Zaloguj

Bezpieczeństwo bankowości internetowej

Szanowni Klienci

Informujemy, że w związku z wejściem w życie od dnia 14.09.2019 r. zapisów ustawy o usługach płatniczych dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/2366 (tzw. PSD2), która nakłada na dostawców usług płatniczych, w tym na nasz Bank obowiązek silnego uwierzytelnienia użytkownika w systemach bankowości elektronicznej zmianie ulegną zasady logowania oraz autoryzacji zleceń.

W systemie bankowości internetowej CBP (Nowa bankowość):

Dla klientów dokonujacych autoryzacji kodami SMS
Do 13.09.2019       
Od 14.09.2019

Logowanie do systemu bankowości internetowej

1. Wprowadzamy numer identyfikacyjny (identyfikator)

2. Wprowadzamy brakujace znaki z hasła (hasło maskowane)

1. Wprowadzamy numer identyfikacyjny (identyfikator)

2. Wprowadzamy brakujace znaki z hasła (hasło maskowane)

3. Dodatkowo wprowadzamy otrzymany na telefon kod SMS

Autoryzacja przelewów

1. Wprowadzamy otrzymany kod SMS

1. Pierwsza autoryzacja wywoła wysłanie za pośrednictwem SMS jednorazowego numeru PIN oraz wymusi jego zmianę

2. Kolejne autoryzacje będą wymagały wprowadzenia zdefiniowanego wcześniej PIN-u do podpisu oraz kodu SMS.
Pin powinien zawierać od 4 do 8 cyfr.

 
Dla klientów dokonujacych autoryzacji tokenem mobilnym Asseco MAA
Do 13.09.2019
Od 14.09.2019

Logowanie do systemu bankowości internetowej

1. Wprowadzamy numer identyfikacyjny (identyfikator)

2. Wprowadzamy brakujace znaki z hasła (hasło maskowane)

1. Wprowadzamy numer identyfikacyjny (identyfikator)

2. Wprowadzamy brakujace znaki z hasła (hasło maskowane)

3. System oczekuje na potwierdzenie logowania tokenem mobilnym Asseco MAA

4. Akceptujemy w tokenie mobilnym Asseco MAA logowanie do systemu

Autoryzacja przelewów

1. Akceptacja przelewu tokenem mobilnym Asseco MAA

1. Akceptacja przelewu tokenem mobilnym Asseco MAA

 

Nie będą mogły być stosowane tokeny RSA.

Klienci, którzy jeszcze posługują się tymi urządzeniami będą mogli wybrać jako element autoryzacji:

  • kod otrzymywany za pośrednictwem SMS lub
  • aplikację mobilną (na smartfony lub tablety) Token mobilny Asseco MAA

Zwracamy Państwa uwagę, że w systemie cały czas istnieje możliwość zbiorczej akceptacji przelewów (zamiast akceptowania pojedyńczych operacji). Możemy ją wykorzystać dodając przelewy do koszyka, a następnie po zaznaczeniu kilku/wszystkich - akceptujemy. Film prezentujący opisaną możliwość.

 

W przypadku systemu bankowości korporacyjnej:

  • Dla użytkowników obecnie użytkujących karty mikroprocesorowe do podpisywania transakcji, proces logowania hasłem stałym zastąpiony zostanie logowaniem kartą mikroprocesorową, zapewniając dwuskładnikowe logowanie.
  • Dla użytkowników korzystających z tokenów Vasco DP260 wprowadzona zostanie metoda podpisu transakcji kartą mikroprocesorową z wykorzystaniem aplikacji Asseco SCSA, która dostępna będzie z poziomu okienka autoryzacji. W tym wypadku w procesie podpisywania transakcji karta mikroprocesorowa zastąpi token Vasco. Karty kryptograficzne będą sukcesywnie przekazywane klientom.

Szczegółowe opisy działania procesów autentykacji z wykorzystaniem wyżej wymienionych elementów dostępne są w załącznikach poniżej. Prosimy o zapoznanie się z instrukcjami.

 

Mając na uwadze należytą ochronę środków zgromadzonych na rachunkach bankowych przypominamy Państwu o konieczności zachowania szczególnej ostrożności podczas korzystania z bankowości internetowej:

  • ustal odpowiednie do Twoich potrzeb limity operacji dla przelewów;
  • zawsze sprawdzaj na stronie logowania bankowości elektronicznej aktualne zasady bezpiecznego korzystania z tej usługi;
  • sprawdzaj informacje o zagrożeniach dla użytkowników bankowości elektronicznej na stronie Związku Banków Polskich: http://zbp.pl/dla-konsumentow/bezpieczny-bank/aktualnosci (link znajduje się na stronie logowania bankowości elektronicznej);
  • jeśli otrzymasz komunikat o przerwie konserwacyjnej podczas logowania lub realizacji przelewu, koniecznie zrezygnuj z dalszej pracy w bankowości elektronicznej i skontaktuj się z Bankiem;
  • nie należy wchodzić na stronę logowania do systemu korzystając z odnośników otrzymanych pocztą e-mail lub znajdujących się na stronach nie należących do banku;
  • nie należy odpowiadać na żadne e-maile dotyczące weryfikacji Twoich danych (np. identyfikatora, hasła) lub innych ważnych informacji – bank nigdy nie zwraca się o podanie danych poufnych za pomocą poczty elektronicznej;
  • uważaj na nietypowe informacje z banku, nie wykonuj podejrzanych poleceń, a w szczególności nie instaluj oprogramowania pochodzącego z niepewnych źródeł  oraz stron internetowych;
  • instalując jakiekolwiek oprogramowanie na komputerze lub smartfonie należy zachować szczególną ostrożność;
  • zawsze przed logowaniem należy sprawdzić, czy adres strony bankowości elektronicznej rozpoczyna się od https:// oraz zweryfikować czy certyfikat witryny bank.cui.pl wystawiony jest dla Asseco Poland S.A. przez firmę DigiCert Inc, Thawte lub DOMENY.PL lub bsjaroslaw.cui.pl - wystawiony dla Banku Spółdzielczego w Jarosławiu  przez Unizeto Technologies S.A. (kliknięcie na „zatrzaśniętą kłódkę” w pasku przeglądarki). Brak „zatrzaśniętej kłódki” oznacza, że mamy do czynienia z niebezpiecznym połączeniem, w którym dane nie są szyfrowane.
  • przed potwierdzeniem operacji należy uważnie przeczytać SMS z kodem, aby upewnić się, że dotyczy on właściwej operacji oraz czy numer rachunku na który wysyłane są środki jest zgodny z Państwa zleceniem;
  • należy unikać przeklejania numerów rachunków  (tj. używania funkcji: kopiuj/wklej, ctrl+c/ctrl+v, ctrl+insert/shift+insert), zalecane jest ich ręczne wpisywanie do zleceń w systemie bankowości internetowej albo o uważną kontrolę wklejanego numeru rachunku i porównanie tego numeru z oryginalnym, kopiowanym numerem rachunku;
  • nie należy przesyłać mailem żadnych danych osobistych typu hasła, numery kart kredytowych, itp.
  • nie należy przechowywać nazwy użytkownika i haseł w tym samym miejscu oraz nie należy udostępniać ich innym osobom;
  • należy unikać logowania z komputerów, do których dostęp mają również inne osoby (np. w kawiarenkach, u znajomych);
  • należy na bieżąco aktualizować system operacyjny (Windows) oraz szczególnie narażone na ataki hakerskie oprogramowania, takie jak: przeglądarki internetowe, java, flash player oraz oprogramowanie do obsługi plików pdf;
  • należy zawsze stosować oprogramowanie antywirusowe oraz zapory (firewall) i dbać o ich bieżącą aktualizację;
  • należy zawsze kończyć pracę korzystając z polecenia – Wyloguj – gwarantuje to poprawne zamknięcie sesji przez użytkownika.

W przypadku wątpliwości co do prawidłowego działania bankowości internetowej, należy skontaktować się z Bankiem.

 

Bank Spółdzielczy w Jarosławiu informuje, że w bankowości internetowej wdrożona została usługa podnoszącą poziom ochrony Klientów przed nieuprawnionym dostępem do ich rachunków bankowych. Usługa została zrealizowana w oparciu o najnowsze rozwiązania klasy IP Intelligence umożliwiające weryfikację reputacji adresów IP w czasie rzeczywistym. Baza wiedzy systemu jest aktualizowana co 5 minut o najnowsze dostępne informacje.
W przypadku oceny adresu IP, z którego następuje próba logowania do CUI, jako źródła potencjalnego zagrożenia dla bezpieczeństwa bankowości internetowej system uniemożliwia zalogowanie. Osobie podejmującej próbę logowania wyświetlany jest wówczas komunikat:


Jak większość rozwiązań zwiększających bezpieczeństwo może ono wprowadzać również pewne niedogodności dla Klientów. Dotyczy to przypadków gdy nieświadomie logują się wykorzystując skompromitowane adresy IP. Przyczyny blokowania adresu IP można zweryfikować pod adresem: http://www.brightcloud.com/tools/url-ip-lookup.php. Własny numer IP można odczytać wchodząc za pomocą przegladarki internetowej np. na stronę o adresie: http://jakiemamip.pl.

Zabezpieczenie IP Intelligence uniemożliwia logowanie do bankowości internetowej z numerów IP, które oznaczone zostały jako potencjalnie niebezpieczne. Podnosi to poziom bezpieczeństwa usługi.

Dzięki zastosowanemu rozwiązaniu zdecydowanie wzrasta odporność usługi bankowości internetowej i mobilnej na zaniedbania po stronie użytkownika. Jest ono również zgodne z zaleceniami Komisji Nadzoru Finansowego zawartymi w rekomendacji 10 „Rekomendacja dotycząca bezpieczeństwa transakcji płatniczych wykonywanych w Internecie przez banki, krajowe instytucje płatnicze, krajowe instytucje pieniądza elektronicznego i spółdzielcze kasy oszczędnościowo- kredytowe” .

W przypadku pytań prosimy o telefoniczny (nr tel. 16 6216263 w godz. od 7:30 do 18:00 w dni robocze) lub osobisty kontakt z bankiem.

1. Filtrowanie adresów IP (wymaga konfiguracji przez użytkownika)
Jest to bardzo skuteczne narzędzie dające możliwość określenia z jakiego adresu internetowego (IP) dozwolone jest logowanie.
Funkcjonalnośc ta przystosowana jest również do tzw. dynamicznych IP poprzez możliwość definiowania klasy adresowej np. dostawcy internetu. Filtry IP można zdefiniować na poziomie Klienta lub poszczególnych użytkowników systemu.
Filtry są definiowane w opcji: Konfiguracja -> Filtry adresów IP

Własny adres IP można zweryfikować w opcji: Historia logowań

W przypadku Klientów posiadajacych tzw. dynamiczne IP należy na podstawie historii logowań lub po kontakcie z dostawcą internetu ustalić odpowiednią maskę dla filtru IP. Przykładowo z zaprezentowanego powyżej zrzutu ekranu wynika, że logowania następują z adresów IP z początkiem " 172.27.17" oraz 172.27.18" zatem w takim przypadku należy zdefiniować dwie maski: "172.27.17.*" oraz "172.27.18.*"

2. Autoryzacja dodawania/ edycji szablonów/ odbiorców (nie wymaga konfiguracji przez użytkownika)
Funkcjonalność zabezpiecza przed nieuprawnioną modyfikacją szablonów przelewów oraz odbiorców. Ingerencja w listę zdefiniowanych szablonów/ odbiorców możliwa jest jedynie po dodatkowej autoryzacji.