什么是 YPA-FINANCE？

YPA-FINANCE 是一款多语言 AI 驱动的个人理财应用，支持13种语言。它帮你了解信用分、制定预算，并更快还清信用卡债务——用简单的语言，专为移民、负责家庭财务的女性以及刚开始使用移动银行的年长用户设计。

YPA-FINANCE 支持哪些语言？

YPA-FINANCE 支持13种语言：英语、西班牙语、中文、阿拉伯语、俄语、乌克兰语、法语、葡萄牙语、波兰语、希伯来语、韩语、越南语和菲律宾语。所有功能——信用分、预算和债务工具——在每种语言中都可以使用。

YPA-FINANCE 安全吗？

安全。YPA-FINANCE 使用 256 位 AES 加密和 TLS 1.3 传输加密，并正在进行 SOC 2 合规准备。我们从不保存你的银行密码或 Social Security 号码，通过 Plaid 使用只读权限（我们无法转账），也从不出售你的数据。信用分查询为 soft pull，不会影响你的信用评级。

YPA-FINANCE 收费吗？

YPA-FINANCE 在 iOS 和 Android 上免费下载和使用。PRO 高级功能（Credit Score PRO、Calculator PRO、Budget PRO）可选订阅。

YPA-FINANCE 为谁而建？

YPA-FINANCE 专为美国被忽视的群体而建——这1.2亿多人，是传统金融科技应用从未真正服务过的人。其中包括第一代移民、第一次全权打理家庭财务的女性，以及刚开始在手机上使用银行应用的年长用户。如果你曾经觉得金融应用不是为你而造的，那么 YPA 正是为你而造。

如何下载 YPA-FINANCE？

YPA-FINANCE 可在 Apple App Store 和 Google Play 下载。iOS 下载链接：https://apps.apple.com/us/app/ypa-finance-you-money-coach/id6739385859，Android 下载链接：https://play.google.com/store/apps/details?id=com.ypagroup.ypafinance。

YPA Finance 如何保护你的钱的数据

大多数应用都说你的安全是他们的优先级。这里是这句话在实际中真正意味着什么 — 架构、合作伙伴、标准，以及我们在写下任何一行产品代码之前所做的决定。

安全是那种被反复使用到失去意义的词之一。每个金融应用都说他们认真对待它。几乎没有人解释这在底层到底是什么样子。

所以我打算做点不一样的。我要详细告诉你我们是如何构建 YPA Finance 的安全基础设施的 — 我们使用的加密标准、我们选择的合作伙伴以及为什么、我们从不存储的东西，以及我们在合规之路上的位置。是具体细节，不是宣传话术。

如果你已经读过我那篇关于把银行账户连接到金融应用的文章，这一篇会更深一层。

安全不是后来加的。它是起点。

我见过创业公司事后才把安全螺丝上去的样子。它会出现在他们的架构里、他们的数据模型里、他们的事故响应里。一眼就能看出来。

当我们设计 YPA Finance 时，我们很早就做了一个决定：绝不存储任何我们不绝对需要的东西。不存你的银行凭证。不存你的 Social Security Number。不存你的支付卡号。如果我们没有那些数据，它们就不能从我们这里被偷走。这不是一句哲学宣言 — 这是我们围绕着搭建整个产品的架构性约束。

那一个决定最后驱动了几乎其他所有事情 — 我们和谁合作、我们如何构建数据模型、我们同意永远不去碰的是什么。

加密层：AES-256 和 TLS 1.3

YPA Finance 中你的金融数据的每一个字节，在静态时都用 AES-256 加密。在传输中，我们使用 TLS 1.3 — 美国主要金融机构使用的同一种标准。

AES-256 意味着，即使有人不知怎么从我们的服务器中提取了原始数据，他们得到的也是一团加密的二进制，用暴力破解所需的时间会比宇宙的年龄还长。TLS 1.3 意味着，在你的手机和我们的服务器之间移动的数据，无法以可读的形式被截获。

我想在这里讲得很具体，因为这正是大多数应用会留得很模糊的那种细节。这些不是营销话术 — 这些是你要么达到、要么没达到的标准。我们达到了。

我们选择的合作伙伴 — 以及我们为什么选择他们

我已经单独写过银行连接到底是怎么工作的，所以这里不再重复完整的解释。简短版本是：我们使用 Plaid 处理银行连接，使用 Equifax via Array 处理信用数据，使用 Stripe 处理支付。每一个选择，归根到底都是同一件事 — 我们不想处理那些根本不该由我们处理的数据。

我们从不看到你的银行密码。我们从不看到你的卡号。我们从不看到也不存储你的 Social Security Number 或 ITIN。每一项数据都通过一个受监管的、为安全处理这些数据而专门构建的提供商。

这背后的工程决定不只是"使用好的合作伙伴"。是我们的数据模型被刻意限制了 — 我们围绕着我们永远不会持有的数据来设计架构，而不只是围绕着我们会持有的。这个约束接下来又决定了我们到底能用哪些合作伙伴。Plaid 的 OAuth 模型、Array 的身份验证流程、Stripe 的支付处理 — 它们都和一个拒绝出现在敏感凭证链路里的系统兼容。

基础设施：Google Cloud，从第一天就加固

YPA Finance 运行在 Google Cloud Platform 上。我们的基础设施由 Terraform 管理 — 这意味着我们对系统所做的每一次更改都被版本控制、可审计，并在它接近生产之前经过审查。

我们使用 Web Application Firewall 来保护 API，并用 rate limiting 阻止暴力破解和扫描尝试。实时监控意味着，如果发生不寻常的事情，我们会比你更早知道。

每一个对我们系统的请求 — 不管是来自用户还是来自内部服务 — 都必须被认证和授权。系统内部没有任何东西被默认认为是可信的。

SOC 2：我们在哪里以及我们要去哪里

我想对这件事坦诚，因为我见过其他公司在没拿到 SOC 2 认证的情况下，暗示他们已经拿到了。

我们还没有拿到 SOC 2 Type II 认证。我们正在朝它努力。我们的控制措施按照 SOC 2 标准设计和实施 — 基于角色的访问控制、全面的审计日志、定期的渗透测试、第三方安全评审。

如果还没完成，为什么还要提它？因为我觉得你应该知道我们实际上站在哪里，而不是我们希望你以为我们站在哪里。控制措施是真实的。认证流程需要时间。我们正在做。

我们永远不会做的五件事

我们永远不会存储你的银行登录凭证。 Plaid 直接处理认证。我们从不看到你的密码。

我们永远不会看到或存储你的 Social Security Number 或 ITIN。 那些通过 Equifax via Array 处理。我们永远不在链路上。

我们永远不会从你的账户中转移资金。 我们的访问严格只读。不存在让我们发起一次转账的技术路径。

我们永远不会出售你的金融数据。 不卖给广告商、不卖给数据经纪商、不卖给任何人。我们的收入来自和雇主以及机构的合作 — 不来自对你个人信息的变现。

我们永远不会在没有你明确同意的情况下分享你的数据。 如果哪天法律强制我们披露什么，我们会告诉你 — 除非我们在法律上被禁止，这种情况下我们会去抗争。

现在你可以做什么

如果你已经在使用 YPA Finance：你可以随时在应用里查看你已经分享了哪些数据。你可以两次点击就断开你的银行账户。你可以发邮件到 security@ypa.finance 提任何关于你数据的具体问题，会有真人回复你。

如果你正在考虑 YPA Finance：在你连接任何东西之前，先读一下我们的 Security page。把同样的清单应用到你使用的每一个金融应用上。任何值得信任的应用，都应该能回答那一页上的每一个问题。

金融科技中的信任不是建立在承诺之上的。它建立在那些要么真要么假的决定之上 — 在没人在看的时候做出的，因为另一种选择不可接受。这就是我们试图建造的东西。

---

Svetlana Burninova 是 YPA Finance 的联合创始人兼 CTO，拥有 15 年金融系统经验和 7 年基础设施经验。她持有 AWS、CKA、CKAD 和 HashiCorp Terraform 认证。对我们的安全实践有问题？发邮件给她：security@ypa.finance。

YPA Finance 如何保护你的钱的数据 — 以及我们为什么这样建造它

安全不是后来加的。它是起点。

加密层：AES-256 和 TLS 1.3

我们选择的合作伙伴 — 以及我们为什么选择他们

基础设施：Google Cloud，从第一天就加固

SOC 2：我们在哪里以及我们要去哪里

我们永远不会做的五件事

现在你可以做什么

Related Articles

把银行账户连接到金融应用安全吗？

新移民第一年最常犯的5个理财错误

美国新移民财务清单