Інформаційна безпека Інтернет-банкінгу #8 | Raiffeisen Bank Aval Інформаційна безпека Інтернет-банкінгу #9 | Raiffeisen Bank Aval
Новий зручний застосунок MyRaif
Завантажити Завантажити
Увійти Перекази та Платежі
Інформаційна безпека Інтернет-банкінгу #18 | Raiffeisen Bank Aval Інформаційна безпека Інтернет-банкінгу #19 | Raiffeisen Bank Aval Інформаційна безпека Інтернет-банкінгу #20 | Raiffeisen Bank Aval Інформаційна безпека Інтернет-банкінгу #21 | Raiffeisen Bank Aval Інформаційна безпека Інтернет-банкінгу #22 | Raiffeisen Bank Aval Інформаційна безпека Інтернет-банкінгу #23 | Raiffeisen Bank Aval
Ukr

Інформаційна безпека Інтернет-банкінгу

Використання системи «Інтернет-банкінг» стає безпечнішим. Інформаційна безпека вдосконалюється з урахуванням інфраструктури, яка постійно змінюється, а також у зв'язку з розвитком інформаційних технологій.

Як ми піклуємося про вашу безпеку

Безпечне користування Інтернет-банкінгом базується на сучасних та надийних технологіях

Інформаційна безпека Інтернет-банкінгу | Raiffeisen Bank Aval
1. Аутентифікація серверу Інтернет-банкінгу

Для захисту від атак, спрямованих на підміну банківського Web-сервера і модифікації його контенту під час передачі, застосовується протокол SSL (Secure Sockets Layer) і сертифікат відкритого ключа, виданий одним із авторитетних Інтернет центрів сертифікації ключів (Certificate Аuthority) – VeriSign.

Інформаційна безпека Інтернет-банкінгу #2 | Raiffeisen Bank Aval
2. Аутентифікація користувачів Інтернет-банкінгу

Для безпечного доступу до системи ми застосовуємо технологію двофакторної аутентифікації користувачів. Ця технологія базується на двох чинниках: наявності у користувача дійсного особистого (таємного) криптографічного ключа, який зберігається у файловому контейнері або на токені, а також знання пароля (PIN-коду) доступу до цього ключа.

Інформаційна безпека Інтернет-банкінгу #3 | Raiffeisen Bank Aval
3. Конфіденційність переданих даних

Для забезпечення конфіденційності даних, якими обмінюються користувачі з банком по каналах Інтернет-банкінгу, ці дані шифруються. Таким чином, виключається можливість перехоплення та несанкціонованого читання платіжної та іншої інформації.

Інформаційна безпека Інтернет-банкінгу #4 | Raiffeisen Bank Aval
4. Авторизація платіжних документів

Для забезпечення автентичності (підтвердження авторства), неспростовності авторства та цілісності електронних платіжних документів, які формуються клієнтами і передаються в банк, застосовується механізм електронного цифрового підпису. Дійсність електронного цифрового підпису перевіряється перед будь-якою операцією з обробки документа. Засоби криптографічного захисту, інтегровані в систему Інтернет-банкінгу для операцій формування та перевірки електронного цифрового підпису, сертифіковані відповідно до вимог законодавства України.

Інформаційна безпека Інтернет-банкінгу #5 | Raiffeisen Bank Aval
5. Використання у якості носія електронного ключа USB-токену (eToken)

Для забезпечення надійного зберігання та використання особистих ключів рекомендується використання апаратних пристроїв формування підпису (токенів), що постачаються банком. Апаратний пристрій формування підпису (токен) — це засіб криптографічного захисту інформації, технічна реалізація якого забезпечує збереження особистого ключа в захищеній пам’яті та виконання криптографічних операцій таким чином, що унеможливлює копіювання особистого ключа або його знаходження поза межами захищеної пам’яті пристрою.

Інформаційна безпека Інтернет-банкінгу #6 | Raiffeisen Bank Aval
6. Обмеження переліку ІР-адрес/ІР-підмереж під час доступу до Інтернет банкінгу

Якщо доступ до «Інтернет-Банкінгу» здійснюється зі статичної ІР-адреси або діапазону адрес, рекомендуємо звернутися у банк для встановлення обмеження переліку IP-адрес та/або IP-підмереж, із яких може бути здійснений доступ до системи «Інтернет-банкінг». У такому разі будуть блокуватися усі спроби підключення до системи «Інтернет-банкінг» із IP-адрес та/або IP-підмереж окрім визначених.

Інформаційна безпека Інтернет-банкінгу #7 | Raiffeisen Bank Aval
7. Використання групи з двох або більше підписів для формування електронного розрахункового документу

Для мінімізації ризику шахрайських дій з рахунками клієнта третіми особами у разі втрати або компрометації одного з ключів ЕЦП рекомендується застосовувати механізм групового підпису. У такому випадку будуть опрацьовуватись лише ті платіжні документи, які містять повну групу підписів та співпадають із указаними підписами в картці зі зразками підписів.

Рекомендації фахівців з інформаційної безпеки

Слідуйте цим порадам, щоб знизити ризики шахрайських операцій із розрахунками, доступ до яких здійснюється каналами Інтернет-банкінгу, а також захистити особистий ключ і доступ до нього

1. Контролюйте повідомлення

Щоденно аналізуйте всі повідомлення про прийняті та неприйняті банком електронні розрахункові документи та негайно повідомляйте банк про випадки несанкціонованого зарахування (перерахування) коштів!

2. Захистіть комп’ютер

Для моніторингу всіх подій та періодичного сканування даних, що зберігаються на жорсткому диску персонального комп’ютера, з якого здійснюється доступ до Інтернет-банкінгу, налаштуйте антивірусне та антишпигунське програмне забезпечення. Встановіть на робочу станцію:

  • ліцензійне антивірусне програмне забезпечення та підтримуйте оновлення версій, регулярно та своєчасно оновлюйте антивірусні бази даних;
  • ліцензійне антишпигунське програмне забезпечення (antispyware);
  • програмний персональний мережевий екран (файервол, брендмауер). Встановлюючи його, максимально обмежте вихідний та вхідний мережевий трафік. Зокрема, рекомендується дозволити доступ тільки до ресурсів Інтернет-банкінгу та інших мінімально необхідних ресурсів, наприклад, для оновлення баз вірусних сигнатур антивірусних програмних засобів, оновлення антишпигунських програмних засобів, операційної системи та іншого програмного забезпечення.

3. Слідкуйте за оновленнями

Регулярно та своєчасно оновлюйте системне програмне забезпечення комп’ютера, з якого здійснюється доступ до Інтернет-банкінгу, особливо операційної системи, web-браузера, Java-машини. Рекомендується активувати можливість автоматичного оновлення програмного забезпечення.

4. Користуйтеся тільки надійними ресурсами

Не встановлюйте на робочі станції, через які ведеться робота з системою «Інтернет-банкінг», програмне забезпечення з ненадійних джерел (публічні бібліотеки програмного забезпечення, програми в електронних повідомленнях тощо). Не рекомендується здійснювати з такого комп’ютера доступ до ненадійних (незнайомих) інтернет-ресурсів.

5. Працюйте в окремому обліковому записі

Під час доступу до системи «Інтернет-банкінг» строго не рекомендується працювати в операційній системі з обліковим записом користувача, який має розширені права в операційній системі, наприклад, «Адміністратор».

6. Перевірте протокол безпеки

Під час підключення до веб-сайту системи «Інтернет-банкінг» (http://ibank.aval.ua) переконайтеся у коректній автентифікації веб-серверу системи «Інтернет-банкінг» за протоколом SSL. Уникайте підключень до веб-сайту системи за банерним посиланням або посиланням, отриманим електронною поштою. Краще вводити адресу веб-сайту системи самостійно та додати її у закладки браузера. При доступі до веб-сайту звертайте увагу на адресне поле браузера. Оскільки веб-сайт системи «Інтернет-банкінг» має справжній та дійсний сертифікат безпеки від світового Інтернет-центру сертифікації, при вході на сайт в адресному полі браузера мають відображатися перші символи адреси https://, а не http:// (у вікні браузера може з’явитися повідомлення про те, що розпочинається перегляд сторінок через безпечне з’єднання). Сертифікат веб-сайту можна переглянути за допомогою браузера. Для цього натисніть на знак «замочка» у полі статусу перед адресою сайту. На екрані з’явиться інформація про сертифікат безпеки веб-сайту ibank.aval.ua. Знак закритого замочка, який відображається при безпечному підключенні до системи є доказом того, що веб-сайт справжній.


7. Авторизуйтесь у надійний спосіб

Не заходьте до Інтернет-банкінгу через посилання, отримані електронною поштою, а також із неконтрольованих та ненадійних комп’ютерів, розташованих в інтернет-кафе, готелях, офісах, інших організаціях.

8. Уважно ставтеся до електронних листів

Зловмисники інколи здійснюють атаки на робочі станції користувачів, щоб заволодіти даними автентифікації користувачів системи (особистий ключ ЕЦП та пароль доступу до нього) для їх подальшого незаконного використання. Основні методи заволодіння ключовою інформацією:


  • розсилання користувачам підроблених електронних листів із посиланням на адресу веб-сайту, що маскується під банківський;
  • розповсюдження через електронні листи чи веб-сайти програмного забезпечення із зловмисним кодом (тобто програмного вірусу) для заволодіння даними автентифікації користувача;
  • несанкціоноване дистанційне управління персональним комп’ютером користувача шляхом віддаленого доступу.


При виконанні клієнтом запропонованих або стандартних дій, вірус копіює ключі та паролі та передає цю інформацію зловмисникам. Для запобігання подібних ситуацій пам’ятайте, що банк ніколи та за жодних обставин не здійснює розсилку електронних листів із вимогою надіслати ключ, пароль, перейти за вказаною електронною адресою, а також не розповсюджує електронною поштою комп’ютерні програми. Відповідальність за збереження ключів та паролів покладається на користувача. У разі отримання подібних листів, програм чи будь-яких повідомлень електронною поштою, терміново проінформуйте про це банк листом або телефоном, які зазначено на сайті банку. Видаляйте підозрілі електронні листи без їх відкриття, особливо листи від невідомих відправників із прикріпленими файлами, що мають розширення *.exe, *.pif, *.vbs та інші файли.

9. Контролюйте сторонніх спеціалістів

Якщо налаштування робочої станції, з якої здійснюється доступ до системи «Інтернет-банкінг», здійснює сторонній спеціаліст, забезпечте контроль за його діями.

1. Користуйтеся надійними носіями

Особистий ключ та пароль доступу до нього є найкритичнішими даними з точки зору безпечної роботи в системі «Інтернет-банкінг». Особистий ключ генерується за ініціативою користувача — його власника під особистим контролем. Банк ні за яких обставин не має доступу до особистих ключів користувачів. Для забезпечення надійного зберігання та використання особистих ключів використовуйте апаратні пристрої формування підпису (токенів), що постачаються банком. У разі, якщо користувач обирає метод зберігання ключів в файловому контейнері, особисті ключі повинні зберігатися виключно на рухомому носії інформації (дискета, диск, USB-накопичувач). Не допускається навіть тимчасове зберігання ключів ЕЦП на жорсткому диску комп’ютерів.

2. Тримайте токен під особистим контролем

Носій ключової інформації, який містить чинний ключ (рухомий носій інформації, токен), повинен постійно бути під особистим контролем користувача, що забезпечує унеможливлення доступу до нього інших осіб. Ні за яких обставин не допускається передача носія ключової інформації (токену) та/або розголошення паролю до нього іншим особам, у тому числі співробітникам банку.

3. Від’єднуйте рухомий носій інформації після завершення роботи

Носій ключової інформації, який містить чинний ключ (рухомий носій інформації, токен), повинен використовуватися тільки під час роботи у системі «Інтернет-банкінг». Не залишайте носій ключової інформації (токен) приєднаним до персонального комп’ютера, якщо робота в системі призупинена чи не проводиться, персональний комп’ютер використовуються для виконання інших функцій, а також у неробочий час.

4. Зберігайте ПІН-код у нікому недоступному місці

Пароль доступу (ПІН-код) до особистих ключів не повинен зберігатися у відкритому вигляді (наприклад, бути записаним на папері) та використовуватися для інших систем та сервісів. Персональна відповідальність за збереження паролю доступу (ПІН-коду) та унеможливлення використання носія ключової інформації іншою особою покладається виключно на користувача.

5. Регулярно змінюйте папроль доступу

Періодично змінюйте пароль доступу до ключа (не рідше одного разу на місяць). Пароль повинен складатися з цифр, літер верхнього та нижнього регістрів, а також спеціальних символів. При виборі паролю не використовуйте комбінації, що легко вгадуються, наприклад, імена, дати народження, телефонні номери тощо.

6. Блокуйте ключі тим, хто більше не корістується системою

У разі звільнення користувачів або переведення їх на посади, які не передбачають роботу у системі «Інтернет-банкінг», необхідно негайно звернутися у банк із метою блокування їхніх ключів.

7. Блокуйте компроментовані ключі

У разі компрометації або підозри у компрометації ключа (втрати, пошкодження носія ключової інформації, розголошення пароля або інших подій та/або дій, що призвели або можуть призвести до несанкціонованого використання ключа), необхідно терміново звернутися у банк для блокування скомпрометованого ключа, написавши листа або по телефону, обов’язково назвавши при цьому блокувальне слово.

Чи була ця сторінка корисною для вас?
Дякуємо! З Вашою допомогою ми стаємо краще!