MyVault
← Back to Blog

Apakah Aman Mengunggah Laporan Bank ke Aplikasi AI? Jawaban yang Jujur

Apa yang sebenarnya terjadi pada data Anda saat Anda mengunggah laporan bank ke aplikasi keuangan pribadi berbasis AI, apa yang perlu diperhatikan dalam kebijakan privasi, dan bagaimana menilai risiko nyata dibanding alternatifnya.

9 min readTimur Shagiakhmetovprivacy · security · ai

Setiap aplikasi AI keuangan pribadi pada akhirnya akan menghadapi pertanyaan yang sama dari pengguna yang berhati-hati: apakah ini aman? Ini adalah keberatan terbesar dalam kategori tersebut, dan keberatan yang wajar — laporan bank mengandung informasi yang cukup untuk menyamar, memprofilkan, atau melakukan rekayasa sosial terhadap orang yang menjadi pemiliknya. Jawaban jujurnya adalah "tergantung, dan inilah tepatnya apa yang harus diperhatikan."

Kami membuat MyVault, sebuah aplikasi AI yang memproses laporan bank yang Anda unggah. Ini jawaban yang kami berikan kepada teman dan keluarga yang menanyakan, ditulis sejelas mungkin seperti yang bisa kami lakukan.

Apa yang sebenarnya ada di laporan bank

Laporan yang umum memuat:

  • Nama dan alamat surat Anda.
  • Nomor rekening, sering kali sebagian disamarkan (empat digit terakhir, atau enam digit terakhir).
  • Nomor routing bank, biasanya dicetak lengkap.
  • Riwayat transaksi per baris beserta tanggal, deskriptor pedagang, dan jumlah.
  • Saldo pembukaan dan penutupan.
  • Mungkin periksa gambar, jika Anda memindainya dan itu bagian dari PDF.

Dari sisi sensitivitas, ini tergolong cukup sensitif — lebih sensitif daripada riwayat belanja Anda, tetapi kurang sensitif daripada pemindaian paspor. Nomor rekening yang disamarkan saja biasanya tidak bisa digunakan untuk mengakses akun Anda, tetapi jika digabungkan dengan informasi pribadi dari sumber lain, itu bisa mendukung upaya rekayasa sosial. Perlakukan laporan se-aman yang Anda perlakukan pengembalian pajak.

Apa yang sebenarnya aplikasi keuangan AI lakukan terhadap file

Secara teknis, memproses laporan bank melibatkan empat langkah:

  1. Unggah — file berpindah dari browser Anda ke server aplikasi, idealnya melalui HTTPS dengan TLS 1.2 atau lebih. Ini enkripsi yang sama yang digunakan bank Anda untuk layanan perbankan online.
  2. Parsing — server mengekstrak teks dari PDF. Langkah ini bisa menggunakan pustaka PDF lokal, layanan OCR pihak ketiga, atau LLM. Pilihan ini penting untuk privasi: pustaka lokal menyimpan data di server aplikasi; OCR pihak ketiga mengirimkan file ke vendor lain.
  3. Kategorisasi — baris transaksi yang diekstrak dikirim ke model AI yang mengembalikan label kategori. Beberapa aplikasi menjalankan model di infrastruktur mereka sendiri; kebanyakan menggunakan OpenAI, Anthropic, atau Google. Alur data yang tepat itu penting: beberapa aplikasi hanya mengirim deskriptor pedagang (risiko rendah); beberapa mengirim transaksi lengkap termasuk jumlah (risiko menengah); beberapa mengirim seluruh file laporan (risiko lebih tinggi).
  4. Penyimpanan — transaksi yang sudah diparsing disimpan di basis data aplikasi. PDF asli akan dihapus, disimpan dalam jangka waktu tertentu, atau disimpan tanpa batas tergantung kebijakan aplikasi.

Apa yang perlu diperhatikan sebelum mengunggah

1. HTTPS dengan sertifikat yang valid

Bilah alamat browser harus menampilkan sertifikat yang valid. Jika Anda melihat peringatan apa pun saat pengunggahan, berhentilah. Ini batas minimum.

2. Kebijakan privasi yang jelas dan mudah dibaca

Cari jawaban eksplisit untuk pertanyaan-pertanyaan ini:

  • Di mana data saya disimpan, dan di yurisdiksi mana?
  • Apakah laporan yang saya unggah disimpan, dan selama berapa lama?
  • Apakah transaksi atau konten dokumen apa pun dikirim ke penyedia AI pihak ketiga?
  • Apakah data saya pernah digunakan untuk melatih model AI?
  • Apa yang terjadi pada data saya jika saya menghapus akun?

Jawaban yang tidak jelas untuk salah satu dari hal di atas adalah tanda bahaya. Kebijakan privasi yang mengatakan "kami dapat membagikan data dengan mitra untuk tujuan apa pun" adalah penolakan tegas.

3. Enkripsi saat data disimpan (at rest)

Basis data aplikasi harus mengenkripsi data Anda saat data disimpan (at rest). Kebanyakan basis data terkelola (AWS RDS, Google Cloud SQL, atau yang setara) melakukan ini secara default; pertanyaannya adalah apakah lapisan aplikasi menggunakannya.

4. Otentikasi dua faktor

Akun apa pun yang menyimpan riwayat transaksi Anda harus mendukung 2FA, idealnya dengan aplikasi autentikator daripada SMS. Gunakan.

5. Penghapusan akun yang benar-benar menghapus

Opsi penghapusan yang hanya menyembunyikan data Anda tanpa menghapusnya bukanlah penghapusan. Kebijakan privasi harus menyatakan secara tegas bahwa penghapusan akun menghapus file yang diunggah dan baris-baris basis data, bukan hanya catatan akun.

Bagaimana aplikasi AI dibandingkan alternatifnya

Sangat menggoda untuk menilai "apakah ini aman?" secara mutlak, tapi perbandingan yang tepat adalah terhadap alternatif — karena tidak melakukan apa pun juga merupakan pilihan yang memiliki risiko.

Agregator berbasis Plaid

Aplikasi seperti Mint (sebelumnya), Monarch, Copilot, dan YNAB menggunakan Plaid atau agregator serupa untuk membaca data bank Anda. Untuk melakukannya, Anda memberikan login bank Anda ke Plaid. Plaid menyimpan kredensial tersebut dan menggunakannya untuk membaca akun Anda secara berulang. Agregator memiliki rekam jejak keamanan yang kuat, tetapi model ancamannya berbeda dari aplikasi berbasis unggah: kebocoran Plaid mengekspos kredensial bank Anda; kebocoran aplikasi unggah laporan mengekspos data laporan tanpa kredensial.

Spreadsheet dan email

Banyak orang menyimpan PDF laporan bank di email mereka tanpa batas atau menempelkan data transaksi ke Google Sheets lalu melupakannya. Ini tidak lebih aman daripada aplikasi AI yang dikelola dengan baik — mungkin bahkan kurang aman, mengingat kebocoran email dan penyimpanan cloud konsumen cukup umum.

Tidak melakukan apa pun

Alternatif paling umum selain memakai aplikasi keuangan adalah tanpa sistem apa pun, yang juga memiliki biayanya sendiri: biaya transaksi penipuan yang terlewat, langganan yang lupa, dan pengeluaran yang tidak dipantau. Dalam beberapa tahun, biaya finansial karena tidak melacak pengeluaran sering kali lebih besar daripada biaya privasi terburuk saat menggunakan pelacak yang kredibel.

Apa yang MyVault lakukan secara spesifik

Kami akan menuliskan apa yang kami lakukan, supaya Anda bisa membandingkannya dengan aplikasi lain yang Anda nilai:

  • Kami tidak pernah meminta kredensial bank Anda. Tidak ada Plaid dalam alur kami. File yang Anda unggah adalah file yang sama yang akan Anda unduh untuk persiapan pajak.
  • Laporan yang diunggah diproses satu kali untuk mengekstrak transaksi. Kami mempertahankan transaksi yang sudah diparsing; kami menghapus file asli setelah pemrosesan kecuali Anda memilih untuk menyimpannya (sebagian pengguna ingin laporan disimpan sebagai arsip yang bisa dicari).
  • Deskriptor transaksi dan jumlah dikirim ke model bahasa besar untuk pengategorian. Kami tidak pernah mengirim nama, alamat, atau nomor rekening Anda ke model. Penyedia model tidak menyimpan masukan untuk pelatihan.
  • Penghapusan akun menghapus file yang Anda unggah, transaksi yang sudah diparsing, dan catatan akun dari sistem kami (tunduk pada periode retensi hukum yang singkat).
  • Kami mendukung 2FA. Kami sangat menyarankan untuk mengaktifkannya.

Saran praktis

Jika Anda masih ragu:

  • Mulailah dengan mengunggah satu laporan terbaru, bukan seluruh riwayat Anda. Lihat dulu bagaimana hasilnya bekerja sebelum memutuskan.
  • Gunakan kata sandi yang unik dan kuat, dan aktifkan 2FA segera setelah Anda membuat akun.
  • Baca kebijakan privasi yang sebenarnya. Biasanya singkat.
  • Jika ada sesuatu yang terasa janggal — kebijakan yang samar, tidak ada penghapusan akun, tidak ada 2FA, layanan hosting yang meragukan — pilih aplikasi lain.

Jika dilakukan dengan saksama, mengunggah laporan bank ke aplikasi keuangan AI yang tepercaya adalah risiko yang bisa dikelola dan memberi kejelasan nyata tentang pengeluaran Anda. Pertanyaan yang salah adalah "apakah ini 100% aman?" (tidak ada yang 100% aman). Pertanyaan yang benar adalah "apakah risikonya lebih kecil daripada nilainya, dan lebih kecil daripada alternatifnya?"

Baca kebijakan privasi MyVault sebelum mengunggah apa pun. Jika ada sesuatu yang tidak jelas, tanyakan langsung kepada kami — kami jawab. MyVault’s privacy policy. Baca kebijakan privasi MyVault sebelum mengunggah apa pun. Jika ada sesuatu yang tidak jelas, tanyakan langsung kepada kami — kami jawab. ask us directly — we answer.