O que é o YPA-FINANCE?

O YPA-FINANCE é um app multilíngue de finanças pessoais com IA, disponível em 13 idiomas. Ele te ajuda a entender seu score de crédito, montar um orçamento e quitar dívidas do cartão de crédito mais rápido — com uma linguagem simples, feito pra imigrantes, pra mulheres que cuidam das finanças da casa e pra pessoas idosas que estão começando a usar o banco pelo celular.

Quais idiomas o YPA-FINANCE oferece?

O YPA-FINANCE oferece 13 idiomas: inglês, espanhol, chinês, árabe, russo, ucraniano, francês, português, polonês, hebraico, coreano, vietnamita e filipino. Todas as funções — score de crédito, orçamento e ferramentas de dívida — estão disponíveis em cada idioma.

O YPA-FINANCE é seguro?

Sim. O YPA-FINANCE usa criptografia AES de 256 bits, TLS 1.3 em trânsito, e está no caminho pra certificação SOC 2. A gente nunca guarda suas senhas bancárias nem seu número do Social Security, usa acesso somente de leitura via Plaid (não podemos movimentar dinheiro) e nunca vende seus dados. A consulta do score de crédito é um soft pull e não afeta sua pontuação.

Quanto custa o YPA-FINANCE?

O YPA-FINANCE é grátis pra baixar e usar no iOS e no Android. As funções PRO (Credit Score PRO, Calculator PRO, Budget PRO) ficam disponíveis em assinatura opcional.

Pra quem o YPA-FINANCE foi feito?

O YPA-FINANCE foi feito pra comunidades que os EUA normalmente deixam de lado — mais de 120 milhões de pessoas pra quem os apps de fintech tradicionais nunca foram criados. Isso inclui imigrantes de primeira geração, mulheres que estão assumindo as finanças da casa pela primeira vez, e pessoas mais velhas começando a usar banco pelo celular. Se você já sentiu que os apps de finanças não eram pra você, o YPA é pra você.

Como baixo o YPA-FINANCE?

O YPA-FINANCE está disponível na Apple App Store e no Google Play. Links de download: https://apps.apple.com/us/app/ypa-finance-you-money-coach/id6739385859 pra iOS e https://play.google.com/store/apps/details?id=com.ypagroup.ypafinance pra Android.

Como o YPA Finance mantém os dados do seu dinheiro seguros

A maioria dos apps diz que sua segurança é a prioridade deles. Aqui está o que isso de fato significa na prática — a arquitetura, os parceiros, os padrões e as decisões que tomamos antes de escrever uma única linha de código de produto.

Segurança é uma daquelas palavras que é jogada por aí tantas vezes que para de significar qualquer coisa. Cada app de finanças diz que leva isso a sério. Quase nenhum deles explica como é que isso parece de verdade por baixo do capô.

Então eu vou fazer algo diferente. Eu vou te contar exatamente como construímos a infraestrutura de segurança do YPA Finance — os padrões de criptografia que usamos, os parceiros que escolhemos e por quê, as coisas que a gente nunca guarda, e onde estamos no nosso caminho de compliance. Os detalhes específicos, não os argumentos de venda.

Se você já leu meu texto sobre conectar sua conta bancária a um app de finanças, este aqui vai uma camada mais fundo.

Segurança não foi adicionada depois. Foi o ponto de partida.

Eu já vi o que acontece quando startups botam segurança por cima depois. Aparece na arquitetura delas, no modelo de dados, na resposta a incidentes. Dá pra perceber.

Quando a gente desenhou o YPA Finance, tomamos uma decisão cedo: a gente não ia guardar nada que não precisasse absolutamente. Nem suas credenciais bancárias. Nem seu Social Security Number. Nem os números dos seus cartões de pagamento. Se a gente não tem o dado, ele não pode ser roubado da gente. Isso não é uma declaração filosófica — é uma restrição arquitetônica em torno da qual a gente construiu o produto inteiro.

Aquela decisão única acabou guiando praticamente todo o resto — com quem a gente fez parcerias, como a gente estruturou nosso modelo de dados, o que a gente concordou em nunca tocar.

A camada de criptografia: AES-256 e TLS 1.3

Cada byte dos seus dados financeiros no YPA Finance é criptografado com AES-256 em repouso. Em trânsito, a gente usa TLS 1.3 — o mesmo padrão usado pelas grandes instituições financeiras dos EUA.

AES-256 quer dizer que mesmo se alguém de alguma forma extraísse dados brutos dos nossos servidores, essa pessoa teria um bloco criptografado que levaria mais tempo pra quebrar por força bruta do que a idade do universo. TLS 1.3 quer dizer que os dados que se movem entre o seu telefone e nossos servidores não podem ser interceptados de forma legível.

Quero ser específica aqui porque esse é exatamente o tipo de detalhe que a maioria dos apps deixa vago. Isso não é discurso de marketing — são padrões que você atende ou não. A gente atende.

Os parceiros que escolhemos — e por que escolhemos eles

Eu já escrevi separadamente sobre como as conexões bancárias de fato funcionam, então não vou repetir a explicação completa aqui. A versão curta: a gente usa Plaid pra conexões bancárias, Equifax via Array pra dados de crédito, e Stripe pra pagamentos. Em cada caso, a escolha se resumiu a uma coisa só — a gente não queria lidar com dados que não tinha por que estar lidando.

A gente nunca vê sua senha bancária. A gente nunca vê o número do seu cartão. A gente nunca vê nem armazena seu Social Security Number ou ITIN. Cada um desses passa por um provedor regulado, construído especificamente pra lidar com esse tipo de dado de forma segura.

A decisão de engenharia por trás disso não é só "use bons parceiros". É que nosso modelo de dados foi deliberadamente restringido — a gente desenhou a arquitetura em torno do que a gente nunca ia segurar, não só do que a gente ia segurar. Essa restrição depois determinou quais parceiros a gente podia até mesmo usar. O modelo OAuth do Plaid, o fluxo de verificação de identidade do Array, o processamento de pagamentos do Stripe — todos eles são compatíveis com um sistema que se recusa a estar no caminho de credenciais sensíveis.

A infraestrutura: Google Cloud, blindada desde o dia um

O YPA Finance roda no Google Cloud Platform. Nossa infraestrutura é gerenciada com Terraform — o que significa que cada mudança nos nossos sistemas é versionada, auditável, e revisada antes de chegar perto de produção.

A gente usa um Web Application Firewall pra proteção das APIs, com rate limiting pra bloquear tentativas de força bruta e scanning. Monitoramento em tempo real significa que se algo incomum acontece, a gente sabe antes de você.

Cada requisição pros nossos sistemas — venha ela de um usuário ou de um serviço interno — tem que ser autenticada e autorizada. Nada dentro do sistema é assumido como confiável por padrão.

SOC 2: onde estamos e pra onde estamos indo

Quero ser honesta sobre isso, porque já vi outras empresas darem a entender que são certificadas SOC 2 quando não são.

A gente ainda não é certificada SOC 2 Type II. A gente está trabalhando pra isso. Nossos controles são desenhados e implementados conforme os padrões SOC 2 — controles de acesso baseados em função, log de auditoria abrangente, testes de penetração regulares, revisões de segurança de terceiros.

Por que mencionar isso se ainda não está pronto? Porque eu acho que você merece saber onde a gente está de verdade, não onde a gente queria que você achasse que está. Os controles são reais. O processo de certificação leva tempo. A gente está nele.

As cinco coisas que a gente nunca vai fazer

A gente nunca vai armazenar suas credenciais de login bancário. O Plaid lida com a autenticação diretamente. A gente nunca vê sua senha.

A gente nunca vai ver nem armazenar seu Social Security Number ou ITIN. Isso passa pelo Equifax via Array. A gente nunca está no caminho.

A gente nunca vai movimentar dinheiro das suas contas. Nosso acesso é estritamente somente leitura. Não existe caminho técnico pra gente iniciar uma transferência.

A gente nunca vai vender seus dados financeiros. Nem pra anunciantes, nem pra corretores de dados, nem pra ninguém. Nossa receita vem de parcerias com empregadores e instituições — não de monetizar suas informações pessoais.

A gente nunca vai compartilhar seus dados sem seu consentimento explícito. Se um dia a gente for obrigada por lei a divulgar alguma coisa, a gente vai te avisar — a não ser que a gente esteja proibida legalmente, e nesse caso a gente vai brigar contra essa proibição.

O que dá pra fazer agora mesmo

Se você já está usando o YPA Finance: você pode revisar quais dados compartilhou a qualquer momento no app. Você pode desconectar sua conta bancária em dois toques. Você pode nos mandar email em security@ypa.finance com qualquer pergunta específica sobre seus dados, e um humano vai te responder.

Se você está considerando o YPA Finance: leia nossa Security page antes de conectar qualquer coisa. Aplique o mesmo checklist a cada app de finanças que você usa. Qualquer app que valha a pena confiar deveria conseguir responder cada pergunta daquela página.

Confiança em fintech não é construída em cima de promessas. É construída em cima de decisões que ou são verdadeiras ou não são — tomadas antes de qualquer um estar olhando, porque a alternativa não é aceitável. Foi isso que a gente tentou construir.

---

Svetlana Burninova é cofundadora e CTO do YPA Finance, com 15 anos em sistemas financeiros e 7 anos em infraestrutura. Ela é certificada em AWS, CKA, CKAD e HashiCorp Terraform. Perguntas sobre nossas práticas de segurança? Escreva pra ela em security@ypa.finance.

Como o YPA Finance mantém os dados do seu dinheiro seguros — e como construímos dessa forma

Segurança não foi adicionada depois. Foi o ponto de partida.

A camada de criptografia: AES-256 e TLS 1.3

Os parceiros que escolhemos — e por que escolhemos eles

A infraestrutura: Google Cloud, blindada desde o dia um

SOC 2: onde estamos e pra onde estamos indo

As cinco coisas que a gente nunca vai fazer

O que dá pra fazer agora mesmo

Related Articles

É seguro conectar minha conta bancária a um app de finanças?

5 erros financeiros que novos imigrantes cometem no primeiro ano

Lista de verificação financeira para novos imigrantes nos EUA