BNP Paribas
ban_planet_bezp_pl

W systemie Pl@net zastosowano wiele uzupełniających się wzajemnie mechanizmów, które razem zapewniają najwyższy poziom bezpieczeństwa.

 

10 zasad bezpieczeństwa dla użytkowników

1
Sprawdzaj adres strony i czy widzisz połączenie szyfrowane
rozwiń sprawdź

Na stronę bankowości elektronicznej wchodź wpisując pełny jej adres https://planet.bnpparibas.pl, lub korzystaj z łącza do serwisu umieszczonego na stronach banku. Nie korzystaj z odnośników w wiadomościach pocztowych, bądź na innych stronach. Jeżeli korzystasz z serwisów partnerskich (np. PayU, Allegro) zwracaj uwagę, czy zostałeś przekierowany na właściwą stronę.

Dlaczego jest to ważne? Jedną z technik wykradania haseł jest przekierowanie na identycznie wyglądającą stronę banku. W celu zachęcenia Cię do odwiedzenia strony rozsyłane mogą być na przykład wiadomości z prośbą o zalogowanie się pod podanym adresem w celu zweryfikowania danych. Adres podawany w takich wiadomościach może być bardzo podobny do adresu właściwego, dlatego wiele osób daje się w ten sposób oszukać. Dzięki sprawdzaniu adresu strony, takie próby oszustwa mogą zostać przez Ciebie wychwycone.

Weryfikuj, czy połączenie nawiązane pomiędzy Twoim komputerem, a serwerem banku jest szyfrowane. W takiej sytuacji adres rozpoczyna się od https://

Dlaczego jest to ważne? Dane przesyłane połączeniem nieszyfrowanym (bez wykorzystania protokołu SSL) mogą zostać podsłuchane podczas przesyłania ich przez sieć. Połączenie z Pl@net zawsze jest szyfrowane.

2

Sprawdzaj certyfikat strony

rozwiń sprawdź

Zweryfikuj, czy nawiązujesz połączenie z serwerem BNP Paribas Banku Polska SA. Jest to możliwe dzięki weryfikacji certyfikatu, której powinieneś dokonywać przed każdą próbą logowania do systemu. W tym celu kliknij na ikonę oznaczającą certyfikację, która pojawi się po wpisaniu adresu Pl@net do przeglądarki. Taka ikona pojawia się zawsze w przypadku stron szyfrowanych, t.j. rozpoczynających się od https:// (np. symbol kłódki w przeglądarce Internet Explorer)

Po kliknięciu ikony oznaczenia certyfikacji, pojawi się okno z informacjami o certyfikacie. Sprawdź, czy:

  • certyfikat jest wystawiony przez zaufany urząd certyfikacji VeriSign dla BNP Paribas Banku Polska SA,

  • certyfikat został wystawiony dla planet.bnpparibas.pl oraz czy data ważności certyfikatu nie upłynęła (w tym celu kliknij w Wyświetl certyfikaty)

     

 

Dlaczego jest to ważne? Weryfikacja poprawności certyfikatu pozwala sprawdzić autentyczność serwera, z jakim zamierzasz nawiązać połączenie. Dzięki niej ustrzeżesz się przed połączeniem z witryną podszywającą się pod serwer banku, na przykład w celu przechwycenia Twoich haseł.

3
Nigdy nie odpowiadaj na e-maile, w których jesteś proszony o podanie czy weryfikację poufnych danych takich jak hasło do bankowości eketronicznej
rozwiń sprawdź
Bank nigdy nie prosi o takie dane. Prosimy o zgłaszanie takich przypadków na numer 801 367 847

4

Dbaj o bezpieczeństwo swojego komputera

rozwiń sprawdź

Pamiętaj o tym, żeby komputer, z którego logujesz się do Pl@net, był zabezpieczony zgodnie z zaleceniami producenta systemu operacyjnego.
Instaluj tylko legalne oprogramowanie.
Instaluj wszystkie poprawki i aktualizacje zalecane przez producentów używanego oprogramowania.
Pamiętaj także o aktualizacji przeglądarki internetowej oraz programu antywirusowego..
Korzystaj z oprogramowania lub urządzeń typu firewall.

Unikaj logowania do systemów bankowości internetowej z publicznie dostępnych komputerów, na przykład w kafejkach internetowych. Nie używaj publicznych, otwartych sieci WiFi.

Dlaczego jest to ważne? Jeśli na komputerze lub w sieci WIFI działa "złośliwe" oprogramowanie, może ono śledzić połączenie z bankiem, zbierać wpisywane przez Ciebie hasła, wykradać pliki a nawet modyfikować dane, które wpisujesz.

UWAGA! W przypadku metody logowania i autoryzacji transakcji podpisem elektronicznym, nośnik kryptograficzny (klucz USB lub karta kryptograficzna) powinny być używane wyłącznie w momencie pracy w systemie Pl@net. Przypominamy, że zarówno nośnik kryptograficzny, jak i karta kryptograficzna wymagane są tylko i wyłącznie w momencie pojawienia się okienka wyboru klucza autoryzacyjnego. Po wprowadzeniu hasła i dokonaniu operacji należy odłączyć urządzenia/usunąć kartę z czytnika.

5
Pamiętaj o weryfikacji składanych dyspozycji przed zatwierdzeniem
rozwiń sprawdź

Zawsze sprawdzaj czy wiadomość SMS z kodem autoryzacyjnym jest zgodna z wykonywaną przez Ciebie operacją (np. potwierdź z danymi z faktury).
Zwróć szczególną uwagę na:

  • numer rachunku - sprawdź czy odpowiada on rachunkowi odbiorcy wykonywanej operacji (SMS z kodem autoryzacyjnym zawiera jedynie dwie pierwsze i cztery ostatnie cyfry numeru rachunku),
  • kwotę operacji - musi być zgodna z tą, która została podana w dyspozycji.

W przypadku autoryzacji podpisem elektronicznym pamiętaj o konieczności weryfikacji szczegółów transakcji.

Użyj przycisku rozwiń i upewnij się, że są one zgodne z transakcją, którą zamierzasz zrealizować (np. potwierdź dane z faktury).

6

Dbaj o bezpieczeństwo Twoich haseł

rozwiń sprawdź

Nigdy nikomu nie ujawniaj haseł, nie zapisuj ich ani nie przesyłaj drogą elektroniczną. Jeżeli wydaje Ci się, że ktoś mógł poznać Twoje hasła, zmień je niezwłocznie.

Jeżeli logujesz się za pomocą hasła maskowanego pamiętaj, że bankowi nigdy nie jest potrzebne Twoje pełne hasło, poza operacją zmiany hasła na nowe. Podawaj tylko wybrane znaki z hasła podczas logowania.

Jeżeli logujesz się za pomocą podpisu elektronicznego, nie udostępniaj nikomu nośnika kryptograficznego USB ani karty kryptograficznej, na której przechowywane są Twoje klucze, ani też kodu PIN do nich.

Dlaczego jest to ważne? Zdarzają się sytuacje, w których oszuści proszą klientów banków o wpisanie swoich haseł w celu rzekomej weryfikacji. W ten sposób uzyskują oni hasła klientów, które mogą wykorzystać do logowania się na ich konta.

7

Sprawdzaj daty logowania

rozwiń sprawdź

Po zalogowaniu do serwisu sprawdź daty ostatniego logowania, zarówno udanego jak i nieudanego. Dane można sprawdzić w prawym górnym rogu, w selektorze do zmiany profilu. Jeśli daty te nie odpowiadają Twojej aktywności, powinno to Cię zaniepokoić.

Dlaczego jest to ważne? Jeśli data udanego logowania nie odpowiada Twojej aktywności, oznacza to prawdopodobnie, że ktoś inny uzyskał dostęp do Twojego konta. Nieudane próby logowania, które nie są związane z Twoimi działaniami, mogą oznaczać, że ktoś próbuje odgadnąć Twoje hasło.

8

Zmień obrazek

rozwiń sprawdź

Jednym z elementów graficznych strony jest obrazek antyphishingowy wyświetlany w prawym górnym rogu (w selektorze do zmiany profilu). Zapamiętaj domyślnie wybrany obrazek lub zmień na inny, wybrany ze zbioru dostępnych w systemie. W tym celu wybierz funkcję 'Mój profil’ -> ‘Ustawienia ogólne’.

9

Wyloguj się z serwisu

rozwiń sprawdź
Gdy kończysz korzystać z serwisu bankowości elektronicznej, zawsze wyloguj się z serwisu. W tym celu kliknij ikonę „wyloguj” w prawym górnym rogu. Nie zamykaj okna przeglądarki bez wylogowania z serwisu bankowości elektronicznej.

Dlaczego jest to ważne? Logując się do serwisu nawiązujesz tak zwaną sesję. Jeśli sesja nie zostanie zamknięta, ktoś może wykorzystać ją by działać na Twoim koncie bankowym. Do czasu automatycznego wygaśnięcia istnieje możliwość przejęcia Twojej sesji.

10
Korzystaj z powiadomień dotyczących Twoich aktywności w systemie
rozwiń sprawdź

Możesz być automatycznie powiadamiany e-mailem lub SMS’em o każdym udanym / nieudanym logowaniu, zablokowaniu dostępu do systemu i obciążeniu rachunku powyżej zadeklarowanej kwoty. Jeżeli otrzymasz powiadomienie, które nie jest zgodne z Twoją aktywnością, skontaktuj się niezwłocznie z Centrum Telefonicznym.

Automatyczne powiadomienia ustawia się po wejściu w Mój Profil na górnej belce, a następnie klikając w ikonkę Powiadomienia.

 

Bezpieczeństwo Pl@net

do góry

W systemie Pl@net zastosowano wiele uzupełniających się wzajemnie mechanizmów, które razem zapewniają najwyższy poziom bezpieczeństwa.

Mechanizmy bezpieczeństwa

1

Logowanie do systemu

rozwiń sprawdź
W celu rozpoczęcia korzystania z systemu Pl@net konieczne jest zalogowanie się. W procesie tym, zwanym uwierzytelnieniem, weryfikowane jest, czy osoba logująca się jest tym, za kogo się podaje.
System Pl@net oferuje dwie metody logowania do systemu:

 

  • Logowanie hasłem maskowanym

W celu zalogowania się do systemu należy podać nazwę użytkownika (login), a następnie wpisać żądane znaki z hasła. Podawanie tylko wybranych znaków jest jednym z mechanizmów zabezpieczających. W razie prób przechwycenia hasła, zostaną przechwycone tylko niektóre znaki. Przy kolejnym logowaniu system zażąda innych znaków z hasła.

  • Logowanie podpisem elektronicznym

W celu zalogowania się do systemu należy podać nazwę użytkownika (login), a następnie wykonać podpis elektroniczny, co polega na wskazaniu klucza prywatnego i podaniu PINu do nośnika, na którym klucz ten jest przechowywany. Klucze do podpisu mogą być generowane na nośnikach kryptograficznych USB lub kartach procesorowych.

Hasła można wpisywać używając standardowej klawiatury lub wybierając odpowiednie znaki na klawiaturze wirtualnej, która wyświetli się po kliknięciu ikony. Klawiatura wirtualna stanowi zabezpieczenie przed przechwyceniem haseł wpisywanych na standardowej klawiaturze.

Wybrana metoda logowania pociąga za sobą odpowiednią metodę autoryzacji transakcji. Sposoby logowania w połączeniu z autoryzacją transakcji są równoważne, a ich wybór zależy od preferencji Klienta.

2

Autoryzacja transakcji

rozwiń sprawdź
W chwili, gdy w systemie ma zostać wykonana jakaś operacja (np. przelew, wysłanie wniosku), system poprosi o tak zwaną autoryzację transakcji, którą można porównać do złożenia w oddziale podpisu pod dyspozycją wykonania przelewu. System Pl@net oferuje dwie metody autoryzacji transakcji, zależne od wybranej metody logowania.

  • Autoryzacja kodem SMS

W przypadku logowania hasłem maskowanym, transakcje są autoryzowane kodem SMS. W tym przypadku, do zautoryzowania transakcji, system żąda wpisania kodu, jaki zostanie przesłany w formie wiadomości SMS na zdefiniowany wcześniej numer telefonu komórkowego.
Do każdej transakcji zlecanej w systemie Pl@net (wymagającej podpisu) zostanie wygenerowany oddzielny, jednorazowy kod SMS. Każdy SMS z kodem będzie dodatkowo zawierał parametry autoryzowanej operacji (założenie lokaty, wysłanie wniosku, podpisanie przelewu, itp.).

  • Autoryzacja podpisem elektronicznym

W przypadku logowania podpisem elektronicznym, transakcje autoryzowane są również podpisem elektronicznym. W tym przypadku, do zautoryzowania transakcji, system żąda wskazania klucza prywatnego i podania PINu do nośnika, na którym klucz ten jest przechowywany. Klucze do podpisu mogą być generowane na nośnikach kryptograficznych USB lub kartach procesorowych.

3

Bezpieczeństwo komunikacji - szyfrowanie danych

rozwiń sprawdź
Dane przesyłane pomiędzy komputerem użytkownika, a serwerem Banku są szyfrowane dzięki zastosowaniu protokołu SSL w wersjach SSLv3 lub TLSv1 wraz z mocnymi szyframi. Gwarantuje to prywatność i poufność transmitowanych danych.

4

System powiadomień

rozwiń sprawdź
System Pl@net oferuje możliwość otrzymywania powiadomień o wybranych przez użytkownika zdarzeniach w postaci wiadomości SMS, e-mail albo wiadomości w systemie. Mogą to być między innymi komunikaty o udanych i nieudanych próbach zalogowania się do systemu, realizowanych transakcjach, przekroczeniu salda powyżej / poniżej zdefiniowanej kwoty. Dzięki temu otrzymasz ostrzeżenie o nieupoważnionych próbach działań na Twoich rachunkach.

5

Historia logowań i operacji

rozwiń sprawdź
System Pl@net wyświetla daty ostatniego udanego i nieudanego logowania. Ponadto udostępnia raport na temat logowań i wykonywanych operacji w wybranym okresie, co pomaga w wyjaśnieniu ewentualnych niejasności.

6

Eliminacja plików tymczasowych i cookie

rozwiń sprawdź
Pl@net nie zakłada plików tymczasowych na dysku, a po wylogowaniu nie zostawia plików cookie zawierających informacje istotne z punktu widzenia bezpieczeństwa.

7

Moduł anti-phishing

rozwiń sprawdź
Graficznym elementem systemu jest obrazek wybierany przez użytkownika na etapie wstępnej konfiguracji. Dzięki temu użytkownik z łatwością rozpozna, gdy zostanie przekierowany na fałszywą stronę udającą witrynę Banku do przechwytywania haseł. Będzie ona, bowiem, prezentowała inny obrazek, niż wybrany przez użytkownika.

 

8

Protokół SSL, czyli bezpieczne połączenie

rozwiń sprawdź

Protokół SSL (Secure Sockets Layer) został stworzony, aby umożliwić bezpieczne przesyłanie danych w internecie.

Informacje otrzymywane i wysyłane przez internet w standardowy sposób (protokołem HTTP - ang. HyperText Transfer Protocol) potencjalnie mogą zostać przechwycone i odczytane przez osobę dysponującą odpowiednimi narzędziami i wiedzą. Aby je zabezpieczyć, wprowadzono szyfrowaną wersję protokołu HTTP, czyli HTTPS (ang. HyperText Transfer Protocol Secure), wykorzystującą właśnie SSL.

Wykorzystanie protokołu HTTPS można sprawdzić weryfikując, czy adres Pl@net rozpoczyna się od https://.

Dodatkowo przeglądarki sygnalizują ten fakt na przykład poprzez umieszczenie w pasku statusu ikony kłódki lub poprzez zmianę koloru paska adresu.

Dzięki SSL wszystkie dane przesyłane między przeglądarką internetową użytkownika a serwerem są zaszyfrowane przy użyciu jednorazowego klucza. Stają się przez to nieczytelne, a więc bezużyteczne dla niepowołanej osoby. Ustalenie klucza, którym komunikacja będzie szyfrowana następuje za każdym razem na nowo w momencie nawiązywania połączenia z serwerem i wykorzystywany jest do tego certyfikat cyfrowy. Zaleca się weryfikację certyfikatu serwera przed zalogowaniem do systemu Pl@net. Dzięki temu zyskamy pewność, iż nawiążemy połączenie z serwerem BNP Paribas Banku, t.j. serwerem Pl@net.

9

Certyfikaty cyfrowe, czyli weryfikacja tożsamości

rozwiń sprawdź

Certyfikat cyfrowy potwierdza autentyczność serwera internetowego (np. serwera systemu Pl@net). Certyfikat zawiera dane właściciela certyfikatu, jego klucz publiczny oraz informacje o samym wystawcy. Wystawca potwierdza podpisem elektronicznym, że zawarty w certyfikacie klucz publiczny należy do instytucji, której dane znajdują się w certyfikacie.

Wystawcami certyfikatów są zaufane instytucje, tzw. urzędy certyfikacji (ang. CA - Certification Authority, np. VeriSign, czy Thawte). Aby uzyskać pewność, że dane umieszczane w certyfikacie są prawdziwe, urząd certyfikacji weryfikuje instytucję, dla której ma zostać wydany certyfikat.

W przypadku Pl@net, sprawdzenia certyfikatu należy dokonać przed zalogowaniem się do systemu, po wpisaniu do przeglądarki adresu systemu. W tym celu należy kliknąć na ikonę kłódki, jaka pojawi się w prawym dolnym, lub górnym rogu przeglądarki, w zależności od używanej przeglądarki.

Po kliknięciu ikony pojawi się okno z informacjami o certyfikacie. Należy upewnić się:

  • czy certyfikat został wystawiony dla planet.bnpparibas.pl,
  • czy data ważności certyfikatu nie upłynęła,
  • czy certyfikat jest wystawiony przez zaufany urząd certyfikacji (w przypadku systemu Pl@net, wystawcą certyfikatu jest VeriSign).

 

Informacja o certyfikacie dla przeglądarki Internet Explorer.

Jeżeli weryfikacja certyfikatu nie budzi Twoich podejrzeń, możesz rozpocząć logowanie do systemu. W przeciwnym przypadku skontaktuj się z Centrum Telefonicznym, pod numerem 801 367 847 / (+48 22) 566 9300.

10
Klucze kryptograficzne, czyli kryptografia asymetryczna
rozwiń sprawdź

Kryptografia jest nauką spokrewnioną z matematyką i zajmuje się metodami szyfrowania. Dzięki technikom kryptograficznym możliwe jest szyfrowanie danych, oraz wiarygodne identyfikowanie integralności szyfrowanych danych oraz ich nadawcy. W systemie Pl@net wykorzystywana jest kryptografia asymetryczna, która opiera się na wykorzystaniu pary powiązanych ze sobą kluczy kryptograficznych: klucza prywatnego i klucza publicznego. Klucz prywatny służy do szyfrowania danych, które mogą zostać odszyfrowane wyłącznie przy użyciu odpowiadającego mu klucza publicznego i odwrotnie - informacja zaszyfrowana kluczem publicznym może zostać rozkodowana tylko odpowiednim kluczem prywatnym. Stworzenie dwóch powiązanych w ten sposób kluczy jest możliwe dzięki istnieniu funkcji matematycznych, które łatwo jest przeprowadzić w jedną stronę, lecz niezwykle trudno odwrócić.

11

Podpis elektroniczny

rozwiń sprawdź

System Pl@net oferuje dwie równoważne metody logowania i autoryzacji transakcji. Jedna z nich opiera się na podpisie elektronicznym. Oznacza to, iż podczas logowania do systemu, jak również autoryzowania transakcji, będziemy składać podpis elektroniczny.

Składanie podpisu elektronicznego w systemie Pl@net

Aby wykonać podpis elektroniczny musimy posiadać klucz prywatny zabezpieczony hasłem. Z danych, jakie mają zostać podpisane (np. dane dotyczące przelewu), zostaje utworzony skrót dzięki zastosowaniu specjalnego algorytmu matematycznego (tzw. funkcji skrótu). Algorytm ten działa w taki sposób, iż w teorii nie jest możliwe znalezienie dwóch dokumentów dających taki sam skrót, a nawet najmniejsza zmiana w danym dokumencie powoduje zmianę jego skrótu. Skrót ten jest szyfrowany kluczem prywatnym podpisującego. Można go odszyfrować tylko przy użyciu odpowiedniego klucza publicznego. Po wykonaniu tych operacji, do serwera Pl@net przesyłane są dane z podpisem elektronicznym, t.j. zaszyfrowanym skrótem dokumentu.

Weryfikacja podpisu elektronicznego

Z dokumentu, który został nadesłany do serwera Pl@net tworzony jest skrót w taki sam sposób jak przy składaniu podpisu. Dołączony do dokumentu jego zaszyfrowany skrót zostaje odszyfrowany po stronie odbiorcy (BNP Paribas Banku) przy użyciu klucza publicznego. Odszyfrowany skrót jest porównywany ze skrótem utworzonym po stronie banku. Jeżeli wartości skrótów są takie same, uzyskujemy pewność, że dokument został podpisany przez posiadacza klucza prywatnego, np. właściciela rachunku, z którego ma być wykonany przelew.

ISO 27001 © 2014 BNP Paribas Bank Polska SA | Nota prawna