מה זה YPA-FINANCE?

YPA-FINANCE היא אפליקציית פיננסים אישיים רב-לשונית מבוססת AI, זמינה ב-13 שפות. היא עוזרת לך להבין את ציון האשראי שלך, לבנות תקציב ולסגור מהר יותר חובות של כרטיסי אשראי — בשפה פשוטה, ומיועדת למהגרים, לנשים שמנהלות את הכספים של הבית, ולאנשים מבוגרים שרק מתחילים להשתמש בבנקאות בנייד.

אילו שפות YPA-FINANCE תומכת בהן?

YPA-FINANCE תומכת ב-13 שפות: אנגלית, ספרדית, סינית, ערבית, רוסית, אוקראינית, צרפתית, פורטוגזית, פולנית, עברית, קוריאנית, וייטנאמית ופיליפינית. כל הפיצ'רים — ציון אשראי, תקציב וכלים לחובות — זמינים בכל שפה.

האם YPA-FINANCE בטוחה?

כן. YPA-FINANCE משתמשת בהצפנת AES של 256 ביט, ב-TLS 1.3 במעבר, ונמצאת במסלול להסמכת SOC 2. אנחנו אף פעם לא שומרים את הסיסמאות הבנקאיות שלך או את מספר ה-Social Security, אנחנו משתמשים בגישה לקריאה בלבד דרך Plaid (אנחנו לא יכולים להעביר כסף) ואנחנו אף פעם לא מוכרים את הנתונים שלך. בדיקת ציון האשראי היא soft pull ולא משפיעה על הדירוג שלך.

כמה YPA-FINANCE עולה?

YPA-FINANCE חינמית להורדה ולשימוש ב-iOS וב-Android. פיצ'רי PRO (Credit Score PRO, Calculator PRO, Budget PRO) זמינים במנוי אופציונלי.

עבור מי YPA-FINANCE נבנתה?

YPA-FINANCE נבנתה עבור הקהילות שנותרו מחוץ למערכת בארצות הברית — יותר מ-120 מיליון אנשים שעבורם אפליקציות פינטק מסורתיות מעולם לא נבנו. זה כולל מהגרים מדור ראשון, נשים שלוקחות לראשונה את הכספים של הבית לידיים שלהן, ואנשים מבוגרים שרק מתחילים להשתמש באפליקציה בנקאית בטלפון. אם אי פעם הרגשת שאפליקציות פיננסים לא נבנו בשבילך — YPA נבנתה בשבילך.

איך מורידים את YPA-FINANCE?

YPA-FINANCE זמינה ב-Apple App Store וב-Google Play. קישורים להורדה: https://apps.apple.com/us/app/ypa-finance-you-money-coach/id6739385859 ל-iOS ו-https://play.google.com/store/apps/details?id=com.ypagroup.ypafinance ל-Android.

איך YPA Finance שומר על בטיחות הנתונים של הכסף שלך

רוב האפליקציות אומרות שהאבטחה שלך היא בעדיפות שלהן. הנה מה שזה באמת אומר בפועל — הארכיטקטורה, השותפים, התקנים, וההחלטות שקיבלנו לפני שכתבנו אפילו שורת קוד מוצרית אחת.

אבטחה היא אחת מהמילים האלה שזורקים סביב כל כך הרבה שהיא מפסיקה לומר משהו. כל אפליקציית פיננסים אומרת שהיא מתייחסת לזה ברצינות. כמעט אף אחת מהן לא מסבירה איך זה בעצם נראה מתחת למכסה המנוע.

אז אני הולכת לעשות משהו אחר. אני הולכת לספר לך בדיוק איך בנינו את תשתית האבטחה של YPA Finance — תקני ההצפנה שאנחנו משתמשים בהם, השותפים שבחרנו ולמה, הדברים שאנחנו אף פעם לא שומרים, ואיפה אנחנו במסע לתאימות (compliance) שלנו. הפרטים, לא נקודות הדיבור.

אם כבר קראת את הכתבה שלי על חיבור חשבון הבנק שלך לאפליקציית פיננסים, זה הולך שכבה אחת עמוק יותר.

אבטחה לא נוספה אחר כך. היא הייתה נקודת ההתחלה.

ראיתי מה קורה כשסטארטאפים מצמידים אבטחה אחרי שהדבר כבר קיים. זה מתבטא בארכיטקטורה שלהם, במודל הנתונים שלהם, בתגובה שלהם לאירועים. ניתן להרגיש את זה.

כשעיצבנו את YPA Finance, קיבלנו החלטה מוקדמת: לא נשמור שום דבר שאנחנו לא חייבים בהחלט. לא את פרטי ההזדהות לבנק שלך. לא את ה-Social Security Number שלך. לא את מספרי כרטיסי התשלום שלך. אם אנחנו לא מחזיקים את הנתונים, לא ניתן לגנוב אותם מאיתנו. זאת לא הצהרה פילוסופית — זאת מגבלה ארכיטקטונית שבנינו סביבה את כל המוצר.

ההחלטה האחת הזאת בסופו של דבר הניעה כמעט את כל השאר — עם מי שיתפנו פעולה, איך מבנים את מודל הנתונים שלנו, מה הסכמנו לעולם לא לגעת בו.

שכבת ההצפנה: AES-256 ו-TLS 1.3

כל בייט של הנתונים הפיננסיים שלך ב-YPA Finance מוצפן עם AES-256 במנוחה. במעבר אנחנו משתמשים ב-TLS 1.3 — אותו תקן שמשתמשים בו מוסדות פיננסיים גדולים בארה"ב.

AES-256 פירושו שגם אם מישהו איכשהו ישלוף נתונים גולמיים מהשרתים שלנו, הוא יקבל בלוק מוצפן שייקח לפצח אותו בכוח הגס יותר זמן מגיל היקום. TLS 1.3 פירושו שלא ניתן ליירט בצורה קריאה את הנתונים שעוברים בין הטלפון שלך לשרתים שלנו.

אני רוצה להיות ספציפית כאן כי זה בדיוק סוג הפרט שרוב האפליקציות משאירות מעורפל. אלה לא טענות שיווקיות — אלה תקנים שאתה עומד בהם או לא. אנחנו עומדים בהם.

השותפים שבחרנו — ולמה בחרנו בהם

כתבתי בנפרד על איך באמת עובדים חיבורי בנק, אז לא אחזור על ההסבר המלא כאן. הגרסה הקצרה: אנחנו משתמשים ב-Plaid לחיבורי בנק, ב-Equifax via Array לנתוני אשראי, וב-Stripe לתשלומים. בכל מקרה, הבחירה הסתכמה לדבר אחד — לא רצינו לטפל בנתונים שלא היה לנו עסק לטפל בהם.

אנחנו אף פעם לא רואים את הסיסמה הבנקאית שלך. אנחנו אף פעם לא רואים את מספר הכרטיס שלך. אנחנו אף פעם לא רואים או שומרים את ה-Social Security Number או ה-ITIN שלך. כל אחד מאלה עובר דרך ספק מפוקח, שנבנה במיוחד כדי לטפל בו בבטחה.

ההחלטה ההנדסית שמאחורי זה היא לא רק "תשתמשו בשותפים טובים". זה שמודל הנתונים שלנו הוגבל בכוונה — בנינו את הארכיטקטורה סביב מה שלעולם לא נחזיק, לא רק סביב מה שכן נחזיק. המגבלה הזאת לאחר מכן קבעה אילו שותפים אפילו יכולנו להשתמש. מודל ה-OAuth של Plaid, זרימת אימות הזהות של Array, עיבוד התשלומים של Stripe — כולם תואמים למערכת שמסרבת להיות בחוליה עבור פרטי הזדהות רגישים.

התשתית: Google Cloud, מוקשחת מהיום הראשון

YPA Finance רץ על Google Cloud Platform. התשתית שלנו מנוהלת באמצעות Terraform — כלומר כל שינוי במערכות שלנו נשלט ב-versioning, ניתן לאודיט, ועובר ביקורת לפני שהוא מתקרב לפרודקשן.

אנחנו משתמשים ב-Web Application Firewall להגנת ה-APIs, עם rate limiting כדי לחסום ניסיונות brute-force וסריקה. ניטור בזמן אמת אומר שאם משהו לא רגיל קורה, אנחנו יודעים על זה לפניך.

כל בקשה למערכות שלנו — בין אם היא מגיעה ממשתמש או משירות פנימי — חייבת להיות מאומתת ומורשית. שום דבר בתוך המערכת לא נחשב אמין כברירת מחדל.

SOC 2: איפה אנחנו ולאן אנחנו הולכים

אני רוצה להיות כנה בקשר לזה, כי ראיתי חברות אחרות מרמזות שהן מוסמכות SOC 2 כשהן לא.

אנחנו עדיין לא מוסמכים SOC 2 Type II. אנחנו עובדים על זה. הבקרות שלנו מעוצבות ומיושמות לפי תקני SOC 2 — בקרות גישה מבוססות-תפקיד, רישום לוג ביקורת מקיף, בדיקות חדירה סדורות, סקירות אבטחה של צד שלישי.

למה בכלל להזכיר את זה אם זה לא הסתיים? כי אני חושבת שמגיע לך לדעת איפה אנחנו באמת עומדים, לא איפה היינו רוצים שתחשבי שאנחנו עומדים. הבקרות אמיתיות. תהליך ההסמכה לוקח זמן. אנחנו בתוכו.

חמשת הדברים שאנחנו לעולם לא נעשה

אנחנו לעולם לא נשמור את פרטי הכניסה שלך לבנק. Plaid מטפל באימות ישירות. אנחנו אף פעם לא רואים את הסיסמה שלך.

אנחנו לעולם לא נראה ולא נשמור את ה-Social Security Number או ה-ITIN שלך. זה עובר דרך Equifax via Array. אנחנו אף פעם לא בחוליה.

אנחנו לעולם לא נעביר כסף מהחשבונות שלך. הגישה שלנו היא קריאה בלבד באופן מוחלט. אין נתיב טכני שבו נוכל ליזום העברה.

אנחנו לעולם לא נמכור את הנתונים הפיננסיים שלך. לא למפרסמים, לא למתווכי נתונים, לא לאף אחד אחר. ההכנסות שלנו מגיעות משותפויות עם מעסיקים ומוסדות — לא ממונטיזציה של המידע האישי שלך.

אנחנו לעולם לא נשתף את הנתונים שלך ללא הסכמתך המפורשת. אם פעם נחויב על פי חוק לחשוף משהו, נספר לך — אלא אם זה אסור עלינו משפטית, ובמקרה הזה ניאבק על כך.

מה אפשר לעשות עכשיו

אם את כבר משתמשת ב-YPA Finance: את יכולה לבדוק בכל זמן באפליקציה אילו נתונים שיתפת. את יכולה לנתק את חשבון הבנק שלך בשתי הקשות. את יכולה לכתוב לנו ל-security@ypa.finance עם כל שאלה ספציפית על הנתונים שלך, ואדם אנושי יענה לך.

אם את שוקלת את YPA Finance: קראי את ה-Security page שלנו לפני שאת מחברת משהו. החילי את אותו צ'ק-ליסט על כל אפליקציית פיננסים שאת משתמשת בה. כל אפליקציה שמגיעה לה אמון צריכה להיות מסוגלת לענות על כל שאלה בעמוד הזה.

אמון בפינטק לא נבנה על הבטחות. הוא נבנה על החלטות שהן או נכונות או לא — שהתקבלו לפני שמישהו הביט, כי החלופה לא קבילה. זה מה שניסינו לבנות.

---

סבטלנה בורנינובה היא שותפה-מייסדת ו-CTO של YPA Finance, עם 15 שנות ניסיון במערכות פיננסיות ו-7 שנים בתשתיות. יש לה הסמכות AWS, CKA, CKAD ו-HashiCorp Terraform. יש לך שאלות על נוהלי האבטחה שלנו? פני אליה ב-security@ypa.finance.

איך YPA Finance שומר על בטיחות הנתונים של הכסף שלך — ואיך בנינו את זה ככה

אבטחה לא נוספה אחר כך. היא הייתה נקודת ההתחלה.

שכבת ההצפנה: AES-256 ו-TLS 1.3

השותפים שבחרנו — ולמה בחרנו בהם

התשתית: Google Cloud, מוקשחת מהיום הראשון

SOC 2: איפה אנחנו ולאן אנחנו הולכים

חמשת הדברים שאנחנו לעולם לא נעשה

מה אפשר לעשות עכשיו

Related Articles

האם זה בטוח לחבר את חשבון הבנק שלי לאפליקציית פיננסים?

5 טעויות כספיות שמהגרים חדשים עושים בשנה הראשונה

רשימת בדיקה פיננסית לעולים חדשים לארה"ב