¿Se les permite a los clientes del banco proporcionar nombre de usuario y contraseña a sitios como Mint.com?

Esta pregunta no se trata de si Mint.com es seguro o no. Que no viene al caso. (Consulte esta pregunta sobre el tema de confiar en Mint.com y servicios similares). Más bien:

¿Se les permite a los clientes bancarios, bajo cualquier acuerdo de cuenta que normalmente firmen, proporcionar su nombre de usuario y contraseña u otras credenciales de cuenta a sitios como Mint.com?

¿Renunciaría un cliente bancario a parte de la protección que ofrece su banco si revelara voluntariamente detalles confidenciales de la cuenta a un servicio de terceros?

¿Hay mucha gente que usa Mint.com sin comprender sus responsabilidades con respecto a la protección de las credenciales de su propia cuenta? (Llámame escéptico :-)

:O +1 Nunca pensé en esto.
+1 buen punto. Yo diría que no, nunca le confíes a nadie tu contraseña y nombre de usuario. Es como entregarle la billetera a un extraño
Relacionado: en el Reino Unido, los desarrollos recientes están tratando de poner estas aplicaciones de "terceros" en una base adecuada, brindando a los proveedores aprobados de productos similares a Mint una forma autorizada oficialmente de acceder a su cuenta: consulte Open Banking .

Respuestas (4)

El blog My Money publicó un artículo sobre este mismo tema hace un tiempo.

Creo que si busca en los T&C de Mint, dice en alguna parte que está otorgando un poder notarial "limitado" a Mint que les permite iniciar sesión en varios sitios web en su nombre.

Para los fines de este Acuerdo y únicamente para proporcionarle la Información de la cuenta como parte del Servicio, usted otorga a Intuit un poder notarial limitado y designa a Intuit como su apoderado y agente para acceder a sitios de terceros, recuperar y utilizar su información con pleno poder y autoridad para hacer y realizar todo lo necesario en relación con dichas actividades, como podría hacerlo en persona .

¿La implicación aquí es que permitir que una entidad con poder notarial acceda a su información bancaria no es una violación de los TOS del banco que de otro modo le prohíben compartir su información de inicio de sesión?

Sí, los términos y condiciones de todos los bancos en los que tengo cuentas dicen que nunca debes decirle a nadie (ni a ningún software, etc.) tu contraseña ni tu nombre de usuario.

Por lo tanto, si utiliza Mint.com, esperaría que el banco tenga una "tarjeta para salir de la cárcel" si alguna vez se pierde dinero de su cuenta por cualquier motivo.

+1, aunque tiene algunos errores tipográficos en su respuesta, supongo que quiere decir " salir de la tarjeta de la cárcel" si alguna vez se fue dinero ...
Parece que "cualquier software" también se aplicaría a Quicken y otros servicios similares.

Mint.com confía en que sus usuarios rompan las reglas para usar su servicio. Independientemente de las políticas bancarias, al final está confiando en que un tercero inicie sesión en su cuenta en su nombre, donde tendrá el control total de su cuenta.

Para al menos algunos de los bancos a los que se vincula, no utiliza un estándar abierto bien documentado, como por ejemplo, OFX . Necesita rastrear el sitio web y hacerse pasar por usted. Esto significa ingresar su nombre, contraseña, contraseña, preguntas de seguridad, etc. Les está dando todas las claves. Esto también significa que si el banco cambia su diseño o funcionalidad, Mint tendrá problemas para actualizarse y es posible que usted no lo sepa.

Por último, si conecta Mint a sus cuentas bancarias y comienza a confiar en él, le resultará difícil cambiar las contraseñas bancarias más tarde porque se vuelve aún más complicado.

Si tan solo los bancos pudieran usar herramientas modernas como OAuth (no necesariamente exactamente eso, pero en la misma dirección) y admitir formas estándar de exportar datos... Desafortunadamente, la mayoría de ellos son apenas del siglo XX, y mucho menos del XXI.
Sería increíble si fueran como Facebook o sitios que usan OAuth para que tenga que iniciar sesión en su banco, luego dar permiso a la aplicación, y también que sería una lista detallada de lo que el tercero necesita para acceso. Y, además, sería increíble que esto no rompiera su acuerdo de seguridad con su banco a menos que otorgue acceso a terceros para retirar fondos en su nombre (que imagino que sería más fácil simplemente usando una tarjeta de débito).
De hecho, cualquier movimiento de fondos nunca sería permitido por terceros. Solo deben poder leer información. El movimiento de efectivo requeriría una tarjeta de débito para ser completamente seguro.

Esto no parece diferente a decirle a mi esposa mi nombre de usuario/contraseña y que ambos usemos el mismo nombre de usuario. ¿Debo suponer que esto también va en contra de los TyC?

En realidad, no quiero asumir y solo decirte lo que creo que estaría permitido/no permitido. Así que usemos una declaración de términos de uso reales: https://www.chase.com/ccp/index.jsp?pg_name=ccpmapp/shared/assets/page/terms

Las únicas dos cláusulas que se ocupan de las contraseñas son las siguientes:

El uso no autorizado de los sitios web y sistemas de JPMorgan Chase, incluidos, entre otros, el ingreso no autorizado a los sistemas de JPMorgan Chase, el uso indebido de contraseñas o el uso indebido de cualquier información publicada en un sitio, está estrictamente prohibido.

...

Usted acepta que (i) no participará en ninguna actividad relacionada con el sitio web que sea contraria a la ley, la regulación o los términos de cualquier acuerdo que pueda tener con JPMorgan Chase, y (ii) en circunstancias en las que las ubicaciones del sitio web requieran identificación para el proceso, establecerá procedimientos y controles de seguridad comercialmente razonables para limitar el acceso a su contraseña u otra información de identificación a las personas autorizadas.

La cláusula de uso no autorizado parece simplemente afirmar lo obvio: que está prohibido acceder a la cuenta de alguien sin autorización. (es decir, no robe la contraseña de alguien y utilícela y no piratee sus servidores). Eso no se aplicaría aquí ya que el usuario de Mint.com / quickenonline autoriza a la empresa.

La segunda cláusula parece abordar esta situación. Tal como lo leí, básicamente solo dice que use prácticas de seguridad sólidas. Yo diría que eso significa que si investigas y confías en Mint.com para proteger tu contraseña, eres libre de elegir autorizarlos para que inicien sesión en tu nombre.

¿Se les permite a los clientes del banco proporcionar nombre de usuario y contraseña a sitios como Mint.com?
RespuestasAquíPolítica de privacidad1y, 0v