Segurança no BBVA net cash Data de Actualização: Outubro 2010 Índice 1. Introdução.................................................................................... 2 2. Medidas do BBVA...................................................................... 3 2.1 O serviço........................................................................................... 2.1.1 Administração de utilizadores ....................................................... 2.1.2 Controlo da actividade.................................................................... 2.1.3 Credenciais de utilizador no BBVA net cash................................. 2.1.4 Identificação e autenticação............................................................ 2.1.5 Cumprimento normativo de regulamentações nacionais e internacionais........................................................................................... 3 3 3 4 5 2.2 A tecnologia...................................................................................... 2.2.1 Sigilo e integridade......................................................................... 2.2.2 Segurança física dos centros de processamento de dados.............. 2.2.3 Arquitectura de segurança.............................................................. 2.2.4 Sistemas específicos de protecção.................................................. 2.2.5 A qualidade como factor estratégico............................................... 6 6 6 7 7 7 5 3. Medidas que deverá tomar:recomendações para o utilizador..... 8 3.1 Protecção das suas credenciais de utilizador...................................... 8 3.2 Protecção do seu computador............................................................. 8 3.3 Práticas seguras de acesso e navegação na Internet............................ 9 4. Informação sobre vírus e ataques mais frequentes ................... 10 5. Anexo......................................................................................... 11 5.1 Política de Protecção de Dados Pessoais……................................... 11 Segurança no BBVA net cash Introdução 1. Introdução As novas possibilidades proporcionadas pela evolução acelerada da internet são evidentes. Possibilidades que permitem no BBVA net cash completar, dia a dia, a nossa gama já bem nutrida e flexível de serviços online e, ao mesmo tempo, abrir as portas ao desenvolvimento de novas formas de fraude e ludíbrio cada vez mais avançadas. No BBVA net cash, cientes destas ameaças, mantemos uma vigilância permanente e trabalhamos para aumentar ao máximo as precauções para que possa continuar a operar com segurança. No presente documento fizemos a compilação de todas as iniciativas levadas a efeito no BBVA net cash para proteger tanto os seus dados como o acesso dos intrusos. Encontrará, além disso, uma série de recomendações que poderá ter em linha de conta para contribuir que as suas ligações à internet e a sua operativa online seja segura. Página 2 Segurança no BBVA net cash Medidas do BBVA 2. Medidas do BBVA 2.1 O serviço 2.1.1 Administração dos utilizadores BBVA net cash é uma aplicação multi-utilizador. Possui diversos perfis de utilizador que a entidade pode atribuir aos seus empregados em função da sua estrutura operativa. Um perfil específico, o administrador, define e administra os utilizadores da entidade no BBVA net cash. Podem existir um ou vários administradores e contar com diferentes níveis de delegação (sem poder ou com poderes solidário ou co-responsável). Para cada utilizador é atribuído um perfil que é definido com o nível máximo de detalhe. Procede-se do mesmo modo para a autorização de operações, podendo ser: ● Sem poder: não pode autorizar operações. ● Procurador: pode ser solidário ou co-responsável. ● Auditor: pode rejeitar totalmente mesmo as ordens assinadas até não contarem com a sua autorização. Esta estrutura permite que o circuito dos utilizadores seja tão restritivo como a entidade desejar, com o fim de garantir, em todo o momento, que cada um deles: ● aceda apenas aos serviços e contas estabelecidos pelo administrador. ● possa realizar apenas as consultas e operações autorizadas pelo administrador. ● possua ou não poderes para autorizar operações. ● disponha de um limite monetário em função da operação e conta, definida pelo administrador. ● só se for administrador, possa consultar, para além do seu perfil, a relação de utilizadores definidos na sua Entidade, os seus perfis, os acessos aos serviços e os poderes que lhe tenham sido atribuídos. 2.1.2 Controlo de actividade As pessoas com perfil de administrador podem realizar um acompanhamento da operatória da Entidade no BBVA net cash através de: ● o módulo de Estatísticas (Ficheiros>Estatísticas): consulta das operações realizadas durante um período determinado. ● a Auditoria de ordens (Ficheiros>Auditoria): controlo da actividade das operações de cada Utilizador da Entidade. ● a Auditoria de utilizadores (Administração e controlo> Administração de utilizadores >Consulta de auditoria): espelha quais foram as realizadas por cada um dos Administradores dentro do circuito de utilizadores. Página 3 Segurança no BBVA net cash Medidas do BBVA 2.1.3 Credenciais de utilizador no BBVA net cash ● Chave de assinatura: o BBVA net cash oferece ao utilizador opções de assinatura distintas para que possa seleccionar a que se adapte melhor à sua operativa. Deste modo, o utilizador definirá se a sua modalidade de assinatura é mediante chave de operações (senha com nove caracteres) ou mediante assinatura por meio de uma fórmula (aplicação de uma fórmula aritmética no número que o BBVA net cash indique). ● Duplo factor de segurança: consiste, basicamente, na incorporação de um dispositivo de segurança, neste caso Token, para a validação no circuito de utilizadores e a assinatura de operações através do BBVA net cash. Desta forma e com este fim, o sistema lhe solicitará que introduza o código de segurança de seis dígitos gerado pelo Token (de uso único) além da sua chave de assinatura. O seu Token é pessoal e intransmissível e é entregue um por cada utilizador com poderes de assinatura. Adicionalmente, o sistema solicitar-lhe-á que informe o seu número de telemóvel para que possa receber, no caso de perda ou roubo do dispositivo Token, o seu código de segurança via SMS e continuar a operar normalmente. Se necessário, o BBVA oferece um tipo especial de Token habilitado para usuários com deficiência visual. ● Para maior segurança, a chave de acesso e a chave de assinatura no BBVA net cash são diferentes. Embora as senhas não caducarem, recomendamos ao cliente fazer a sua alteração todos os meses. ● O tamanho mínimo da chave de acesso possui 8 caracteres alfanuméricos para dificultar a sua dedução por terceiros mediante o teste de opções. ● As senhas são armazenadas, cifradas irreversivelmente em sistemas especializados de gestão de utilizadores e identidades, de forma que ninguém as possa obter ou deduzir. Obrigatoriedade de alterar a chave de acesso no primeiro acesso: para prevenir a suplantação do utilizador, na sua primeira ligação o BBVA net cash, irá requerer a alteração da sua chave de acesso. Bloqueio dos utilizadores . ● Os erros ao digitar os dados do utilizador ou a chave de activação cinco vezes seguidas, provoca o bloqueio da Referência no BBVA net cash não podendo ser activada até o BBVA gerar uma nova chave de activação. ● No caso da chave de acesso e a de assinatura, após três tentativas falhadas, o utilizador fica bloqueado. Página 4 Segurança no BBVA net cash Medidas do BBVA ● O erro na introdução do código de segurança gerado pelo Token cinco vezes seguidas provoca o bloqueio do utilizador no BBVA net cash. ● O administrador de utilizadores possui autonomia para bloquear o acesso aos utilizadores da sua entidade, por forma que, perante qualquer baixa de um empregado, o acesso pode ser revogado imediatamente. 2.1.4 Identificação e autenticação Traçabilidade das transacções: os acessos e transacções realizadas ficam espelhadas em registos de operações automatizados que recolhem a operação efectuada, a data e a hora da mesma e o utilizador que a efectuou, permitindo determinar a validez das operações registadas. Informação da última ligação: ● Se o utilizador entra pela primeira vez, o BBVA net cash irá indicar este facto. ● Nos acessos sucessivos, o BBVA net cash irá mostrar ao utilizador a data a a hora da sua última ligação (Figura 2.1.4.1). Figura 2.1.4.1 Cookies activos apenas durante a sessão: os cookies colocados no sistema operativo do utilizador, necessários para a navegação de modo seguro através de qualquer Site, estão activos apenas durante a ligação com o BBVA net cash e são apagados quando o utilizador desligar a aplicação. Desconexão automática da sessão: como medida adicional de segurança, aos 10 minutos de inactividade no BBVA net cash, procede-se à finalização da sessão do utilizador e da sua desconexão do sistema (Figura 2.1.4.2). Figura 2.1.4.2 2.1.5 Cumprimento internacionais normativo de regulamentações nacionais e O BBVA cumpre em todos os seus serviços as normas e regulamentos dos países nos que opera. O compromisso do BBVA com estas regulamentações está estabelecido no Código de Conduta, de cumprimento obrigatório para todos os empregados. Página 5 Segurança no BBVA net cash Medidas do BBVA 2.2 A tecnologia 2.2.1 Sigilo e integridade De todas as credenciais de usuário: ● Todas as chaves operativas dos utilizadores são armazenadas cifradas irreversivelmente em sistemas especializados de gestão de utilizadores e identidades, de modo que ninguém possa fazer a sua obtenção ou dedução. ● Os procedimentos operativos do BBVA não requerem que ninguém no Banco disponha das chaves operativas dos seus clientes, motivo pelo qual ninguém as conhece, nem serão pedidas pessoalmente. Das comunicações: ● As comunicações dos serviços transaccionais e da banca à distância do BBVA são cifradas mediante protocolo SSL de 128 bits para preservar o sigilo e a integridade das comunicações através da Internet. ● Os certificados empregados pelo BBVA para proporcionar este serviço são gerados pela Verisign Inc. ● Adicionalmente, as comunicações sensíveis que têm lugar nas redes internas do BBVA encontram-se protegidas adequadamente segundo o ambiente operativo e o protocolo utilizado. Da informação: ● A informação armazenada nos sistemas e bases de dados internas encontra-se protegida mediante diferentes sistemas de segurança permitindo o acesso unicamente aos empregados autorizados. ● O BBVA dispõe de um sistema automatizado de gestão de privilégios de acesso à informação que garante o acesso controlado e restringido ao pessoal autorizado. 2.2.2 Segurança física dos Centros de Processamento de Dados Os Centros de Processamento de Dados do BBVA estão dotados com amplas medidas de segurança física para a protecção dos sistemas de processamento de dados, destacando, entre outras, as seguintes: ● CPD armazenado num bunker. ● Controlo de acessos individualizado ao recinto e as diferentes salas técnicas, dotados de sistemas de detecção de elementos perigosos. ● Equipas humanas de vigilância física e vídeo vigilância do perímetro e do interior das instalações num regime de 24x7X365. ● Sistemas de detecção e protecção específicos perante intrusão, incêndio, inundação, interrupção de fornecimentos e outros eventos catastróficos. Além disso, como dispõe de Centros de Processamento de Dados plenamente operativos, o BBVA garante a salvaguarda e recuperação da informação, no caso de vir a ser necessário. Página 6 Segurança no BBVA net cash Medidas do BBVA 2.2.3 Arquitectura de segurança Com o fim de conseguir a segurança máxima no desenho dos seus sistemas, o BBVA implementou uma arquitectura de segurança específica especialmente para os que prestam serviços aos seus clientes através da Internet. Nomeadamente, e para minimizar o nível de exposição à Internet, apenas se mantém exposta a capa de apresentação (que realiza as funções de autenticação do utilizador, autorização de acesso a aplicações web e controlo com segurança da sessão) mediante um proxy inverso de segurança. 2.2.4 Sistemas específicos de protecção Firewalls e sistemas antivírus e anti-spyware permanentemente actualizados: ● O BBVA realiza uma segregação das suas redes e sistemas com diversos níveis de firewalls. ● Além disso, os sistemas internos do BBVA encontram-se protegidos permanentemente mediante sistemas antivírus e de detecção de intrusão. ● Ambos os tipos de sistemas são geridos sob o regime de 24x7 e encontram-se permanentemente actualizados, o que permite prevenir a acção de novas ameaças de forma permanente. ● Todos os sistemas de vigilância, alerta e resposta de segurança perante a possibilidade de fraudes são monitorizados e supervisados por uma equipa de especialistas sob o regime de 24x7x365 nas instalações do Centro de Processamento de Dados. Registos de actividade de todos os componentes: o BBVA dispões nos seus sistemas e aplicações de Banca à Distância de registos de actividade (logs) de todos os componentes críticos, que prestam suporte aos serviços de detecção de tentativas de fraude e análise forense de actividades ou operações sob suspeita ou informadas mediante relatório como fraudulentas. Revisão periódica do serviço aplicando as últimas técnicas de ataque: os sistemas que prestam suporte aos serviços de banca à distância são revistos periodicamente mediante ferramentas de análise automático de vulnerabilidades. Auditorias internas e externas: os sistemas e processos do BBVA são objecto de auditorias de segurança periódicas tanto por parte do departamento independente de Auditoria como por parte de auditorias externas específicas ou associadas com auditorias financeiras ou de cumprimento. 2.2.5 A qualidade como factor estratégico O Centro de Processamento de Dados do BBVA tem estabelecido um Sistema de Gestão da Qualidade que cumpre os requisitos da norma UNE-EN ISO 9001:2000. O pessoal do CPD está formado nos processos de qualidade que prestam suporte à certificação ISO 9001:2000, e o pessoal chave de suporte está certificado em auditoria de qualidade. O BBVA faz parte do Information Security Forum, no qual estão presentes mais de 270 das principais e maiores empresas mundiais. Página 7 Segurança no BBVA net cash Recomendações para o utilizador 3. Medidas que deve tomar: recomendações para o utilizador 3.1 Protecção das suas credenciais de utilizador ● As suas chaves de acesso e assinatura no BBVA net cash são pessoais, intransmissíveiss e secretas, e deverá guardá-las de forma segura. Estas chaves encontram-se armazenadas nos sistemas do BBVA cifradas com um algoritmo e, por tanto, ninguém, nem sequer o BBVA, as conhece. ● O seu Token é pessoal e intransmissível. ● Não as comunique a ninguém, sob nenhum conceito, as suas chaves pessoais e nunca informe acerca das mesmas em nenhum website distinto do ambiente seguro do BBVA net cash. ● Escolha chaves de dedução difícil. Além disso, recomendamos que altere a sua senha periodicamente. ● Desconfie dos sites que pedem os seus dados pessoais, a não ser que estejam relacionados com a prestação de um serviço. ● Em caso de receber uma mensagem pedindo as suas chaves pessoais, não proporcione nenhum dado e, por favor, entre imediatamente em contacto com o Serviço de atenção ao cliente BBVA net cash: 808 50 77 77 3.2 Protecção do seu computador ● Actualize periodicamente o seu sistema operativo e a versão do seu navegador com as respectivas ferramentas, para fazer a sua protecção perante a possibilidade buracos ou erros detectados. ● Configure o seu equipamento e todos os seus programas com os níveis mais altos de segurança. ● Instale, mantenha activo e sempre actualizado um firewall e um anti-virus. ● Realize periodicamente cópias de segurança (backup) dos seus ficheiros. ● Evite descargas a partir de websites desconhecidas, posto que podem conter vírus ou componentes de spyware. ● Limpe periodicamente os cookies e os ficheiros temporários (Figura 3.2.1). Página 8 Segurança no BBVA net cash Recomendações para o utilizador Figura 3.2.1 3.3 Práticas seguras de acesso e navegação na Internet ● Evite entrar em páginas com um conteúdo privado a partir de computadores públicos. ● Verifique se está ligado a um servidor seguro. Na parte inferior do seu navegador deve aparecer um símbolo de um cadeado fechado. ● Verifique o certificado de segurança no Site, clicando no símbolo do cadeado fechado: ● A data de caducidade e o domínio devem estar em vigor. ● Na informação de detalhe deve aparecer o emissor (Verisign), o período de validade e a entidade para a qual foi emitido o certificado (BBVA). ● Não utilize a opção de “autocompletar senhas” do seu navegador. Se estiver activa, as senhas que digitar no Site ficam armazenadas no computador e, quando voltar a digitar o seu utilizador, o campo da chave é preenchido automaticamente. Esta opção num computador de uso partilhado pode provocar que alguém utilize as suas chaves pessoais. ● Verifique a data e a hora da última ligação. ● Para acabar com segurança a sua sessão no BBVA net cash, utilize o botão <Sair> que está situado na parte superior direita. Página 9 Segurança no BBVA net cash Vírus e ataques mais frequentes 4. Vírus e ataques mais frequentes Phishing: Caso receba um e-mail a solicitar-lhe a confirmação ou a introdução de informações confidenciais relacionadas com a sua banca electrónica (códigos de entrada, assinatura, etc.), está a ser vítima de um ataque de PHISHING. Este define-se basicamente como a tentativa de obter dados de acesso mediante a suplantação da aparência e do nome da entidade remetente, no nosso caso o BBVA. O esquema básico de funcionamento é o seguinte: 1. 2. 3. 4. É difundida de forma maciça uma mensagem (spam) em que se informa que os utilizadores do BBVA devem confirmar os seus dados de acesso, neste caso ao BBVA net cash. A mensagem inclui uma ligação a uma página a partir da qual deve efectuar a confirmação dos dados. Por vezes a ligação inicia a descarga de software malicioso. O utilizador acede à ligação que leva a uma página “similar” à autêntica BBVA net cash e com toda a confiança introduz nela os seus dados. Como a página é falsa e está controlada pelos vigaristas, são eles que realmente recebem os dados do utilizador, e com eles têm livre acesso à conta real do utilizador afectado. Embora o BBVA nunca lhe solicite os seus códigos de acesso nem a assinatura do BBVA net cash por e-mail, incluímos aqui algumas pistas para que reconheça este tipo de ataques: 1. 2. 3. 4. 5. 6. Por vezes o logótipo parece distorcido ou estirado. Além disso, costumam apresentar erros ortográficos ou expressões em desuso. Referem-se a si como “estimado cliente” ou “estimado utilizador” em vez de incluírem o seu nome real. Advertem-no para o facto de a sua conta/serviço de banca electrónica serem encerrados salvo se reconfirmar imediatamente as suas informações de acesso. O tom do e-mail é ameaçador. O texto faz referência a “compromissos de segurança” ou “ameaças da segurança” e exige efeito imediato. A url não é https:// e não aparece o cadeado de segurança na barra inferior do navegador. As ligações falsas incluem este ícone na janela para o enganarem. Pharming: Neste caso, a passagem entre o nome nemotécnico da URL e o endereço IP devolvido é interceptado, para enviar o utilizador, em vez de para o Site de, por exemplo, o seu banco, para uma réplica, onde os delinquentes se apropriam dos dados confidenciais do utilizador. Ao contrário do phishing, não é recebido qualquer e-mail. O utilizador é redireccionado para uma página fraudulenta quando digita o URL no navegador. Troianos: Este tipo de vírus fica latente no computador do utilizador e vai armazenando as chaves quando o mesmo liga para outras entidades financeiras, etc. e quando acumulou os dados suficientes, transmite os mesmo para o deliquente. Man in the middle: O atacante é capaz de ler, digitar e alterar os dados trocados entre o cliente e o Banco. Deste modo, pode alterar os dados de uma transacção por detrás (p. Ex.: conta de creditação, montante, …), sem que o utilizador se aperceba. Este último define e assina uma transacção no ecrã, porém, realmente, o Banco irá receber assinada a transacção alterada pelo atacante. Página 10 Segurança no BBVA net cash Anexo 5. Anexo 5.1 Política de Protecção de Dados Pessoais (a) O Cliente declara autorizar que os dados recolhidos para execução deste Contrato, e/ou da eventual aquisição de produtos e serviços com ele relacionados sejam armazenados, transmitidos ou processados informaticamente, quer pelo responsável pelo tratamento quer por fornecedores terceiros (facilitando, dessa forma, o indispensável processo de registo) podendo ainda os dados destinarem-se ao estabelecimento de relações comerciais com o Banco e com as demais instituições por ele dominadas ou participadas. O Banco reserva-se a faculdade de efectuar a recolha, transmissão e processamento adicional de informação obtida junto de repartições públicas ou empresas especializadas, para a confirmação dos dados e a obtenção dos elementos necessários à relação contratual no quadro legal vigente. (b) A omissão/incorrecção dos dados de fornecimento obrigatório é da responsabilidade do Cliente. É assegurado, nos termos legais, o direito de informação, correcção, aditamento ou supressão dos dados, mediante contacto por escrito ou pessoal junto de qualquer Sucursal do Banco. (c) O cliente autoriza o Banco a utilizar os e.mails eventualmente facultados, para o envio de mensagens promocionais de produtos/serviços próprios, de entidades com ele coligadas ou associadas, bem como de entidades terceiras alheias ao Grupo BBVA que se encontram presentes no portal bbvanetcash.pt, sem prejuízo da faculdade de, a todo o momento, o Banco vir a ser instruído no sentido de suster essas comunicações a pedido expresso dos utilizadores, que acatará obrigatoriamente quando não se trate de publicidade dirigida a profissionais ou quando existam relações duradouras entre o anunciante e o destinatário, resultantes do fornecimento de bens ou serviços. Página 11 O BBVA net cash tem uma secção específica sobre Segurança na sua página privada de boas-vindas. Poderá encontrar informações sobre vírus e ataques mais frequentes, recomendações, informações sobre actualizações de sistemas operativos e programas antivírus, etc. Aceda periodicamente. Para evitar estes ataques, siga as recomendações que lhe indicamos e comunique-nos qualquer situação ou comunicação suspeita que receba: 808 50 77 77 A partir desta comunicação, o Serviço de atendimento ao cliente do BBVA net cash colocará em andamento o protocolo de actuação contra a fraude detectada: uma equipa de especialistas encarregar-se-á de analisar o caso. Se se confirmar a suspeita, ser-lhe-á recomendado que: . ● Formate o seu disco rígido. ● Instale um antivírus actualizado. ● Instale uma Firewall. ● Instale um programa anti-spyware. ● Mantenha o software do seu equipamento actualizado. Em todos os casos confirmados, proceder-se-á à alteração do código de acesso do utilizador afectado.