Kết nối tài khoản ngân hàng với ứng dụng tài chính có an toàn không?

Bạn lo lắng khi liên kết tài khoản ngân hàng với một ứng dụng tài chính? Đây là chính xác những gì xảy ra khi bạn kết nối, dữ liệu nào được truy cập, và làm sao để biết một ứng dụng có đáng tin cậy hay không.

Tôi nhận được câu hỏi này rất nhiều. Và tôi hiểu vì sao — đặc biệt từ những người đã chuyển đến Mỹ và dành hàng tháng trời cẩn thận xây dựng sự hiện diện tài chính của mình ở đó. Mở một tài khoản ngân hàng, nhận chiếc thẻ tín dụng đầu tiên, thiết lập direct deposit. Mọi thứ đều cảm thấy mong manh. Điều cuối cùng bạn muốn là giao nó cho một ứng dụng nào đó.

Vậy nên tôi sẽ cho bạn một câu trả lời thẳng thắn, không phải câu trả lời tiếp thị.

Điều gì thực sự đang diễn ra ở bên dưới

Khi bạn kết nối ngân hàng của bạn với YPA Finance, bạn không đưa mật khẩu của mình cho chúng tôi. Nó không hoạt động theo cách đó.

Chúng tôi sử dụng Plaid, một dịch vụ kết nối ngân hàng được Venmo, Robinhood, Coinbase và hàng ngàn ứng dụng khác sử dụng. Đây là điều Plaid thực sự làm: với hầu hết các ngân hàng lớn ở Mỹ, nó mở màn hình đăng nhập của chính ngân hàng bạn (không phải của chúng tôi) và bạn xác thực trực tiếp ở đó — cái này gọi là OAuth. Thông tin đăng nhập của bạn đi đến ngân hàng của bạn. Chúng tôi không bao giờ nhìn thấy, không bao giờ lưu trữ chúng. Cái chúng tôi nhận được là một token chỉ đọc — về cơ bản là một giấy phép có giới hạn nói rằng "người này đã cho phép các bạn đọc số dư và giao dịch của họ".

Token đó không thể chuyển tiền. Nó không thể khởi tạo chuyển khoản. Nó không thể làm bất cứ điều gì ngoài việc cho phép chúng tôi đọc dữ liệu — cùng loại dữ liệu mà bạn sẽ thấy nếu bạn tự đăng nhập.

Bạn có thể thu hồi nó bất cứ lúc nào. Từ ứng dụng của chúng tôi, hoặc trực tiếp từ cài đặt bảo mật của ngân hàng bạn.

Cái chúng tôi thực sự nhìn thấy

Khi bạn kết nối, YPA Finance có thể truy cập:

Chỉ vậy thôi. Chúng tôi không nhìn thấy số tài khoản đầy đủ của bạn, SSN hay ITIN của bạn, hay thông tin đăng nhập của bạn. Chúng tôi không có khả năng nào để chuyển hay rút tiền. Không bao giờ.

Tôi muốn nói cụ thể vì đây chính xác là loại chi tiết mà hầu hết các ứng dụng chôn vùi trong chính sách quyền riêng tư của họ.

Cách kiểm tra xem một ứng dụng tài chính có đáng tin không

Tôi sẽ áp dụng cùng checklist mà tôi dùng khi đánh giá các công cụ bên thứ ba cho cơ sở hạ tầng của chính chúng tôi:

Họ có dùng nhà cung cấp kết nối ngân hàng thật sự không? Plaid, MX, Finicity — đây là những dịch vụ được quản lý, được kiểm toán. Nếu một ứng dụng đang yêu cầu bạn trực tiếp thông tin đăng nhập ngân hàng thực sự của bạn, hãy đóng nó lại.

Kết nối có chỉ đọc không? Một ứng dụng ngân sách không có lý do chính đáng nào để khởi tạo chuyển khoản. Nếu nó đang yêu cầu quyền đó, có gì đó sai.

Họ có công bố trang bảo mật không? Không phải một đoạn văn mơ hồ kiểu "chúng tôi coi trọng bảo mật" — mà là một trang thực sự với các tiêu chuẩn mã hóa, tình trạng tuân thủ, và chính sách lưu trữ dữ liệu. Nếu họ không có, họ đang hy vọng bạn không hỏi.

Họ có bán dữ liệu của bạn không? Điều này phải được tuyên bố rõ ràng. "Chúng tôi không bán dữ liệu tài chính của bạn." Nếu chính sách quyền riêng tư né tránh ở điểm này, đó chính là câu trả lời của bạn.

Tiêu chuẩn mã hóa nào? AES-256 cho dữ liệu ở trạng thái nghỉ, TLS 1.3 trong quá trình truyền. Đây là cùng những tiêu chuẩn mà các ngân hàng lớn ở Mỹ sử dụng.

Những gì chúng tôi làm tại YPA Finance

Tôi đã nói điều này trước đây và tôi sẽ tiếp tục nói: trong fintech, niềm tin không phải là khẩu hiệu tiếp thị — nó là kiến trúc. Trong thực tế, nó trông như thế này:

Chúng tôi sử dụng kết nối Plaid chỉ đọc. Thông tin đăng nhập của bạn không bao giờ chạm vào hệ thống của chúng tôi. Dữ liệu được mã hóa bằng AES-256 ở trạng thái nghỉ và trong quá trình truyền. Chúng tôi không lưu trữ SSN hay ITIN của bạn. Chúng tôi không bán dữ liệu của bạn — không cho nhà quảng cáo, không cho nhà môi giới dữ liệu, không cho bất kỳ ai. Cơ sở hạ tầng của chúng tôi chạy trên Google Cloud với kiến trúc zero-trust và được giám sát 24/7.

Hiện tại chúng tôi đang hướng đến chứng nhận SOC 2 Type II — quy trình đó đang được tiến hành. Trong khi đó, các biện pháp kiểm soát bảo mật của chúng tôi đã phù hợp với các tiêu chuẩn SOC 2.

Bức tranh đầy đủ nằm trên Security page của chúng tôi nếu bạn muốn đi sâu hơn.

Kết luận

Kết nối ngân hàng của bạn với một ứng dụng có uy tín là an toàn. Về mặt thống kê, nó an toàn hơn việc đăng nhập vào ngân hàng của bạn trên mạng WiFi khách sạn. Công nghệ này được thiết kế đặc biệt để giải quyết vấn đề thông tin đăng nhập.

Rủi ro không nằm ở hành động kết nối. Rủi ro nằm ở việc kết nối với sai ứng dụng — một cái xử lý thông tin đăng nhập của bạn cẩu thả, không mã hóa đúng cách, hoặc bán dữ liệu của bạn cho bên thứ ba.

Hãy dành hai phút cho trang bảo mật của một ứng dụng trước khi kết nối bất cứ thứ gì. Nếu họ không có, hoặc đó là ba câu nội dung tiếp thị, hãy đi tiếp.

---

Svetlana Burninova là đồng sáng lập và CTO của YPA Finance. Cô có 15 năm trong các hệ thống tài chính và 7 năm trong cơ sở hạ tầng, và sở hữu các chứng chỉ AWS, CKA, CKAD và HashiCorp Terraform.