Вопрос или проблема
Я ищу бухгалтерское программное обеспечение или веб-приложение с автоматическим импортом моих транзакций (из Amex, Citi и US Bank) без передачи моих учетных данных этих финансовых учреждений.
waveapps.com — это достойное бухгалтерское приложение, но оно (и его партнер Plaid.com) требует слишком большого доверия: они просят меня поделиться моим именем пользователя и паролем от каждого из моих финансовых счетов. Это ужасная идея, как описано в этом отличном вопросе на Security StackExchange.
Интересно, что Citi и US Bank предлагают более безопасные подходы (которые Plaid не использует):
https://online.citi.com/US/ag/authorizedapps/manageaccess говорит:
Предоставление доступа к информации вашего счета
По вашему указанию мы предоставляем приложениям и веб-сайтам, перечисленным ниже, доступ к информации вашего счета Citi. Вы можете просмотреть и изменить разрешения в любое время. Напоминаем: сброс вашего идентификатора пользователя или пароля не поможет. Однако, если вы поделились своим идентификатором пользователя и паролем непосредственно с приложением или веб-сайтом, который не указан здесь, вы можете отозвать их доступ, изменив свои учетные данные для входа.
https://www.usbank.com/online-mobile-banking/account-aggregation-faq.html говорит:
Как я могу поделиться своими финансовыми данными с третьей стороной?
Вам нужно будет работать непосредственно с третьей стороной, чтобы дать ей возможность получать ваши финансовые данные. Во время регистрации с сервисом третьей стороны вы должны быть перенаправлены на страницу входа в U.S. Bank, где вам предложат ввести ваш личный идентификатор и пароль. Аутентификация вашей личности напрямую у нас позволяет вам делиться своей информацией о счете, не раскрывая ваши учетные данные для входа. Убедитесь, что URL в веб-браузере — это https://www.usbank.com и что отображается значок защищенного веб-сайта в виде замка. Нажмите на значок замка, чтобы увидеть, что он зарегистрирован на usbank.com.
Какие варианты бухгалтерского программного обеспечения существуют, использующие эти объединенные входы?
(Для Amex я могу просто создать пользователя с ограниченным доступом, и мне комфортно передать этот пароль бухгалтерскому приложению.)
В идеале это должно быть веб-приложение, вторым предпочтением Windows 10, третьим предпочтением Mac. Цена: у меня нет ограничений, но, конечно, я предпочитаю бесплатное.
Plaid теперь предлагает портал, где пользователь может управлять соединениями Plaid с институциями на основе телефонного номера пользователя – my.plaid.com.
Вам нужно зарегистрироваться с вашим номером телефона, и Plaid сразу сообщит вам, если у него есть какие-либо подключения, связанные с ним. (Я попытался зарегистрироваться и получил “Мы не нашли приложений или аккаунтов, связанных с XXXX”, хотя это номер, который я использую со всеми моими финансовыми учреждениями, и я помню, что однажды отказался от более безопасного варианта микродепозитов из-за нехватки времени.)
Так как панель управления не сработала, я отправил запрос в Plaid на мои данные. У них был… интересный процесс KYC. Они запросили только разумные PII (идентификатор, но с замаскированным адресом; без SSN) и не совсем разумные данные:
“Полный список финансовых учреждений (например, имен банков или брокерских фирм), которые вы в настоящее время или ранее подключали через Plaid.”
Поэтому они запрашивали то, что я пытался выяснить. Я использую финансовые приложения в течение многих лет. Как я могу предоставить полный список тех, что я когда-либо подключал через Plaid? Кроме того, они запросили все это, включая фотографию идентификатора, через небезопасную электронную почту. Не было предоставлено никакого безопасного дропбокса.
В итоге я получил архив с моими данными. Он был в формате JSON (что может быть немного непонятно для менее технических пользователей), и… совершенно бесполезный.
Данные, которые у Plaid были обо мне, были моими собственными банковскими счетами. Большое спасибо, я знаю о них. Что я хотел узнать, так это то, что другие финансовые приложения и сервисы знали обо мне, но это было полностью отсутствовало.
В общем, запрос моих данных у Plaid был огромной тратой времени.
Ответ или решение
Теория
В современном мире все больше людей стремятся автоматизировать учет финансовых операций, в том числе импорт транзакций из банковских счетов. Однако, важной проблемой остается безопасность: как автоматизировать процесс импорта данных, не передавая свои конфиденциальные данные такие, как логин и пароль банковского аккаунта третьим лицам.
Пример
Некоторые финансовые учреждения, такие как Citi и US Bank, предоставляют более безопасные способы подключения к учетным записям через авторизованные приложения. Эти методы используют технологии федеративных входов и специальных аутентификаций, позволяя приложениям получать доступ к данным без передачи пользователем своих учетных данных напрямую.
Например, в Citi вы можете управлять разрешениями доступа приложений к вашему аккаунту, а US Bank предлагает функцию безопасного входа через их собственную страницу с использованием ваших идентификаторов, что позволяет безопасно делиться информацией без раскрытия ваших данных.
Применение
Итак, как ответить на основной вопрос: существует ли программное обеспечение для бухгалтерии, которое использует такие федеративные методы аутентификации? На текущий момент большинство популярных бухгалтерских приложений (например, упомянутый WaveApps) интегрируются с сервисами, такими как Plaid, которые могут требовать полностью доверять им свои данные. Однако, альтернативы существуют.
-
Поддержка банковских протоколов: Разработчику или пользователю следует искать программы, которые поддерживают протоколы Open Banking или их эквиваленты, предлагаемые банками. Эти протоколы позволяют безопасно подключаться к банковским данным через специально разработанные интерфейсы, обеспечивающие защиту пользовательских данных.
-
Use of API и OAuth 2.0: Подбор приложений, работающих через API, которые могут использовать OAuth 2.0 для аутентификации, обеспечивает более высокий уровень безопасности. Это связано с тем, что при таком подходе приложение получает токены доступа, а не ключевые данные аккаунта.
-
Общий доступ и альтернативные логины: В случае American Express, о котором вы упомянули, можно использовать учётные записи с ограниченным доступом. Это позволяет передавать некоторые данные без риска компрометировать основную учётную запись.
Рынок постоянно развивается, и ключевым фактором выбора подходящего решения является наличие у него поддержки методов федеративной аутентификации. Необходимо изучить предложения от тех компаний, которые ставят во главу угла защиту данных, и активно используют современные протоколы и методы обмена информацией.