Что такое YPA-FINANCE?

YPA-FINANCE — это многоязычное AI-приложение личных финансов, доступное на 13 языках. Оно помогает разобраться с кредитным рейтингом, спланировать бюджет и быстрее закрыть долги по кредитным картам — простым языком, и разработано для иммигрантов, женщин, которые ведут семейные финансы, и людей старшего возраста, только начинающих пользоваться мобильным банкингом.

Какие языки поддерживает YPA-FINANCE?

YPA-FINANCE поддерживает 13 языков: английский, испанский, китайский, арабский, русский, украинский, французский, португальский, польский, иврит, корейский, вьетнамский и филиппинский. Все функции — кредитный рейтинг, бюджет и инструменты для работы с долгами — доступны на каждом языке.

Безопасно ли YPA-FINANCE?

Да. YPA-FINANCE использует шифрование AES-256, TLS 1.3 при передаче данных и находится на пути к сертификации SOC 2. Мы никогда не храним банковские пароли и номер Social Security, используем доступ только для чтения через Plaid (мы не можем переводить деньги) и никогда не продаём данные. Проверка кредитного рейтинга — это soft pull, он не влияет на твой рейтинг.

Сколько стоит YPA-FINANCE?

YPA-FINANCE бесплатен для скачивания и использования на iOS и Android. Функции PRO (Credit Score PRO, Calculator PRO, Budget PRO) доступны по желаемой подписке.

Для кого создано YPA-FINANCE?

YPA-FINANCE создано для тех, кого в США обычно не замечают, — для 120+ миллионов людей, для которых традиционные финтех-приложения никогда не проектировались. Это иммигранты в первом поколении, женщины, которые впервые полностью берут на себя семейные финансы, и люди старшего возраста, только начинающие разбираться с банковским приложением в телефоне. Если тебе когда-нибудь казалось, что финансовые приложения не для тебя, — YPA как раз для тебя.

Как скачать YPA-FINANCE?

YPA-FINANCE доступен в Apple App Store и Google Play. Ссылки для скачивания: https://apps.apple.com/us/app/ypa-finance-you-money-coach/id6739385859 для iOS и https://play.google.com/store/apps/details?id=com.ypagroup.ypafinance для Android.

Как YPA Finance защищает данные о твоих деньгах

Безопасность — одно из тех слов, которое употребляют так часто, что оно перестаёт что-либо значить. Каждое финансовое приложение говорит, что относится к ней серьёзно. Почти ни одно не объясняет, как это на самом деле выглядит под капотом.

Поэтому я сделаю кое-что иначе. Я расскажу тебе подробно, как мы построили инфраструктуру безопасности YPA Finance — какие стандарты шифрования мы используем, каких партнёров мы выбрали и почему, что мы никогда не храним и где мы сейчас находимся на пути к compliance. Конкретика, а не маркетинг.

Если ты уже читала мою статью о подключении банковского счёта к финансовому приложению, эта идёт на один слой глубже.

Безопасность не была добавлена потом. Она была отправной точкой.

Я видела, что происходит, когда стартапы прикручивают безопасность задним числом. Это видно в их архитектуре, в их модели данных, в их реакции на инциденты. Это всегда заметно.

Когда мы проектировали YPA Finance, мы рано приняли одно решение: мы не будем хранить ничего, что нам не абсолютно необходимо. Ни твои банковские учётные данные. Ни твой Social Security Number. Ни номера твоих платёжных карт. Если у нас нет данных, их нельзя у нас украсть. Это не философское заявление — это архитектурное ограничение, вокруг которого мы построили весь продукт.

Это одно решение в итоге определило практически всё остальное — с кем мы стали партнёрами, как мы выстроили нашу модель данных, чего мы договорились никогда не касаться.

Слой шифрования: AES-256 и TLS 1.3

Каждый байт твоих финансовых данных в YPA Finance шифруется с AES-256 в покое. При передаче мы используем TLS 1.3 — тот же стандарт, который используют крупные финансовые организации США.

AES-256 означает, что даже если кто-то каким-то образом достанет сырые данные с наших серверов, у него будет зашифрованный блок, который дольше будет ломаться брутфорсом, чем существует Вселенная. TLS 1.3 означает, что данные, которые двигаются между твоим телефоном и нашими серверами, нельзя перехватить в читаемом виде.

Хочу быть конкретной здесь, потому что это именно тот тип деталей, который большинство приложений оставляет туманным. Это не маркетинговые заявления — это стандарты, которым ты либо соответствуешь, либо нет. Мы соответствуем.

Партнёры, которых мы выбрали — и почему мы их выбрали

Я уже отдельно писала о том, как на самом деле работают банковские подключения, так что не буду повторять полное объяснение здесь. Краткая версия: мы используем Plaid для банковских подключений, Equifax через Array для кредитных данных и Stripe для платежей. В каждом случае выбор сводился к одному — мы не хотели иметь дело с данными, которыми нам не положено заниматься.

Мы никогда не видим твой банковский пароль. Мы никогда не видим номер твоей карты. Мы никогда не видим и не храним твой Social Security Number или ITIN. Каждое из этих данных проходит через регулируемого, специально предназначенного провайдера, который специально спроектирован для безопасной работы с ними.

Инженерное решение за этим — не просто «использовать хороших партнёров». Дело в том, что наша модель данных была намеренно ограничена — мы выстраивали архитектуру вокруг того, что никогда не будем хранить, а не только вокруг того, что будем. Это ограничение затем определило, каких партнёров мы вообще могли использовать. OAuth-модель Plaid, поток верификации личности Array, обработка платежей Stripe — все они совместимы с системой, которая отказывается быть в цепочке для чувствительных учётных данных.

Инфраструктура: Google Cloud, укреплённая с первого дня

YPA Finance работает на Google Cloud Platform. Наша инфраструктура управляется через Terraform — это значит, что каждое изменение в наших системах версионируется, аудируется и проходит ревью, прежде чем оно вообще приближается к продакшену.

Мы используем Web Application Firewall для защиты API, с rate limiting, чтобы блокировать попытки брутфорса и сканирования. Мониторинг в реальном времени означает, что если случается что-то необычное, мы узнаём об этом раньше тебя.

Каждый запрос к нашим системам — приходит ли он от пользователя или от внутреннего сервиса — должен быть аутентифицирован и авторизован. Ничему внутри системы по умолчанию не доверяют.

SOC 2: где мы сейчас и куда идём

Хочу быть честной по этому поводу, потому что я видела, как другие компании дают понять, что они сертифицированы по SOC 2, хотя это не так.

Мы пока не сертифицированы по SOC 2 Type II. Мы работаем над этим. Наши меры контроля разработаны и внедрены по стандартам SOC 2 — ролевой контроль доступа, всеобъемлющий аудит-логгинг, регулярные пентесты, сторонние ревью безопасности.

Зачем вообще об этом упоминать, если это не сделано? Потому что я думаю, ты заслуживаешь знать, где мы реально находимся, а не где нам бы хотелось, чтобы ты думала, что мы находимся. Контроли реальные. Процесс сертификации занимает время. Мы в нём.

Пять вещей, которых мы никогда не сделаем

Мы никогда не будем хранить учётные данные твоего банка. Plaid обрабатывает аутентификацию напрямую. Мы никогда не видим твой пароль.

Мы никогда не увидим и не сохраним твой Social Security Number или ITIN. Это идёт через Equifax via Array. Мы никогда не находимся в этой цепочке.

Мы никогда не будем двигать деньги с твоих счетов. Наш доступ строго только для чтения. Не существует технического пути для нас инициировать перевод.

Мы никогда не продадим твои финансовые данные. Ни рекламодателям, ни брокерам данных, никому. Наш доход приходит от партнёрств с работодателями и институциями — не от монетизации твоей личной информации.

Мы никогда не передадим твои данные без твоего явного согласия. Если нас когда-то вынудит закон что-то раскрыть, мы тебе скажем — если только нам не запретят это юридически, и в таком случае мы будем с этим бороться.

Что делать прямо сейчас

Если ты уже пользуешься YPA Finance: ты можешь в любой момент посмотреть в приложении, какие данные ты предоставила. Ты можешь отключить свой банковский счёт в два касания. Ты можешь написать нам на security@ypa.finance с любым конкретным вопросом о твоих данных, и тебе ответит человек.

Если ты только думаешь о YPA Finance: прочитай нашу Security page, прежде чем что-либо подключать. Применяй тот же чек-лист к каждому финансовому приложению, которым пользуешься. Любое приложение, заслуживающее доверия, должно уметь ответить на каждый вопрос с той страницы.

Доверие в финтехе не строится на обещаниях. Оно строится на решениях, которые либо правда, либо нет — принятых до того, как кто-то стал смотреть, потому что альтернатива неприемлема. Это то, что мы пытались построить.

---

Светлана Бурнинова — сооснователь и CTO YPA Finance, с 15 годами в финансовых системах и 7 годами в инфраструктуре. Имеет сертификаты AWS, CKA, CKAD и HashiCorp Terraform. Вопросы про нашу безопасность? Пиши ей на security@ypa.finance.

Как YPA Finance защищает данные о твоих деньгах — и как мы это построили именно так

Безопасность не была добавлена потом. Она была отправной точкой.

Слой шифрования: AES-256 и TLS 1.3

Партнёры, которых мы выбрали — и почему мы их выбрали

Инфраструктура: Google Cloud, укреплённая с первого дня

SOC 2: где мы сейчас и куда идём

Пять вещей, которых мы никогда не сделаем

Что делать прямо сейчас

Related Articles

Безопасно ли подключать банковский счёт к финансовому приложению?

5 финансовых ошибок, которые совершают иммигранты в первый год

Финансовый чек-лист для новых иммигрантов в США