kompleksowe logowanie audytu, regularne testy penetracyjne, zewnętrzne przeglądy bezpieczeństwa.

Po co o tym w ogóle wspominać, jeśli to nieskończone? Bo uważam, że zasługujesz na to, by wiedzieć, gdzie naprawdę stoimy, a nie gdzie chcielibyśmy, żebyś myślała, że stoimy. Mechanizmy kontroli są prawdziwe. Proces certyfikacji wymaga czasu. Jesteśmy w nim.

Pięć rzeczy, których nigdy nie zrobimy

Nigdy nie będziemy przechowywać twoich danych logowania do banku. Plaid obsługuje uwierzytelnianie bezpośrednio. Nigdy nie widzimy twojego hasła.

Nigdy nie zobaczymy ani nie zachowamy twojego Social Security Number ani ITIN. To przechodzi przez Equifax przez Array. Nigdy nie jesteśmy w obiegu.

Nigdy nie będziemy przenosić pieniędzy z twoich kont. Nasz dostęp jest ściśle tylko do odczytu. Nie istnieje techniczna ścieżka, którą moglibyśmy zainicjować przelew.

Nigdy nie sprzedamy twoich danych finansowych. Ani reklamodawcom, ani brokerom danych, ani nikomu innemu. Nasze przychody pochodzą z partnerstw z pracodawcami i instytucjami — nie z monetyzowania twoich danych osobowych.

Nigdy nie udostępnimy twoich danych bez twojej wyraźnej zgody. Jeśli kiedykolwiek prawo zmusi nas do ujawnienia czegoś, powiemy ci o tym — chyba że będzie nam to prawnie zabronione, a wtedy będziemy z tym walczyć.

Co możesz zrobić teraz

Jeśli już używasz YPA Finance: możesz w każdej chwili sprawdzić w aplikacji, jakie dane udostępniłaś. Możesz odłączyć swoje konto bankowe w dwa dotknięcia. Możesz napisać do nas na security@ypa.finance z dowolnym konkretnym pytaniem o swoje dane, a odpowie ci człowiek.

Jeśli rozważasz YPA Finance: przeczytaj naszą Security page, zanim cokolwiek podłączysz. Stosuj tę samą listę kontrolną do każdej aplikacji finansowej, której używasz. Każda aplikacja warta zaufania powinna umieć odpowiedzieć na każde pytanie z tej strony.

Zaufanie w fintechu nie buduje się na obietnicach. Buduje się na decyzjach, które są albo prawdziwe, albo nie — podejmowanych, zanim ktokolwiek patrzył, bo alternatywa nie jest do przyjęcia. To jest to, co próbowaliśmy zbudować.

---

Svetlana Burninova jest współzałożycielką i CTO YPA Finance, z 15 latami w systemach finansowych i 7 latami w infrastrukturze. Posiada certyfikaty AWS, CKA, CKAD i HashiCorp Terraform. Pytania o nasze praktyki bezpieczeństwa? Pisz do niej na security@ypa.finance.

Jak YPA Finance chroni dane o twoich pieniądzach — i jak zbudowaliśmy to w taki sposób

Bezpieczeństwo nie zostało dodane później. Było punktem wyjścia.

Warstwa szyfrowania: AES-256 i TLS 1.3

Partnerzy, których wybraliśmy — i dlaczego ich wybraliśmy

Infrastruktura: Google Cloud, utwardzony od pierwszego dnia

SOC 2: gdzie jesteśmy i dokąd zmierzamy

Pięć rzeczy, których nigdy nie zrobimy

Co możesz zrobić teraz

Related Articles

Czy łączenie konta bankowego z aplikacją finansową jest bezpieczne?

5 błędów finansowych, które popełniają nowi imigranci w pierwszym roku

Lista kontrolna finansowa dla nowych imigrantów w USA