Best practices di sicurezza
Transcript
Best practices di sicurezza
Servizi telematici Best practices di sicurezza Uff Assistenza 30/09/2016 Strumento a supporto dei clienti al fine di porre in essere le attività e le accortezze necessarie alla riduzione dei rischi e per il corretto utilizzo dei sistemi telematici Ufficio Assistenza Best practices di sicurezza L’Internet Banking è sicuro ed affidabile: l’accesso e le operazioni sono infatti protette da credenziali, codici personali e da un efficiente sistema di sicurezza. È, tuttavia, necessario che venga utilizzato in modo corretto. Di seguito alcuni utili suggerimenti che gli utenti dovrebbero adottare e che rappresentano delle best practices di carattere generale che ogni individuo che svolge operazioni bancarie online dovrebbe mettere in pratica, al fine di ridurre il rischio di sottrazione delle proprie credenziali e conseguente utilizzo fraudolento del servizio di internet banking: Custodire con la massima cura e non cedere ad altri il codice utente, la password, il PIN, la password dispositiva o il Token OTP; in fase di attivazione i codici di accesso vengono inoltrati utilizzando canali diversi con lo scopo di ridurre il rischio che vengano intercettati e sottratti. Le credenziali di accesso sono personali e non cedibili ad altri. Servizi telematici specifici sono disponibili per le aziende che abbiano l’esigenza di consentire l’accesso a funzioni informative o dispositive a diversi soggetto, personalizzando gli utenti secondari in base alle mansioni e alla gerarchia aziendale. Modificare periodicamente la password di accesso. È previsto il blocco dell’utenza dopo 3 tentativi errati e la sessione di lavoro scade dopo 20 minuti di inattività. Non inserire i propri codici personali su portali internet raggiunti tramite link presenti nelle email o da qualsiasi altro sito diverso da quello ufficiale di Cassa Padana (www.cassapadana.it). Cassa Padana non richiede in alcun caso l’indicazione di credenziali di accesso o codici personali tramite mail o altro canale diverso dalla pagina di accesso al servizio. Indicare codici personali su richiesta pervenuta tramite mail espone al rischio di furto di credenziali tramite una pratica nota come phishing Accedere ai servizi Home Banking direttamente dal sito della Banca, digitando l'indirizzo internet www.cassapadana.it nella barra di navigazione; Difendere da virus e spyware i PC dai quali si effettuano le operazioni di Internet Banking, installando e mantenendo aggiornati opportuni software di protezione (anti-virus, antispyware, anti-spam, sistemi di protezione del browser, etc.) Proteggere il traffico in entrata e in uscita dai PC mediante l'installazione di opportuni programmi di filtraggio del flusso di dati (firewall) e non disabilitare le impostazioni di protezione configurate Mantenere aggiornato il sistema operativo e gli applicativi del PC mediante l'installazione dei rispettivi aggiornamenti periodici. Profilare e controllare la navigazione in internet in base alle specifiche esigenze personali, limitando la navigazione sul web (anche ad esempio con ricorso a white list) Al fine di garantire un maggior livello di sicurezza la Banca, oltre alle credenziali di autenticazione, fornisce a ciascun utente uno dei seguenti ulteriori strumenti di sicurezza a protezione delle frodi: 1 di 4 Il contenuto del presente documento costituisce materiale riservato e soggetto a copyright. Ogni violazione sarà perseguita ai sensi di legge. Ufficio Assistenza Best practices di sicurezza o apposito dispositivo ( cd. OTP – One Time Password) che genera una password diversa ogni 30 secondi necessaria sia per l’accesso al servizio che per l’autorizzazione di ogni disposizione di pagamento. o funzionalità di autorizzazione delle disposizioni di pagamento tramite chiamata a numero verde, da effettuarsi a cura dell’utente e possibile esclusivamente da un numero di telefonia mobile precedentemente censito nel sistema ( cd. Secure call). La Banca si riserva la facoltà di bloccare le credenziali di autenticazione e/o del dispositivo OTP o della funzionalità di secure call nei casi di esigenze connesse all’efficienza ed alla sicurezza e/o al sospetto di un utilizzo fraudolento e non autorizzato. In caso di blocco delle credenziali la Banca provvederà a dare comunicazione al cliente, con qualunque mezzo, motivando tale decisione; al venir meno delle ragioni che hanno portato al blocco, la Banca provvede a riattivare le credenziali di autenticazione o ad attribuirne di nuove in sostituzione di quelle precedentemente bloccate. La banca ha l’obbligo di : o Assicurare che le credenziali di autenticazione che consentono l’utilizzo dei servizi non siano accessibili a soggetti diversi dall’utente legittimato ad utilizzare tali servizi. o Astenersi dall’inviare le credenziali di autenticazione non specificamente richieste, a meno che quelle già consegnate all’utente non debbano essere sostituite. o Assicurarsi che siano sempre disponibili strumenti adeguati affinché l’utente dei servizi possa effettuare comunicazioni relative al blocco/furto/smarrimento delle proprie credenziali d’accesso. o Impedire qualsiasi utilizzo dei servizi successivamente alla comunicazione di blocco da parte dell’utente. Il cliente ha l’obbligo di: o Utilizzare i servizi e le credenziali di autenticazione in conformità e nei termini espressi dal contratto. o comunicare secondo le modalità previste, alla Banca o al soggetto da questa indicato, lo smarrimento, il furto , l’appropriazione indebita o l’uso non autorizzato delle credenziali di autenticazione non appena ne viene a conoscenza. o In caso di utilizzo della funzionalità di secure call, assicurarsi che non sia attivata sul proprio cellulare o come impostazione del proprio provider di telefonia mobile la funzione di oscuramento del numero di telefono del chiamante. o Adottare misure di sicurezza idonee alla segretezza e custodia delle credenziali di autenticazione. o Accedere ai servizi attraverso una “stazione di lavoro” dotata di idonei requisiti di sicurezza volti a prevenire le azioni fraudolente già descritte. 2 di 4 Il contenuto del presente documento costituisce materiale riservato e soggetto a copyright. Ogni violazione sarà perseguita ai sensi di legge. Ufficio Assistenza Best practices di sicurezza In caso di smarrimento, furto, appropriazione indebita o uso non autorizzato delle credenziali di autenticazione nonché in caso di smarrimento, cessione e/o dismissione dell’apparato di telefonia mobile registrato nel sistema secure call, il cliente chiede il blocco delle stesse credenziali di autenticazione telefonando al numero verde indicato sul sito www.cassapadana.it negli orari indicati, comunicando anche le informazioni richieste indispensabili per accertare la legittimità del soggetto richiedente; inoltre l’utente nell’ipotesi di furto, smarrimento o appropriazione indebita è tenuto a presentare apposita denuncia all’Autorità Giudiziaria o di Polizia che dovrà presentare presso la propria filiale di competenza. L’istituto ha attivato il servizio “ Antifrode “ che consente di monitorare l’operatività del cliente individuando eventuali discordanze e/o anomalie nell’operatività solitamente effettuata dal cliente stesso Nel caso in cui il cliente abbia il sospetto di un abuso del servizio deve prontamente contattare il numero verde indicato sul sito www.cassapadana.it o la filiale di competenza in modo da procedere tempestivamente al blocco del servizio stesso e alle verifiche del caso. La banca si impegna ed erogare i servizi di home banking su internet per tutti i rapporti intrattenuti, intestati e cointestati, secondo le funzioni, i termini e le condizioni concordate. Eventuali esclusioni di rapporti che non si vogliono o non si volessero utilizzare tramite i servizi di home Banking su internet dovranno essere comunicati per iscritto. E’ facoltà della banca, per motivi di sicurezza o ove ricorra un giustificato motivo, rifiutare sia le richieste di attivazione dei servizi, sia le richieste concernenti eventuali variazioni degli stessi e, a tal fine, la Banca darà pronta comunicazione al cliente di tale rifiuto. In ogni caso la Banca, ove ricorra un giustificato motivo, potrà procedere di iniziativa e anche senza alcun preavviso a disattivare i servizi in essere e, anche in detta ipotesi, la stessa Banca darà pronta comunicazione al cliente di tale disattivazione. La Banca si riserva il diritto di modificare e/o integrare le operazioni che il cliente può eseguire avendo cura di non pregiudicarne l’operatività. Le comunicazioni ai clienti titolari di Home Banking vengono inoltrate attraverso apposita sezione di messaggistica sullo stesso; eventuali comunicazioni recapitate tramite altri canali non devono essere prese in considerazione. In particolar modo non vanno tenute in considerazione mail con collegamenti a link in cui vengono richiesti dati sensibili e/o codici d’accesso, questi dati non vengono mai richiesti dalla Banca attraverso questi canali. Attraverso il canale di messaggistica indicato, vengono forniti aggiornamenti sulle variazioni e/o implementazioni sulla procedura o per segnalazioni di varia natura quali evoluzioni dei sistemi di sicurezza. Tutte le richieste di supporto e assistenza vanno inoltrate al numero verde indicato sul sito www.cassapadana.it o direttamente alla filiale di competenza. Sul sito www.cassapadana.it nella sezione di accesso al servizio sono a disposizione dei clienti manuali dettagliati relativi a varie funzioni operative 3 di 4 Il contenuto del presente documento costituisce materiale riservato e soggetto a copyright. Ogni violazione sarà perseguita ai sensi di legge.