Zabezpieczenia systemu transakcyjnego
Drogi Kliencie, możesz być spokojny o swoje środki pieniężne. Wielostopniowy system zabezpieczeń i ochrony danych zapewnia pełną dyskrecję i bezpieczeństwo transakcji dokonywanych w serwisie internetowym.
Oto 12 powodów, które czynią internetowy system transakcyjny Crédit Agricole jednym z bezpieczniejszych w Polsce:
- Identyfikacja użytkownika za pomocą trzech różnych elementów:
- unikalnego identyfikatora użytkownika,
- hasła dostępu,
- tokena.
- Szyfrowanie danych za pomocą złożonych technik kryptograficznych .
- Ponowna autoryzacja przy potwierdzaniu operacji finansowych.
- Możliwość ustalenia indywidualnych limitów kwotowych.
- Aktywna kontrola i wykrywanie prób nieudanego logowania.
- Monitoring nieaktywności Klienta.
- Zastrzeżenie tokena z chwilą zgłoszenia.
- Certyfikat wydany przez Certum Certification Authority (centrum certyfikacyjne polskiej firmy Unizeto Technologies S.A. w ramach grupy Asseco).
- Szybki i skuteczny system zmiany hasła i identyfikatora.
- Rygorystyczne wewnętrzne procedury bezpieczeństwa.
- Wybrany indywidualnie przez każdego klienta obrazek bezpieczeństwa pomaga w rozpoznaniu, czy wyświetlona strona logowania jest prawdziwą stroną banku. Obrazek należy wybrać przy pierwszym logowaniu do Serwisu internetowego CA24, będzie się on pojawiał przy następnych logowaniach danego użytkownika. Obrazek można zmienić w dowolnej chwili w serwisie CA24 eBank w sekcji Ustawienia
- Możliwość dodania przeglądarki do urządzeń zaufanych
Hasło SMS stanowi alternatywę dla tokena sprzętowego, zapewniając równie wysoki poziom bezpieczeństwa wykonywanych transakcji. Jest to jednorazowy kod, składający się z ośmiu cyfr, wysyłany przez Bank w treści wiadomości SMS. Kod wysyłany jest na zdefiniowany przez Klienta numer telefonu komórkowego, dla dyspozycji składanej w serwisie internetowym CA24.
Hasło SMS wysyłane jest wyłącznie wówczas, gdy wymaga tego charakter dyspozycji Klienta. Jednocześnie każde wysłane hasło jednorazowe opatrzone jest numerem identyfikacyjnym, generowanym równolegle w serwisie CA24 podczas składania dyspozycji. Ułatwia to weryfikację transakcji i minimalizuje ryzyko popełnienia błędu przez Klienta. Tylko wprowadzenie prawidłowego hasła, zaakceptowanego przez system kontrolny Banku powoduje zatwierdzenie dyspozycji.
Należy pamiętać, że:
- hasła SMS są unikalne i generowane losowo,
- hasło SMS może być użyte tylko jeden raz,
- każde nowo wygenerowane hasło SMS unieważnia poprzednie, ponadto hasło traci ważność jeżeli:
- w składanej dyspozycji została wprowadzona zmiana (np. dokonano zmiany w danych przelewu do realizacji),
- sesja użytkownika w serwisie internetowym CA24 wygasła przed wykorzystaniem hasła SMS,
- przed wykorzystaniem hasła, użytkownik opuścił ekran zatwierdzania dyspozycji (np. wylogował się lub przeszedł do innego ekranu),
- trzy kolejne próby wprowadzenia hasła SMS zakończone niepowodzeniem, skutkują zablokowaniem dostępu do serwisu internetowego Banku.
Hasła jednorazowe wysyłane są tylko w przypadku autoryzacji transakcji. Dostęp do serwisu internetowego CA24 wymaga podania unikalnego identyfikatora oraz hasła zdefiniowanego przez Klienta i spełniającego określone przez Bank wymagania bezpieczeństwa. Informacje na ten temat dostępne są na stronie internetowej .
Dla zapewnienia jak najwyższego poziomu bezpieczeństwa przy wymianie informacji z Klientem serwis internetowy CA24 Credit Agricole wykorzystuje protokół szyfrujący Transport Layer Security (TLS). Protokół TLS zapewnia poufność informacji i gwarantuje, że nikt postronny nie może odczytać lub zmienić danych przesyłanych między Klientem a Bankiem.
W trakcie połączenia z serwisem internetowym CA24 wykorzystywane są następujące techniki kryptograficzne:
- algorytm asymetryczny (z kluczem prywatnym i publicznym serwera Banku), używany w trakcie inicjowania połączenia, do zabezpieczenia transmisji (przekazania) losowo wygenerowanego klucza sesyjnego (wykorzystywanego następnie w algorytmie symetrycznym);
- algorytm symetryczny , używany do zabezpieczenia całej sesji komunikacyjnej między przeglądarką klienta a serwerem WWW Banku;
- funkcja skrótu używana do generowania podpisów cyfrowych dla przesyłanej informacji, które zapewniają integralność przesyłanej informacji - każda próba zmiany danych w czasie transmisji zostanie natychmiast wykryta.
Zastosowane przez serwis internetowy CA24 metody kryptograficzne uznane są przez specjalistów za bezpieczne i zapewniające pełną poufność operacji finansowych.
W celu zapewnienia jak najwyższego poziomu bezpieczeństwa każdy klient Serwisu internetowego CA24 może ustalić indywidualne limity kwotowe dotyczące transakcji wykonywanych przez internet:
- limit pojedynczej transakcji , który określa maksymalną kwotę jednorazowej operacji wykonywanej w Serwisie internetowym CA24,
- limit dzienny , który określa maksymalną sumę wszystkich operacji internetowych realizowanych jednego dnia za pośrednictwem Serwisu internetowego CA24.
Oba limity dotyczą wyłącznie operacji związanych ze zmianą stanu konta, tj. przelewów i zleceń co zabezpiecza przed niespodziewanymi, dużymi wypłatami z konta. Natomiast lokaty, jako transakcje wykonywane w ramach konta, nie są objęte limitami. Wysokość limitów można dowolnie zmieniać w Serwisie telefonicznym CA24 lub w placówce bankowej. W samym Serwisie internetowym CA24 eBank. limity, ze względów bezpieczeństwa, można tylko obniżyć.
Może zdarzyć się, że klient korzystający z serwisu internetowego CA24 odejdzie od komputera i zapomni wylogować się z systemu. Na szczęście nie ma ryzyka, że ktoś nieuprawniony dokona w międzyczasie operacji na jego koncie.
- Po pierwsze każda transakcja związana ze zmianą salda na koncie wymaga dodatkowej autoryzacji.
- Po drugie po dłuższym okresie bezczynności w oknie przeglądarki (10 minut) połączenie z serwisem internetowym zostanie przerwane i system wymusi ponowną identyfikację użytkownika.
Wszystkie działania w serwisie internetowym są rejestrowane przez system, a stały monitoring pozwala na przeciwdziałanie wszelkim próbom naruszenia prywatności klienta. Dzięki takim zabezpieczeniom każdy klient serwisu internetowego CA24 może czuć się naprawdę bezpieczny.
W Dzienniku zdarzeń użytkownik może sprawdzić swoją aktywność w serwisie CA24 eBank (historia logowań, autoryzacji).
Dbając o bezpieczeństwo środków Klienta, bank prowadzi monitoring logowań/operacji w Serwisie internetowym CA24 eBank/CA24 Mobile. W przypadku podejrzenia, że logowania/operacje nie zostały wykonane przez Klienta, bank może podjąć decyzję o czasowej dezaktywacji Serwisów CA24. O blokadzie Klient jest informowany za pomocą wiadomości SMS. Serwisy CA24 pozostaną nieaktywne do momentu potwierdzenia przez Klienta dokonanych logowań/operacji. Dezaktywacja oraz aktywacja Serwisów CA24 jest bezpłatna. Numer kontaktowy do potwierdzenia logowań/operacji: 71 771 12 81.
Pierwszym krokiem przy nawiązywaniu połączenia przez przeglądarkę klienta z serwerem serwisu internetowego jest pobranie tzw. certyfikatu. Certyfikat to rodzaj dokumentu tożsamości dla serwera WWW, wydanego przez niezależną firmę tzw. Certification Authority (CA).
Certyfikat zawiera m.in.:
- nazwę właściciela certyfikatu,
- nazwę wydawcy certyfikatu,
- publiczny klucz właściciela,
- okres ważności,
- nazwę serwera, dla którego certyfikat jest wystawiany.
Certyfikat dla serwisu internetowego CA24 eBank wystawiła polska firma certyfikująca Unizeto Technologies S.A. (należąca do grupy Asseco). Wydanie certyfikatu zostało poprzedzone sprawdzeniem autentyczności serwisu internetowego oraz weryfikacją praw do domeny internetowej, w której działa serwer banku.
"Moje, dobre, unikalne" - takie powinno być hasło do serwisu bankowości elektronicznej.
- Zasada pierwsza: "moje"
Zacznijmy od tego, że "moje" hasło znam tylko ja. Jeżeli ktokolwiek poznał "moje" hasło, np. zobaczył gdy je wpisywałem, zapisałem je na kartce i położyłem ją na biurku, sam mu je podałem lub namówił mnie do tego, to to już nie jest "moje" hasło. Stało się "hasłem publicznym". Takie hasło nadaje się tylko do zmiany. - Zasada druga: "dobre"
Hasła mają swoją "dobroć". Dobre hasło to takie, które trudno odgadnąć osobie trzeciej:
- nie jest imieniem moim ani nikogo z moich bliskich,
- marką auta, którym jeżdżę,
- nazwą bieżącego miesiąca,
- nie jest w żaden sposób podobne do mojego identyfikatora logowania do komputera w pracy ani do poprzednio przeze mnie używanych haseł itp.,
- nie składa się z kilku jednakowych znaków, liter bądź cyfr sąsiadujących ze sobą (w alfabecie lub na klawiaturze),
- nie jest zbyt krótkie, zawiera litery oraz cyfry,
- jest co jakiś czas zmieniane. - Zasada trzecia: "unikalne"
Istotne też jest aby moje hasło do bankowości elektronicznej nie było tym samym hasłem, którego używam w innych serwisach, np. nk.pl, facebook.pl, goldenline.pl itp.
Zresztą dla tworzenia haseł do takich serwisów warto również zastosować metodę
"moje, dobre, unikalne".
Zobacz artykuł dotyczący haseł naszego eksperta na blogu CAsfera.pl
Blog Banku Credit Agricole
Jak rozpoznać, czy jesteś na prawdziwej stronie logowania do banku?
Dowiedz się więcej na CAsfera.plNajważniejsze informacje o odblokowaniu i logowaniu do eBanku i aplikacji CA24 Mobile
Dowiedz się więcej na CAsfera.plUstawienia bezpieczeństwa w CA24 eBank - ależ to proste (i jakże ważne)
Dowiedz się więcej na CAsfera.pl