Bank zmieniającego się świata
Oferta

Mechanizmy bezpieczeństwa

Logowanie do systemu

Logowanie do Bankowości internetowej (uwierzytelnienie) weryfikuje tożsamość logującej się osoby. System Bankowości internetowej oferuje kilka metod logowania.

• Logowanie hasłem maskowanym

Logując się do systemu należy podać nazwę użytkownika (login), a następnie wpisać żądane znaki z hasła.

Podawanie tylko wybranych znaków jest jednym z mechanizmów zabezpieczających. W razie prób przechwycenia hasła, zostaną przechwycone tylko niektóre znaki. Przy kolejnym logowaniu system zażąda innych znaków z hasła. Maska może posiadać miej pól niż ustawione hasło.

• Logowanie podpisem elektronicznym

Logując się do systemu należy podać nazwę użytkownika (login), a następnie wykonać podpis elektroniczny, co polega na wskazaniu klucza prywatnego i podaniu PINu do nośnika, na którym klucz ten jest przechowywany. Do obsługi kluczy kryptograficznych należy pobrać oprogramowanie ze strony Banku.

Klucze do podpisu mogą być generowane na nośnikach kryptograficznych USB lub kartach procesorowych.

Hasła można wpisywać używając standardowej klawiatury lub wybierając odpowiednie znaki na klawiaturze wirtualnej, która wyświetli się po kliknięciu ikony. Klawiatura wirtualna stanowi zabezpieczenie przed przechwyceniem haseł wpisywanych na standardowej klawiaturze.

Wybrana metoda logowania pociąga za sobą odpowiednią metodę autoryzacji transakcji. Sposoby logowania w połączeniu z autoryzacją transakcji są równoważne, a ich wybór zależy od preferencji Klienta. 

• Logowanie tokenem

Uruchomienie tokena następuje po wpisaniu czterocyfrowego kodu PIN. Przy pierwszym uruchomieniu należy użyć kodu PIN, który we wszystkich tokenach ustawiany jest fabrycznie jako 1234. Trzykrotne wprowadzenie błędnego kodu PIN powoduje zablokowanie tokena.

Przy pierwszym wprowadzeniu kodu PIN ustawionego fabrycznie, token zapyta o nowy kod PIN. W celu zmiany kodu PIN na własny, należy wykonać następujące czynności:

  1. włącz token – przycisk Włącznik/Wyłącznik,
  2. wpisz stary kod PIN,
  3. przytrzymaj przez ok. 2 sek. przycisk Włącznik/Wyłącznik,
  4. wpisz dwukrotnie nowy kod PIN.

Kod należy koniecznie zapamiętać. Przypominamy, że nie jest dozwolone udostępnianie kodu PIN osobom trzecim. Zmiany kodu PIN można dokonywać wielokrotnie.

Logując się do systemu należy podać nazwę użytkownika (login), a następnie wpisać żądane znaki z hasła.

Ekran logowania

Uwaga: Po wpisaniu nazwy użytkownika i hasła w polu „Podaj kod z Tokena” zawsze pojawi się tylko 6 zer (000000). Jeżeli w procesie logowania prezentowana jest wartość ID inna niż 6 zer (000000) prosimy o niezwłoczne zaprzestanie dalszego korzystania z systemu i pilny kontakt z konsultantem infolinii pod nr tel.: 801 321 123.

Autoryzacja dyspozycji w BiznesPl@net

Podczas autoryzacji dyspozycji w polu „Proszę podać kod dla numeru:” zawsze pojawiała się losowo wybrana 6 cyfrowa liczba (inna niż 6 zer).

Jak działa token?

Aktywny token działa na zasadzie pytanie–odpowiedź. Podczas logowania do systemu lub autoryzacji operacji, na ekranie komputera zostanie wyświetlone pytanie w postaci sześciu cyfr. Po wpisaniu cyfr do tokena odpowiedź zostanie automatycznie wygenerowana. Cyfry wygenerowane przez token należy wpisać w polu „Proszę podać kod dla numeru:”.

Autoryzacja transakcji

Wykonałeś jakąś operacja (np. przelew, wysłanie wniosku), system poprosi o tak zwaną autoryzację transakcji, którą można porównać do złożenia w oddziale podpisu pod dyspozycją wykonania przelewu.

System bankowości internetowej oferuje dwie metody autoryzacji transakcji, zależne od wybranej metody logowania.

Zawsze sprawdzaj czy wiadomość z kodem autoryzacyjnym jest zgodna z wykonywana przez Ciebie operacja (np. potwierdź z danymi z faktury - numer rachunku i kwotę operacji).

 

  • Autoryzacja kodem SMS

W przypadku logowania hasłem maskowanym, transakcje są autoryzowane kodem SMS.

W tym przypadku, do zautoryzowania transakcji, system żąda wpisania kodu, jaki zostanie przesłany w formie wiadomości SMS na zdefiniowany wcześniej numer telefonu komórkowego.

Do każdej transakcji zlecanej w systemie bankowości internetowej (wymagającej autoryzacji) zostanie wygenerowany oddzielny, jednorazowy kod SMS. Każdy SMS z kodem będzie dodatkowo zawierał parametry autoryzowanej operacji (założenie lokaty, wysłanie wniosku, podpisanie przelewu, itp.).

  • Autoryzacja podpisem elektronicznym

W przypadku logowania podpisem elektronicznym, transakcje autoryzowane są również podpisem elektronicznym.

W tym przypadku, do zautoryzowania transakcji, system żąda wskazania klucza prywatnego i podania PINu do nośnika, na którym klucz ten jest przechowywany. Klucze do podpisu mogą być generowane na nośnikach kryptograficznych USB lub kartach procesorowych.

  • Autoryzacja tokenem

W przypadku logowania tokenem, transakcje autoryzowane są również za pomocą tokena.

Uruchomiony token autoryzuje tylko jedną sesję „pytanie – odpowiedź”. Po kilkudziesięciu sekundach od wygenerowania kodu, token sam się wyłącza. Jeśli z jakiegoś powodu autoryzacja nie powiodła się i chcesz użyć tokena powtórnie, a stary kod jest jeszcze wyświetlany, musisz wyłączyć urządzenie, a następnie włączyć ponownie.

Bezpieczeństwo komunikacji - szyfrowanie danych

Dane przesyłane pomiędzy komputerem użytkownika, a serwerem Banku są szyfrowane dzięki zastosowaniu protokołu SSL w wersjach SSLv3 lub TLSv1 wraz z mocnymi szyframi. Gwarantuje to prywatność i poufność transmitowanych danych.

Wykorzystanie protokołu HTTPS można sprawdzić weryfikując, czy adres Bankowości internetowej rozpoczyna się od https://. Dodatkowo przeglądarki sygnalizują ten fakt na przykład poprzez umieszczenie w pasku statusu ikony kłódki lub poprzez zmianę koloru paska adresu.

Informacje otrzymywane i wysyłane przez internet w standardowy sposób (protokołem HTTP - ang. HyperText Transfer Protocol) potencjalnie mogą zostać przechwycone i odczytane przez osobę dysponującą odpowiednimi narzędziami i wiedzą. Aby je zabezpieczyć, wprowadzono szyfrowaną wersję protokołu HTTP, czyli HTTPS (ang. HyperText Transfer Protocol Secure), wykorzystującą właśnie SSL. Dzięki SSL wszystkie dane przesyłane między przeglądarką internetową użytkownika a serwerem są zaszyfrowane przy użyciu jednorazowego klucza. Stają się przez to nieczytelne, a więc bezużyteczne dla niepowołanej osoby. Ustalenie klucza, którym komunikacja będzie szyfrowana następuje za każdym razem na nowo w momencie nawiązywania połączenia z serwerem i wykorzystywany jest do tego certyfikat cyfrowy. Zaleca się weryfikację certyfikatu serwera przed zalogowaniem do systemu Bankowości internetowej. Dzięki temu zyskamy pewność, iż nawiążemy połączenie z serwerem Banku BGŻ BNP Paribas, t.j. serwerem Bankowości internetowej.

System powiadomień

System bankowości internetowej oferuje możliwość otrzymywania powiadomień o wybranych przez użytkownika zdarzeniach w postaci wiadomości SMS, e-mail albo wiadomości w systemie. Mogą to być między innymi komunikaty o udanych i nieudanych próbach zalogowania się do systemu, realizowanych transakcjach, przekroczeniu salda powyżej / poniżej zdefiniowanej kwoty. Dzięki temu otrzymasz ostrzeżenie o nieupoważnionych próbach działań na Twoich rachunkach.

System Pl@net

Jeżeli otrzymasz powiadomienie, które nie jest zgodne z Twoją aktywnością, skontaktuj się niezwłocznie z infolinią Banku.

Powiadomienia ustawia się po wejściu w Mój Profil na górnej belce, a następnie klikając w ikonkę Powiadomienia.

System BiznesPl@net

Powiadomienia ustawia się w module „Inne” > „Powiadomienia”, wybierając przycisk „Ustawienia powiadomień”.

Historia logowań i operacji

System bankowości internetowej wyświetla daty ostatniego udanego i nieudanego logowania. Ponadto udostępnia raport na temat logowań i wykonywanych operacji w wybranym okresie, co pomaga w wyjaśnieniu ewentualnych niejasności.

Eliminacja plików tymczasowych i cookie

Bankowość  internetowa nie zakłada plików tymczasowych na dysku, a po wylogowaniu nie zostawia plików cookie zawierających informacje istotne z punktu widzenia bezpieczeństwa.

Moduł anti-phishing

Graficznym elementem systemu jest obrazek wybierany przez użytkownika na etapie wstępnej konfiguracji. Dzięki temu użytkownik z łatwością rozpozna, gdy zostanie przekierowany na fałszywą stronę udającą witrynę Banku do przechwytywania haseł. Będzie ona, bowiem, prezentowała inny obrazek, niż wybrany przez użytkownika.

Certyfikaty cyfrowe, czyli weryfikacja tożsamości

Certyfikat cyfrowy potwierdza autentyczność serwera internetowego (np. serwera systemu Bankowości internetowej). Zawiera dane właściciela certyfikatu, jego klucz publiczny oraz informacje o samym wystawcy. Wystawca potwierdza podpisem elektronicznym, że zawarty w certyfikacie klucz publiczny należy do instytucji, której dane znajdują się w certyfikacie.

Wystawcami certyfikatów są zaufane instytucje, tzw. urzędy certyfikacji (ang. CA - Certification Authority, np.Symantec, czy Thawte). Aby uzyskać pewność, że dane umieszczane w certyfikacie są prawdziwe, urząd certyfikacji weryfikuje instytucję, dla której ma zostać wydany certyfikat.

W przypadku bankowości internetowej, sprawdzenia certyfikatu należy dokonać przed zalogowaniem się do systemu, po wpisaniu do przeglądarki adresu systemu. W tym celu należy kliknąć na ikonę kłódki, jaka pojawi się w prawym dolnym, lub górnym rogu przeglądarki, w zależności od używanej przeglądarki. 

Po kliknięciu ikony pojawi się okno z informacjami o certyfikacie. Należy upewnić się:

  • czy certyfikat został wystawiony dla login.bgzbnpparibas.pl,
  • czy data ważności certyfikatu nie upłynęła,
  • czy certyfikat jest wystawiony przez zaufany urząd certyfikacji (w przypadku systemu Bankowości internetowej, wystawcą certyfikatu jest Symantec).

Informacja o certyfikacie dla przeglądarki Internet Explorer.

Jeżeli weryfikacja certyfikatu nie budzi Twoich podejrzeń, możesz rozpocząć logowanie do systemu. W przeciwnym przypadku skontaktuj się z Centrum Telefonicznym, pod numerem 801 367 847 / (+48 22) 566 9300

Bezpieczny Komputer

Zabezpiecz swój komputer

1. Nie korzystaj  na co dzień z komputera używając konta Administratora.

2. Korzystaj z oprogramowania lub urządzeń typu firewall jak również oprogramowania antywirusowego czy antyspyware.

3. Instaluj wszystkie  poprawki  i aktualizacje zalecanye przez producentów używanego oprogramowania w tym systemu operacyjnego, przeglądarki i oprogramowania zabezpieczającego Twój komputer.

4. Regularnie sprawdzaj swój komputer, uruchamiając program antywirusowy. Zalecamy sprawdzenie całej zawartości komputera, w regularnych odstępach czasu (np raz w tygodniu). Kontrole mogą być również automatyczne.

5. Instaluj tylko legalne oprogramowanie ze sprawdzonych źródeł.

6. Nie otwieraj załączników w poczcie email od nieznanych nadawców, nie klikaj w linki umieszczone w tych wiadomościach

7. Nigdy nie odpowiadaj na e-maile, w których jesteś proszony o podanie czy weryfikację poufnych danych takich jak hasło do bankowości internetowej.

Przypominamy, że zarówno organizacje kartowe (MasterCard, VISA) jak też Banki nigdy nie zwracają się do Klientów korespondencyjnie w celu weryfikacji/aktualizacji poufnych danych. W związku z powyższym, w przypadku otrzymania takiego e-maila, wiadomości tekstowej na telefonie/smartfonie lub  prośby za pośrednictwem portali społecznościach, należy to traktować jako nielegalną próbę pozyskania danych w celach przestępczych.

Nie należy:

  • odpowiadać na maila,
  • klikać w przesłane linki i załączniki,
  • podawać danych poufnych drogą korespondencyjną ani w rozmowie telefonicznej.

Bank nigdy nie prosi o takie dane. Prosimy o zgłaszanie takich przypadków na numer 801 321 123.

8. Zwracaj uwagę na informację o przerwach technicznych w działaniu bankowości internetowej by pamiętać o dostępności kanałów komunikacyjnych.

9. Informacje o zagrożeniach dotyczących bankowości internetowej są umieszczane na naszej stronie w zakładce bezpieczeństwo (link) jak również na:

Bezpieczne hasło i pin

1. Stosuj bezpieczne hasła (zgodnie z zaleceniami Banku), stosuj dodatkowe hasła do profilu na komputerze, ogranicz fizyczny dostęp dla osób niepowołanych,

2. Nigdy nikomu nie ujawniaj haseł, nie zapisuj ich ani nie przesyłaj drogą elektroniczną. Jeżeli wydaje Ci się, że ktoś mógł poznać Twoje hasła, zmień je niezwłocznie.

3. Jeżeli logujesz się za pomocą hasła maskowanego pamiętaj, że bankowi nigdy nie jest potrzebne Twoje pełne hasło, poza operacją zmiany hasła na nowe. Podawaj tylko wybrane znaki z hasła podczas logowania.

4. Jeżeli logujesz się za pomocą podpisu elektronicznego, nie udostępniaj nikomu nośnika kryptograficznego USB ani karty kryptograficznej, na której przechowywane są Twoje klucze, ani też kodu PIN do nich.

W przypadku metody logowania i autoryzacji transakcji podpisem elektronicznym, nośnik kryptograficzny (klucz USB lub karta kryptograficzna) powinny być używane wyłącznie w momencie pracy w systemie bankowości internetowej.

Przypominamy, że zarówno nośnik kryptograficzny, jak i karta kryptograficzna wymagane są tylko i wyłącznie w momencie pojawienia się okienka wyboru klucza autoryzacyjnego. Po wprowadzeniu hasła i dokonaniu operacji należy odłączyć urządzenia/usunąć kartę z czytnika.

Dlaczego jest to ważne? Zdarzają się sytuacje, w których na przykład oszuści proszą klientów banków o wpisanie swoich haseł w celu rzekomej weryfikacji iw ten sposób uzyskują oni hasła klientów, które mogą wykorzystać do logowania się na ich konta. Zdarzają się też przypadki, kiedy to dochodzi do włamania na komputer Klienta i wówczas osoba nieuprawniona może uzyskać dostęp do klucza na nośniku, który jest podłączony do  komputera, a nie jest używany.

5. Wpisując identyfikator i hasło upewnij się, że nikt ich nie podpatruje.

10 zasad bezpieczeństwa bankowości internetowej

Zapoznaj się z broszurą, jak bezpieczenie korzystać z Bankowości Internetowej

Pobierz

W naszym serwisie stosuje się pliki cookies, które są zapisywane na dysku urządzenia końcowego użytkownika w celu ułatwienia nawigacji oraz dostosowania serwisu do preferencji użytkownika. Szczegółowe informacje o plikach cookies znajdziesz w Polityce prywatności. Zablokowanie zapisywania plików cookies na urządzeniu końcowym lub ich usunięcie możliwe jest w po właściwym skonfigurowaniu ustawień przeglądarki internetowej. Więcej o blokowaniu i usuwaniu plików cookies znajdziesz w Polityce prywatności. Zablokowanie możliwości zapisywania plików cookies może spowodować utrudnienia lub brak działania niektórych funkcji serwisu. Niedokonanie zmian ustawień przeglądarki internetowej na ustawienia blokujące zapisywanie plików cookies jest jednoznaczne z wyrażeniem zgody na ich zapisywanie. Rozwiń