Segurança no BBVA net cash
Data de Actualização: Outubro 2010
Índice
1. Introdução.................................................................................... 2
2. Medidas do BBVA...................................................................... 3
2.1 O serviço...........................................................................................
2.1.1 Administração de utilizadores .......................................................
2.1.2 Controlo da actividade....................................................................
2.1.3 Credenciais de utilizador no BBVA net cash.................................
2.1.4 Identificação e autenticação............................................................
2.1.5 Cumprimento normativo de regulamentações nacionais e
internacionais...........................................................................................
3
3
3
4
5
2.2 A tecnologia......................................................................................
2.2.1 Sigilo e integridade.........................................................................
2.2.2 Segurança física dos centros de processamento de dados..............
2.2.3 Arquitectura de segurança..............................................................
2.2.4 Sistemas específicos de protecção..................................................
2.2.5 A qualidade como factor estratégico...............................................
6
6
6
7
7
7
5
3. Medidas que deverá tomar:recomendações para o utilizador..... 8
3.1 Protecção das suas credenciais de utilizador...................................... 8
3.2 Protecção do seu computador............................................................. 8
3.3 Práticas seguras de acesso e navegação na Internet............................ 9
4. Informação sobre vírus e ataques mais frequentes ................... 10
5. Anexo......................................................................................... 11
5.1 Política de Protecção de Dados Pessoais……................................... 11
Segurança no BBVA net cash
Introdução
1. Introdução
As novas possibilidades proporcionadas pela evolução acelerada da internet são evidentes.
Possibilidades que permitem no BBVA net cash completar, dia a dia, a nossa gama já bem nutrida e
flexível de serviços online e, ao mesmo tempo, abrir as portas ao desenvolvimento de novas formas
de fraude e ludíbrio cada vez mais avançadas.
No BBVA net cash, cientes destas ameaças, mantemos uma vigilância permanente e trabalhamos
para aumentar ao máximo as precauções para que possa continuar a operar com segurança. No
presente documento fizemos a compilação de todas as iniciativas levadas a efeito no BBVA net cash
para proteger tanto os seus dados como o acesso dos intrusos. Encontrará, além disso, uma série de
recomendações que poderá ter em linha de conta para contribuir que as suas ligações à internet e a sua
operativa online seja segura.
Página 2
Segurança no BBVA net cash
Medidas do BBVA
2. Medidas do BBVA
2.1 O serviço
2.1.1 Administração dos utilizadores
BBVA net cash é uma aplicação multi-utilizador. Possui diversos perfis de utilizador que a entidade
pode atribuir aos seus empregados em função da sua estrutura operativa.
Um perfil específico, o administrador, define e administra os utilizadores da entidade no
BBVA net cash. Podem existir um ou vários administradores e contar com diferentes níveis de
delegação (sem poder ou com poderes solidário ou co-responsável).
Para cada utilizador é atribuído um perfil que é definido com o nível máximo de detalhe. Procede-se
do mesmo modo para a autorização de operações, podendo ser:
● Sem poder: não pode autorizar operações.
● Procurador: pode ser solidário ou co-responsável.
● Auditor: pode rejeitar totalmente mesmo as ordens assinadas até não contarem com a sua
autorização.
Esta estrutura permite que o circuito dos utilizadores seja tão restritivo como a entidade desejar,
com o fim de garantir, em todo o momento, que cada um deles:
● aceda apenas aos serviços e contas estabelecidos pelo administrador.
● possa realizar apenas as consultas e operações autorizadas pelo administrador.
● possua ou não poderes para autorizar operações.
● disponha de um limite monetário em função da operação e conta, definida pelo
administrador.
● só se for administrador, possa consultar, para além do seu perfil, a relação de utilizadores
definidos na sua Entidade, os seus perfis, os acessos aos serviços e os poderes que lhe tenham
sido atribuídos.
2.1.2 Controlo de actividade
As pessoas com perfil de administrador podem realizar um acompanhamento da operatória da Entidade
no BBVA net cash através de:
● o módulo de Estatísticas (Ficheiros>Estatísticas): consulta das operações realizadas
durante um período determinado.
● a Auditoria de ordens (Ficheiros>Auditoria): controlo da actividade das operações de
cada Utilizador da Entidade.
● a Auditoria de utilizadores (Administração e controlo> Administração de utilizadores
>Consulta de auditoria): espelha quais foram as realizadas por cada um dos Administradores
dentro do circuito de utilizadores.
Página 3
Segurança no BBVA net cash
Medidas do BBVA
2.1.3 Credenciais de utilizador no BBVA net cash
● Chave de assinatura: o BBVA net cash oferece ao utilizador opções de assinatura distintas para
que possa seleccionar a que se adapte melhor à sua operativa. Deste modo, o utilizador definirá se a
sua modalidade de assinatura é mediante chave de operações (senha com nove caracteres) ou
mediante assinatura por meio de uma fórmula (aplicação de uma fórmula aritmética no número que
o BBVA net cash indique).
● Duplo factor de segurança: consiste, basicamente, na
incorporação de um dispositivo de segurança, neste caso
Token, para a validação no circuito de utilizadores e a
assinatura de operações através do BBVA net cash. Desta
forma e com este fim, o sistema lhe solicitará que introduza
o código de segurança de seis dígitos gerado pelo Token
(de uso único) além da sua chave de assinatura. O seu
Token é pessoal e intransmissível e é entregue um por cada
utilizador com poderes de assinatura.
Adicionalmente, o sistema solicitar-lhe-á que informe o seu número de telemóvel para que possa
receber, no caso de perda ou roubo do dispositivo Token, o seu código de segurança via SMS e
continuar a operar normalmente.
Se necessário, o BBVA oferece um tipo especial de Token
habilitado para usuários com deficiência visual.
● Para maior segurança, a chave de acesso e a chave de
assinatura no BBVA net cash são diferentes. Embora as
senhas não caducarem, recomendamos ao cliente fazer a
sua alteração todos os meses.
● O tamanho mínimo da chave de acesso possui 8 caracteres alfanuméricos para dificultar a sua
dedução por terceiros mediante o teste de opções.
● As senhas são armazenadas, cifradas irreversivelmente em sistemas especializados de gestão de
utilizadores e identidades, de forma que ninguém as possa obter ou deduzir.
Obrigatoriedade de alterar a chave de acesso no primeiro acesso: para prevenir a suplantação do
utilizador, na sua primeira ligação o BBVA net cash, irá requerer a alteração da sua chave de acesso.
Bloqueio dos utilizadores .
● Os erros ao digitar os dados do utilizador ou a chave de activação cinco vezes seguidas,
provoca o bloqueio da Referência no BBVA net cash não podendo ser activada até o BBVA
gerar uma nova chave de activação.
● No caso da chave de acesso e a de assinatura, após três tentativas falhadas, o utilizador
fica bloqueado.
Página 4
Segurança no BBVA net cash
Medidas do BBVA
● O erro na introdução do código de segurança gerado pelo Token cinco vezes seguidas
provoca o bloqueio do utilizador no BBVA net cash.
● O administrador de utilizadores possui autonomia para bloquear o acesso aos utilizadores da
sua entidade, por forma que, perante qualquer baixa de um empregado, o acesso pode ser
revogado imediatamente.
2.1.4 Identificação e autenticação
Traçabilidade das transacções: os acessos e transacções realizadas ficam espelhadas em registos de
operações automatizados que recolhem a operação efectuada, a data e a hora da mesma e o utilizador
que a efectuou, permitindo determinar a validez das operações registadas.
Informação da última ligação:
● Se o utilizador entra pela primeira vez, o BBVA net cash irá indicar este facto.
● Nos acessos sucessivos, o BBVA net cash irá mostrar ao utilizador a data a a hora da sua
última ligação (Figura 2.1.4.1).
Figura 2.1.4.1
Cookies activos apenas durante a sessão: os cookies colocados no sistema operativo do utilizador,
necessários para a navegação de modo seguro através de qualquer Site, estão activos apenas durante a
ligação com o BBVA net cash e são apagados quando o utilizador desligar a aplicação.
Desconexão automática da sessão: como medida adicional de segurança, aos 10 minutos de
inactividade no BBVA net cash, procede-se à finalização da sessão do utilizador e da sua desconexão
do sistema (Figura 2.1.4.2).
Figura 2.1.4.2
2.1.5 Cumprimento
internacionais
normativo
de
regulamentações
nacionais
e
O BBVA cumpre em todos os seus serviços as normas e regulamentos dos países nos que opera. O
compromisso do BBVA com estas regulamentações está estabelecido no Código de Conduta, de
cumprimento obrigatório para todos os empregados.
Página 5
Segurança no BBVA net cash
Medidas do BBVA
2.2 A tecnologia
2.2.1 Sigilo e integridade
De todas as credenciais de usuário:
● Todas as chaves operativas dos utilizadores são armazenadas cifradas irreversivelmente
em sistemas especializados de gestão de utilizadores e identidades, de modo que ninguém
possa fazer a sua obtenção ou dedução.
● Os procedimentos operativos do BBVA não requerem que ninguém no Banco disponha das
chaves operativas dos seus clientes, motivo pelo qual ninguém as conhece, nem serão
pedidas pessoalmente.
Das comunicações:
● As comunicações dos serviços transaccionais e da banca à distância do BBVA são cifradas
mediante protocolo SSL de 128 bits para preservar o sigilo e a integridade das
comunicações através da Internet.
● Os certificados empregados pelo BBVA para proporcionar
este serviço são gerados pela Verisign Inc.
● Adicionalmente, as comunicações sensíveis que têm lugar nas redes internas do BBVA
encontram-se protegidas adequadamente segundo o ambiente operativo e o protocolo
utilizado.
Da informação:
● A informação armazenada nos sistemas e bases de dados internas encontra-se protegida
mediante diferentes sistemas de segurança permitindo o acesso unicamente aos
empregados autorizados.
● O BBVA dispõe de um sistema automatizado de gestão de privilégios de acesso à
informação que garante o acesso controlado e restringido ao pessoal autorizado.
2.2.2 Segurança física dos Centros de Processamento de Dados
Os Centros de Processamento de Dados do BBVA estão dotados com amplas medidas de segurança
física para a protecção dos sistemas de processamento de dados, destacando, entre outras, as seguintes:
● CPD armazenado num bunker.
● Controlo de acessos individualizado ao recinto e as diferentes salas técnicas, dotados de
sistemas de detecção de elementos perigosos.
● Equipas humanas de vigilância física e vídeo vigilância do perímetro e do interior das
instalações num regime de 24x7X365.
● Sistemas de detecção e protecção específicos perante intrusão, incêndio, inundação,
interrupção de fornecimentos e outros eventos catastróficos.
Além disso, como dispõe de Centros de Processamento de Dados plenamente operativos, o BBVA
garante a salvaguarda e recuperação da informação, no caso de vir a ser necessário.
Página 6
Segurança no BBVA net cash
Medidas do BBVA
2.2.3 Arquitectura de segurança
Com o fim de conseguir a segurança máxima no desenho dos seus sistemas, o BBVA implementou
uma arquitectura de segurança específica especialmente para os que prestam serviços aos seus
clientes através da Internet.
Nomeadamente, e para minimizar o nível de exposição à Internet, apenas se mantém exposta a capa
de apresentação (que realiza as funções de autenticação do utilizador, autorização de acesso a
aplicações web e controlo com segurança da sessão) mediante um proxy inverso de segurança.
2.2.4 Sistemas específicos de protecção
Firewalls e sistemas antivírus e anti-spyware permanentemente actualizados:
● O BBVA realiza uma segregação das suas redes e sistemas com diversos níveis de
firewalls.
● Além disso, os sistemas internos do BBVA encontram-se protegidos permanentemente
mediante sistemas antivírus e de detecção de intrusão.
● Ambos os tipos de sistemas são geridos sob o regime de 24x7 e encontram-se
permanentemente actualizados, o que permite prevenir a acção de novas ameaças de forma
permanente.
● Todos os sistemas de vigilância, alerta e resposta de segurança perante a possibilidade de
fraudes são monitorizados e supervisados por uma equipa de especialistas sob o regime de
24x7x365 nas instalações do Centro de Processamento de Dados.
Registos de actividade de todos os componentes: o BBVA dispões nos seus sistemas e aplicações de
Banca à Distância de registos de actividade (logs) de todos os componentes críticos, que prestam
suporte aos serviços de detecção de tentativas de fraude e análise forense de actividades ou operações
sob suspeita ou informadas mediante relatório como fraudulentas.
Revisão periódica do serviço aplicando as últimas técnicas de ataque: os sistemas que prestam
suporte aos serviços de banca à distância são revistos periodicamente mediante ferramentas de análise
automático de vulnerabilidades.
Auditorias internas e externas: os sistemas e processos do BBVA são objecto de auditorias de
segurança periódicas tanto por parte do departamento independente de Auditoria como por parte de
auditorias externas específicas ou associadas com auditorias financeiras ou de cumprimento.
2.2.5 A qualidade como factor estratégico
O Centro de Processamento de Dados do BBVA tem estabelecido um Sistema de Gestão da Qualidade
que cumpre os requisitos da norma UNE-EN ISO 9001:2000.
O pessoal do CPD está formado nos processos de qualidade que prestam suporte à certificação ISO
9001:2000, e o pessoal chave de suporte está certificado em auditoria de qualidade.
O BBVA faz parte do Information Security Forum, no qual estão presentes mais de 270 das principais e
maiores empresas mundiais.
Página 7
Segurança no BBVA net cash
Recomendações para o utilizador
3. Medidas que deve tomar: recomendações para o utilizador
3.1 Protecção das suas credenciais de utilizador
● As suas chaves de acesso e assinatura no BBVA net cash são pessoais, intransmissíveiss e secretas,
e deverá guardá-las de forma segura. Estas chaves encontram-se armazenadas nos sistemas do BBVA
cifradas com um algoritmo e, por tanto, ninguém, nem sequer o BBVA, as conhece.
● O seu Token é pessoal e intransmissível.
● Não as comunique a ninguém, sob nenhum conceito, as suas chaves pessoais e nunca informe
acerca das mesmas em nenhum website distinto do ambiente seguro do BBVA net cash.
● Escolha chaves de dedução difícil. Além disso, recomendamos que altere a sua senha
periodicamente.
● Desconfie dos sites que pedem os seus dados pessoais, a não ser que estejam relacionados com a
prestação de um serviço.
● Em caso de receber uma mensagem pedindo as suas chaves pessoais, não proporcione nenhum
dado e, por favor, entre imediatamente em contacto com o Serviço de atenção ao cliente BBVA net
cash:
808 50 77 77
3.2 Protecção do seu computador
● Actualize periodicamente o seu sistema operativo e a versão do seu navegador com as respectivas
ferramentas, para fazer a sua protecção perante a possibilidade buracos ou erros detectados.
● Configure o seu equipamento e todos os seus programas com os níveis mais altos de segurança.
● Instale, mantenha activo e sempre actualizado um firewall e um anti-virus.
● Realize periodicamente cópias de segurança (backup) dos seus ficheiros.
● Evite descargas a partir de websites desconhecidas, posto que podem conter vírus ou componentes
de spyware.
● Limpe periodicamente os cookies e os ficheiros temporários (Figura 3.2.1).
Página 8
Segurança no BBVA net cash
Recomendações para o utilizador
Figura 3.2.1
3.3 Práticas seguras de acesso e navegação na Internet
● Evite entrar em páginas com um conteúdo privado a partir de computadores públicos.
● Verifique se está ligado a um servidor seguro. Na parte inferior do seu navegador deve aparecer um
símbolo de um cadeado fechado.
● Verifique o certificado de segurança no Site, clicando no símbolo do cadeado fechado:
● A data de caducidade e o domínio devem estar em vigor.
● Na informação de detalhe deve aparecer o emissor (Verisign), o período de validade e a
entidade para a qual foi emitido o certificado (BBVA).
● Não utilize a opção de “autocompletar senhas” do seu navegador. Se estiver activa, as senhas que
digitar no Site ficam armazenadas no computador e, quando voltar a digitar o seu utilizador, o campo
da chave é preenchido automaticamente. Esta opção num computador de uso partilhado pode provocar
que alguém utilize as suas chaves pessoais.
● Verifique a data e a hora da última ligação.
● Para acabar com segurança a sua sessão no BBVA net cash, utilize o botão <Sair> que está situado
na parte superior direita.
Página 9
Segurança no BBVA net cash
Vírus e ataques mais frequentes
4. Vírus e ataques mais frequentes
Phishing: Caso receba um e-mail a solicitar-lhe a confirmação ou a introdução de informações
confidenciais relacionadas com a sua banca electrónica (códigos de entrada, assinatura, etc.), está a ser
vítima de um ataque de PHISHING. Este define-se basicamente como a tentativa de obter dados de
acesso mediante a suplantação da aparência e do nome da entidade remetente, no nosso caso o
BBVA.
O esquema básico de funcionamento é o seguinte:
1.
2.
3.
4.
É difundida de forma maciça uma mensagem (spam) em que se informa que os utilizadores do
BBVA devem confirmar os seus dados de acesso, neste caso ao BBVA net cash.
A mensagem inclui uma ligação a uma página a partir da qual deve efectuar a confirmação dos
dados. Por vezes a ligação inicia a descarga de software malicioso.
O utilizador acede à ligação que leva a uma página “similar” à autêntica BBVA net cash e com
toda a confiança introduz nela os seus dados.
Como a página é falsa e está controlada pelos vigaristas, são eles que realmente recebem os
dados do utilizador, e com eles têm livre acesso à conta real do utilizador afectado.
Embora o BBVA nunca lhe solicite os seus códigos de acesso nem a assinatura do BBVA net cash
por e-mail, incluímos aqui algumas pistas para que reconheça este tipo de ataques:
1.
2.
3.
4.
5.
6.
Por vezes o logótipo parece distorcido ou estirado. Além disso, costumam apresentar erros
ortográficos ou expressões em desuso.
Referem-se a si como “estimado cliente” ou “estimado utilizador” em vez de incluírem o seu
nome real.
Advertem-no para o facto de a sua conta/serviço de banca electrónica serem encerrados salvo se
reconfirmar imediatamente as suas informações de acesso.
O tom do e-mail é ameaçador.
O texto faz referência a “compromissos de segurança” ou “ameaças da segurança” e exige efeito
imediato.
A url não é https:// e não aparece o cadeado de segurança na barra inferior do navegador. As
ligações falsas incluem este ícone na janela para o enganarem.
Pharming: Neste caso, a passagem entre o nome nemotécnico da URL e o endereço IP devolvido é
interceptado, para enviar o utilizador, em vez de para o Site de, por exemplo, o seu banco, para uma
réplica, onde os delinquentes se apropriam dos dados confidenciais do utilizador. Ao contrário do
phishing, não é recebido qualquer e-mail. O utilizador é redireccionado para uma página fraudulenta
quando digita o URL no navegador.
Troianos: Este tipo de vírus fica latente no computador do utilizador e vai armazenando as chaves
quando o mesmo liga para outras entidades financeiras, etc. e quando acumulou os dados suficientes,
transmite os mesmo para o deliquente.
Man in the middle: O atacante é capaz de ler, digitar e alterar os dados trocados entre o cliente e o
Banco. Deste modo, pode alterar os dados de uma transacção por detrás (p. Ex.: conta de creditação,
montante, …), sem que o utilizador se aperceba. Este último define e assina uma transacção no ecrã,
porém, realmente, o Banco irá receber assinada a transacção alterada pelo atacante.
Página 10
Segurança no BBVA net cash
Anexo
5. Anexo
5.1 Política de Protecção de Dados Pessoais
(a) O Cliente declara autorizar que os dados recolhidos para execução deste Contrato, e/ou da eventual
aquisição de produtos e serviços com ele relacionados sejam armazenados, transmitidos ou processados
informaticamente, quer pelo responsável pelo tratamento quer por fornecedores terceiros (facilitando,
dessa forma, o indispensável processo de registo) podendo ainda os dados destinarem-se ao
estabelecimento de relações comerciais com o Banco e com as demais instituições por ele dominadas
ou participadas. O Banco reserva-se a faculdade de efectuar a recolha, transmissão e processamento
adicional de informação obtida junto de repartições públicas ou empresas especializadas, para a
confirmação dos dados e a obtenção dos elementos necessários à relação contratual no quadro legal
vigente.
(b) A omissão/incorrecção dos dados de fornecimento obrigatório é da responsabilidade do Cliente. É
assegurado, nos termos legais, o direito de informação, correcção, aditamento ou supressão dos dados,
mediante contacto por escrito ou pessoal junto de qualquer Sucursal do Banco.
(c) O cliente autoriza o Banco a utilizar os e.mails eventualmente facultados, para o envio de
mensagens promocionais de produtos/serviços próprios, de entidades com ele coligadas ou associadas,
bem como de entidades terceiras alheias ao Grupo BBVA que se encontram presentes no portal
bbvanetcash.pt, sem prejuízo da faculdade de, a todo o momento, o Banco vir a ser instruído no sentido
de suster essas comunicações a pedido expresso dos utilizadores, que acatará obrigatoriamente quando
não se trate de publicidade dirigida a profissionais ou quando existam relações duradouras entre o
anunciante e o destinatário, resultantes do fornecimento de bens ou serviços.
Página 11
O BBVA net cash tem uma secção específica sobre Segurança na sua página privada de boas-vindas. Poderá
encontrar informações sobre vírus e ataques mais frequentes, recomendações, informações sobre actualizações de
sistemas operativos e programas antivírus, etc. Aceda periodicamente.
Para evitar estes ataques, siga as recomendações que lhe indicamos e comunique-nos qualquer situação ou
comunicação suspeita que receba:
808 50 77 77
A partir desta comunicação, o Serviço de atendimento ao cliente do BBVA net cash colocará em andamento o
protocolo de actuação contra a fraude detectada: uma equipa de especialistas encarregar-se-á de analisar o caso.
Se se confirmar a suspeita, ser-lhe-á recomendado que:
.
● Formate o seu disco rígido.
● Instale um antivírus actualizado.
● Instale uma Firewall.
● Instale um programa anti-spyware.
● Mantenha o software do seu equipamento actualizado.
Em todos os casos confirmados, proceder-se-á à alteração do código de acesso do utilizador afectado.