Segurança no BBVA net cash€¦ · Se necessário, o BBVA oferece um tipo especial de Token...

Segurança no BBVA net cash

Data de Actualização: Outubro 2010

1. Introdução....................................................................................

2. Medidas do BBVA......................................................................

2.1 O serviço...........................................................................................

2.1.1 Administração de utilizadores .......................................................

2.1.2 Controlo da actividade....................................................................

2.1.3 Credenciais de utilizador no BBVA net cash.................................

2.1.4 Identificação e autenticação............................................................

2.1.5 Cumprimento normativo de regulamentações nacionais e

internacionais...........................................................................................

2.2 A tecnologia......................................................................................

2.2.1 Sigilo e integridade.........................................................................

2.2.2 Segurança física dos centros de processamento de dados..............

2.2.3 Arquitectura de segurança..............................................................

2.2.4 Sistemas específicos de protecção..................................................

2.2.5 A qualidade como factor estratégico...............................................

3. Medidas que deverá tomar:recomendações para o utilizador.....3.1 Protecção das suas credenciais de utilizador......................................

3.2 Protecção do seu computador.............................................................

3.3 Práticas seguras de acesso e navegação na Internet............................

4. Informação sobre vírus e ataques mais frequentes ...................

5. Anexo.........................................................................................5.1 Política de Protecção de Dados Pessoais……...................................

Índice

2

3

3

3

3

4

5

5

6

6

6

7

7

7

88

8

9

10

1111

As novas possibilidades proporcionadas pela evolução acelerada da internet são evidentes.

Possibilidades que permitem no BBVA net cash completar, dia a dia, a nossa gama já bem nutrida e

flexível de serviços online e, ao mesmo tempo, abrir as portas ao desenvolvimento de novas formas

de fraude e ludíbrio cada vez mais avançadas.

No BBVA net cash, cientes destas ameaças, mantemos uma vigilância permanente e trabalhamos

para aumentar ao máximo as precauções para que possa continuar a operar com segurança. No

presente documento fizemos a compilação de todas as iniciativas levadas a efeito no BBVA net cash

para proteger tanto os seus dados como o acesso dos intrusos. Encontrará, além disso, uma série de

recomendações que poderá ter em linha de conta para contribuir que as suas ligações à internet e a sua

operativa online seja segura.

1. Introdução

Página 2


Introdução

2. Medidas do BBVA

Página 3

2.1 O serviço

2.1.1 Administração dos utilizadores

BBVA net cash é uma aplicação multi-utilizador. Possui diversos perfis de utilizador que a entidade pode atribuir aos seus empregados em função da sua estrutura operativa.

Um perfil específico, o administrador, define e administra os utilizadores da entidade no BBVA net cash. Podem existir um ou vários administradores e contar com diferentes níveis de delegação (sem poder ou com poderes solidário ou co-responsável).

Para cada utilizador é atribuído um perfil que é definido com o nível máximo de detalhe. Procede-se do mesmo modo para a autorização de operações, podendo ser:

● Sem poder: não pode autorizar operações.

● Procurador: pode ser solidário ou co-responsável.

● Auditor: pode rejeitar totalmente mesmo as ordens assinadas até não contarem com a sua

autorização.

Esta estrutura permite que o circuito dos utilizadores seja tão restritivo como a entidade desejar,

com o fim de garantir, em todo o momento, que cada um deles:

● aceda apenas aos serviços e contas estabelecidos pelo administrador.

● possa realizar apenas as consultas e operações autorizadas pelo administrador.

● possua ou não poderes para autorizar operações.

● disponha de um limite monetário em função da operação e conta, definida pelo

administrador.

● só se for administrador, possa consultar, para além do seu perfil, a relação de utilizadores

definidos na sua Entidade, os seus perfis, os acessos aos serviços e os poderes que lhe tenham

sido atribuídos.

2.1.2 Controlo de actividade

As pessoas com perfil de administrador podem realizar um acompanhamento da operatória da Entidade

no BBVA net cash através de:

● o módulo de Estatísticas (Ficheiros>Estatísticas): consulta das operações realizadas

durante um período determinado.

● a Auditoria de ordens (Ficheiros>Auditoria): controlo da actividade das operações de

cada Utilizador da Entidade.

● a Auditoria de utilizadores (Administração e controlo> Administração de utilizadores

>Consulta de auditoria): espelha quais foram as realizadas por cada um dos Administradores

dentro do circuito de utilizadores.


Medidas do BBVA

2.1.3 Credenciais de utilizador no BBVA net cash

● Chave de assinatura: o BBVA net cash oferece ao utilizador opções de assinatura distintas para

que possa seleccionar a que se adapte melhor à sua operativa. Deste modo, o utilizador definirá se a

sua modalidade de assinatura é mediante chave de operações (senha com nove caracteres) ou

mediante assinatura por meio de uma fórmula (aplicação de uma fórmula aritmética no número que

o BBVA net cash indique).


Medidas do BBVA

● Duplo factor de segurança: consiste, basicamente, na

incorporação de um dispositivo de segurança, neste caso

Token, para a validação no circuito de utilizadores e a

assinatura de operações através do BBVA net cash. Desta

forma e com este fim, o sistema lhe solicitará que introduza

o código de segurança de seis dígitos gerado pelo Token

(de uso único) além da sua chave de assinatura. O seu

Token é pessoal e intransmissível e é entregue um por cada

utilizador com poderes de assinatura.

Adicionalmente, o sistema solicitar-lhe-á que informe o seu número de telemóvel para que possa

receber, no caso de perda ou roubo do dispositivo Token, o seu código de segurança via SMS e

continuar a operar normalmente.

● O tamanho mínimo da chave de acesso possui 8 caracteres alfanuméricos para dificultar a sua

dedução por terceiros mediante o teste de opções.

● As senhas são armazenadas, cifradas irreversivelmente em sistemas especializados de gestão de

utilizadores e identidades, de forma que ninguém as possa obter ou deduzir.

Obrigatoriedade de alterar a chave de acesso no primeiro acesso: para prevenir a suplantação do

utilizador, na sua primeira ligação o BBVA net cash, irá requerer a alteração da sua chave de acesso.

Bloqueio dos utilizadores .

● Os erros ao digitar os dados do utilizador ou a chave de activação cinco vezes seguidas,

provoca o bloqueio da Referência no BBVA net cash não podendo ser activada até o BBVA

gerar uma nova chave de activação.

● No caso da chave de acesso e a de assinatura, após três tentativas falhadas, o utilizador

fica bloqueado.

Se necessário, o BBVA oferece um tipo especial de Token

habilitado para usuários com deficiência visual.

● Para maior segurança, a chave de acesso e a chave de

assinatura no BBVA net cash são diferentes. Embora as

senhas não caducarem, recomendamos ao cliente fazer a

sua alteração todos os meses.

2.1.4 Identificação e autenticação

Traçabilidade das transacções: os acessos e transacções realizadas ficam espelhadas em registos de

operações automatizados que recolhem a operação efectuada, a data e a hora da mesma e o utilizador

que a efectuou, permitindo determinar a validez das operações registadas.

Informação da última ligação:

● Se o utilizador entra pela primeira vez, o BBVA net cash irá indicar este facto.

● Nos acessos sucessivos, o BBVA net cash irá mostrar ao utilizador a data a a hora da sua

última ligação (Figura 2.1.4.1).

Figura 2.1.4.1

Cookies activos apenas durante a sessão: os cookies colocados no sistema operativo do utilizador, necessários para a navegação de modo seguro através de qualquer Site, estão activos apenas durante a ligação com o BBVA net cash e são apagados quando o utilizador desligar a aplicação.

Desconexão automática da sessão: como medida adicional de segurança, aos 10 minutos de inactividade no BBVA net cash, procede-se à finalização da sessão do utilizador e da sua desconexão do sistema (Figura 2.1.4.2).

Figura 2.1.4.2

2.1.5 Cumprimento normativo de regulamentações nacionais e internacionais

O BBVA cumpre em todos os seus serviços as normas e regulamentos dos países nos que opera. O

compromisso do BBVA com estas regulamentações está estabelecido no Código de Conduta, de

cumprimento obrigatório para todos os empregados.


Medidas do BBVA

● O erro na introdução do código de segurança gerado pelo Token cinco vezes seguidas

provoca o bloqueio do utilizador no BBVA net cash.

● O administrador de utilizadores possui autonomia para bloquear o acesso aos utilizadores da

sua entidade, por forma que, perante qualquer baixa de um empregado, o acesso pode ser

revogado imediatamente.

2.2 A tecnologia

2.2.1 Sigilo e integridade

De todas as credenciais de usuário:

● Todas as chaves operativas dos utilizadores são armazenadas cifradas irreversivelmente

em sistemas especializados de gestão de utilizadores e identidades, de modo que ninguém

possa fazer a sua obtenção ou dedução.

● Os procedimentos operativos do BBVA não requerem que ninguém no Banco disponha das

chaves operativas dos seus clientes, motivo pelo qual ninguém as conhece, nem serão

pedidas pessoalmente.

Das comunicações:

● As comunicações dos serviços transaccionais e da banca à distância do BBVA são cifradas

mediante protocolo SSL de 128 bits para preservar o sigilo e a integridade das

comunicações através da Internet.

● Os certificados empregados pelo BBVA para proporcionar

este serviço são gerados pela Verisign Inc.

● Adicionalmente, as comunicações sensíveis que têm lugar nas redes internas do BBVA

encontram-se protegidas adequadamente segundo o ambiente operativo e o protocolo

utilizado.

Da informação:

● A informação armazenada nos sistemas e bases de dados internas encontra-se protegida

mediante diferentes sistemas de segurança permitindo o acesso unicamente aos

empregados autorizados.

● O BBVA dispõe de um sistema automatizado de gestão de privilégios de acesso à

informação que garante o acesso controlado e restringido ao pessoal autorizado.

2.2.2 Segurança física dos Centros de Processamento de Dados

Os Centros de Processamento de Dados do BBVA estão dotados com amplas medidas de segurança

física para a protecção dos sistemas de processamento de dados, destacando, entre outras, as seguintes:

● CPD armazenado num bunker.

● Controlo de acessos individualizado ao recinto e as diferentes salas técnicas, dotados de

sistemas de detecção de elementos perigosos.

● Equipas humanas de vigilância física e vídeo vigilância do perímetro e do interior das

instalações num regime de 24x7X365.

● Sistemas de detecção e protecção específicos perante intrusão, incêndio, inundação,

interrupção de fornecimentos e outros eventos catastróficos.

Além disso, como dispõe de Centros de Processamento de Dados plenamente operativos, o BBVA

garante a salvaguarda e recuperação da informação, no caso de vir a ser necessário.


Medidas do BBVA

2.2.3 Arquitectura de segurança

Com o fim de conseguir a segurança máxima no desenho dos seus sistemas, o BBVA implementou uma arquitectura de segurança específica especialmente para os que prestam serviços aos seus clientes através da Internet.

Nomeadamente, e para minimizar o nível de exposição à Internet, apenas se mantém exposta a capa

de apresentação (que realiza as funções de autenticação do utilizador, autorização de acesso a aplicações web e controlo com segurança da sessão) mediante um proxy inverso de segurança.

2.2.4 Sistemas específicos de protecção

Firewalls e sistemas antivírus e anti-spyware permanentemente actualizados:

● O BBVA realiza uma segregação das suas redes e sistemas com diversos níveis de

firewalls.

● Além disso, os sistemas internos do BBVA encontram-se protegidos permanentemente

mediante sistemas antivírus e de detecção de intrusão.

● Ambos os tipos de sistemas são geridos sob o regime de 24x7 e encontram-se

permanentemente actualizados, o que permite prevenir a acção de novas ameaças de forma

permanente.

● Todos os sistemas de vigilância, alerta e resposta de segurança perante a possibilidade de

fraudes são monitorizados e supervisados por uma equipa de especialistas sob o regime de

24x7x365 nas instalações do Centro de Processamento de Dados.

Registos de actividade de todos os componentes: o BBVA dispões nos seus sistemas e aplicações de Banca à Distância de registos de actividade (logs) de todos os componentes críticos, que prestam suporte aos serviços de detecção de tentativas de fraude e análise forense de actividades ou operações sob suspeita ou informadas mediante relatório como fraudulentas.

Revisão periódica do serviço aplicando as últimas técnicas de ataque: os sistemas que prestam suporte aos serviços de banca à distância são revistos periodicamente mediante ferramentas de análise automático de vulnerabilidades.

Auditorias internas e externas: os sistemas e processos do BBVA são objecto de auditorias de segurança periódicas tanto por parte do departamento independente de Auditoria como por parte de auditorias externas específicas ou associadas com auditorias financeiras ou de cumprimento.

2.2.5 A qualidade como factor estratégico

O Centro de Processamento de Dados do BBVA tem estabelecido um Sistema de Gestão da Qualidade que cumpre os requisitos da norma UNE-EN ISO 9001:2000.

O pessoal do CPD está formado nos processos de qualidade que prestam suporte à certificação ISO 9001:2000, e o pessoal chave de suporte está certificado em auditoria de qualidade.

O BBVA faz parte do Information Security Forum, no qual estão presentes mais de 270 das principais e maiores empresas mundiais.


Medidas do BBVA

3. Medidas que deve tomar: recomendações para o utilizador

Página 8

3.1 Protecção das suas credenciais de utilizador

● As suas chaves de acesso e assinatura no BBVA net cash são pessoais, intransmissíveiss e secretas,

e deverá guardá-las de forma segura. Estas chaves encontram-se armazenadas nos sistemas do BBVA

cifradas com um algoritmo e, por tanto, ninguém, nem sequer o BBVA, as conhece.

● O seu Token é pessoal e intransmissível.

● Não as comunique a ninguém, sob nenhum conceito, as suas chaves pessoais e nunca informe

acerca das mesmas em nenhum website distinto do ambiente seguro do BBVA net cash.

● Escolha chaves de dedução difícil. Além disso, recomendamos que altere a sua senha

periodicamente.

● Desconfie dos sites que pedem os seus dados pessoais, a não ser que estejam relacionados com a

prestação de um serviço.

● Em caso de receber uma mensagem pedindo as suas chaves pessoais, não proporcione nenhum

dado e, por favor, entre imediatamente em contacto com o Serviço de atenção ao cliente BBVA net

cash:

3.2 Protecção do seu computador

● Actualize periodicamente o seu sistema operativo e a versão do seu navegador com as respectivas

ferramentas, para fazer a sua protecção perante a possibilidade buracos ou erros detectados.

● Configure o seu equipamento e todos os seus programas com os níveis mais altos de segurança.

● Instale, mantenha activo e sempre actualizado um firewall e um anti-virus.

● Realize periodicamente cópias de segurança (backup) dos seus ficheiros.

● Evite descargas a partir de websites desconhecidas, posto que podem conter vírus ou componentes

de spyware.

● Limpe periodicamente os cookies e os ficheiros temporários (Figura 3.2.1).


Recomendações para o utilizador

808 50 77 77

Figura 3.2.1

3.3 Práticas seguras de acesso e navegação na Internet

● Evite entrar em páginas com um conteúdo privado a partir de computadores públicos.

● Verifique se está ligado a um servidor seguro. Na parte inferior do seu navegador deve aparecer um

símbolo de um cadeado fechado.

● Verifique o certificado de segurança no Site, clicando no símbolo do cadeado fechado:

● A data de caducidade e o domínio devem estar em vigor.

● Na informação de detalhe deve aparecer o emissor (Verisign), o período de validade e a

entidade para a qual foi emitido o certificado (BBVA).

● Não utilize a opção de “autocompletar senhas” do seu navegador. Se estiver activa, as senhas que

digitar no Site ficam armazenadas no computador e, quando voltar a digitar o seu utilizador, o campo

da chave é preenchido automaticamente. Esta opção num computador de uso partilhado pode provocar

que alguém utilize as suas chaves pessoais.

● Verifique a data e a hora da última ligação.

● Para acabar com segurança a sua sessão no BBVA net cash, utilize o botão <Sair> que está situado

na parte superior direita.


Recomendações para o utilizador

4. Vírus e ataques mais frequentes

Página 10

Phishing: Caso receba um e-mail a solicitar-lhe a confirmação ou a introdução de informações

confidenciais relacionadas com a sua banca electrónica (códigos de entrada, assinatura, etc.), está a ser

vítima de um ataque de PHISHING. Este define-se basicamente como a tentativa de obter dados de

acesso mediante a suplantação da aparência e do nome da entidade remetente, no nosso caso o

BBVA.

O esquema básico de funcionamento é o seguinte:

1. É difundida de forma maciça uma mensagem (spam) em que se informa que os utilizadores do

BBVA devem confirmar os seus dados de acesso, neste caso ao BBVA net cash.

2. A mensagem inclui uma ligação a uma página a partir da qual deve efectuar a confirmação dos

dados. Por vezes a ligação inicia a descarga de software malicioso.

3. O utilizador acede à ligação que leva a uma página “similar” à autêntica BBVA net cash e com

toda a confiança introduz nela os seus dados.

4. Como a página é falsa e está controlada pelos vigaristas, são eles que realmente recebem os

dados do utilizador, e com eles têm livre acesso à conta real do utilizador afectado.

Embora o BBVA nunca lhe solicite os seus códigos de acesso nem a assinatura do BBVA net cash

por e-mail, incluímos aqui algumas pistas para que reconheça este tipo de ataques:

1. Por vezes o logótipo parece distorcido ou estirado. Além disso, costumam apresentar erros

ortográficos ou expressões em desuso.

2. Referem-se a si como “estimado cliente” ou “estimado utilizador” em vez de incluírem o seu

nome real.

3. Advertem-no para o facto de a sua conta/serviço de banca electrónica serem encerrados salvo se

reconfirmar imediatamente as suas informações de acesso.

4. O tom do e-mail é ameaçador.

5. O texto faz referência a “compromissos de segurança” ou “ameaças da segurança” e exige efeito

imediato.

6. A url não é https:// e não aparece o cadeado de segurança na barra inferior do navegador. As

ligações falsas incluem este ícone na janela para o enganarem.

Pharming: Neste caso, a passagem entre o nome nemotécnico da URL e o endereço IP devolvido é

interceptado, para enviar o utilizador, em vez de para o Site de, por exemplo, o seu banco, para uma

réplica, onde os delinquentes se apropriam dos dados confidenciais do utilizador. Ao contrário do

phishing, não é recebido qualquer e-mail. O utilizador é redireccionado para uma página fraudulenta

quando digita o URL no navegador.

Troianos: Este tipo de vírus fica latente no computador do utilizador e vai armazenando as chaves

quando o mesmo liga para outras entidades financeiras, etc. e quando acumulou os dados suficientes,

transmite os mesmo para o deliquente.

Man in the middle: O atacante é capaz de ler, digitar e alterar os dados trocados entre o cliente e o

Banco. Deste modo, pode alterar os dados de uma transacção por detrás (p. Ex.: conta de creditação,

montante, …), sem que o utilizador se aperceba. Este último define e assina uma transacção no ecrã,

porém, realmente, o Banco irá receber assinada a transacção alterada pelo atacante.


Vírus e ataques mais frequentes

5. Anexo

Página 11

5.1 Política de Protecção de Dados Pessoais

(a) O Cliente declara autorizar que os dados recolhidos para execução deste Contrato, e/ou da eventual

aquisição de produtos e serviços com ele relacionados sejam armazenados, transmitidos ou processados

informaticamente, quer pelo responsável pelo tratamento quer por fornecedores terceiros (facilitando,

dessa forma, o indispensável processo de registo) podendo ainda os dados destinarem-se ao

estabelecimento de relações comerciais com o Banco e com as demais instituições por ele dominadas

ou participadas. O Banco reserva-se a faculdade de efectuar a recolha, transmissão e processamento

adicional de informação obtida junto de repartições públicas ou empresas especializadas, para a

confirmação dos dados e a obtenção dos elementos necessários à relação contratual no quadro legal

vigente.

(b) A omissão/incorrecção dos dados de fornecimento obrigatório é da responsabilidade do Cliente. É

assegurado, nos termos legais, o direito de informação, correcção, aditamento ou supressão dos dados,

mediante contacto por escrito ou pessoal junto de qualquer Sucursal do Banco.

(c) O cliente autoriza o Banco a utilizar os e.mails eventualmente facultados, para o envio de

mensagens promocionais de produtos/serviços próprios, de entidades com ele coligadas ou associadas,

bem como de entidades terceiras alheias ao Grupo BBVA que se encontram presentes no portal

bbvanetcash.pt, sem prejuízo da faculdade de, a todo o momento, o Banco vir a ser instruído no sentido

de suster essas comunicações a pedido expresso dos utilizadores, que acatará obrigatoriamente quando

não se trate de publicidade dirigida a profissionais ou quando existam relações duradouras entre o

anunciante e o destinatário, resultantes do fornecimento de bens ou serviços.


Anexo

A partir desta comunicação, o Serviço de atendimento ao cliente do BBVA net cash colocará em andamento o

protocolo de actuação contra a fraude detectada: uma equipa de especialistas encarregar-se-á de analisar o caso.

Se se confirmar a suspeita, ser-lhe-á recomendado que:

.

● Formate o seu disco rígido.

● Instale um antivírus actualizado.

● Instale uma Firewall.

● Instale um programa anti-spyware.

●Mantenha o software do seu equipamento actualizado.

Em todos os casos confirmados, proceder-se-á à alteração do código de acesso do utilizador afectado.

O BBVA net cash tem uma secção específica sobre Segurança na sua página privada de boas-vindas. Poderáencontrar informações sobre vírus e ataques mais frequentes, recomendações, informações sobre actualizações de sistemas operativos e programas antivírus, etc. Aceda periodicamente.

Para evitar estes ataques, siga as recomendações que lhe indicamos e comunique-nos qualquer situação ou comunicação suspeita que receba:

808 50 77 77

Segurança no BBVA net cash€¦ · Se necessário, o BBVA oferece um tipo especial de Token...

Documents

Transcript of Segurança no BBVA net cash€¦ · Se necessário, o BBVA oferece um tipo especial de Token...