Banca en línia BBVA Empreses: quines mesures de seguretat inclou?

Aquestes són les pautes que et permetran protegir la teva operativa.

El servei

1. Gestor d'usuaris:

BBVA Empreses és una aplicació multiusuari. Disposa de diferents perfils d'usuari que l'empresa pot assignar als seus empleats en funció de la seva estructura operativa.

Un perfil específic, Gestor d'Usuaris, defineix i administra els usuaris de l'empresa a BBVA Empreses. Poden existir un o diversos Gestors d'Usuaris i comptar amb diferents nivells de delegació (sense poder o amb poder solidari o mancomunat). A cada usuari se li assigna un perfil que es defineix amb el màxim nivell de detall.

En el cas de l'autorització d'operacions, les opcions són:

  • Sense poder: no pot autoritzar operacions.
  • Apoderat: pot ser solidari o mancomunat.

Aquesta estructura permet que el circuit d'usuaris sigui tan restrictiu com vulgui l'empresa, per tal de garantir, en qualsevol moment, que cadascun d'ells:

  • Accedeixi només als serveis i comptes que estableix el Gestor d'Usuaris.
  • Pugui fer només aquelles consultes i operacions que li autoritzi el Gestor d'Usuaris.
  • Tingui o no poders per autoritzar operacions.
  • Disposi d'un límit monetari en funció de l'operació i compte, segons defineixi l'administrador.
  • Només si és Gestor d'Usuaris podrà consultar, a més del seu perfil, la relació d'usuaris definits en la seva entitat, els seus perfils, l'accés a serveis i els poders que tenen assignats.

2. Control d'activitat:

Els usuaris poden fer un seguiment de l'operatòria de l'entitat a BBVA Empreses a través de:

  • El mòdul d'"Estadístiques" (Firmes i fitxers: Estadístiques): consulta de les operacions realitzades en un període determinat.
  • L'"Auditoria d'ordres" (Firmes i fitxers: Firma i seguiment de fitxers): control de l'activitat d'operacions de cada usuari de l'entitat.
  • L'"Auditoria d'usuaris" (Administració: Auditoria): reflecteix quines actuacions ha fet cadascun dels Gestors d'Usuaris dins el circuit d'usuaris.

3. Credencials d'usuari:

Com mecanisme d'autenticació reforçada, BBVA Empreses incorpora el doble factor de seguretat en l'accés. Cada 90 dies, serà necessari que, a més del teu codi d'empresa, usuari i contrasenya, introdueixis el codi generat pel teu dispositiu de seguretat o token (si no disposes d'un, rebràs el doble factor via adreça electrònica). En el cas d'accedir a BBVA Empreses des de l'app: el token està integrat i el doble factor es valguda automàticament, sense necessitat d'introduir cap codi addicional als ja habituals.

  • Encara que les contrasenyes no caduquen, et recomanem modificar-les cada mes.
  • La mida de la clau d'accés és de 8 caràcters alfanumèrics per dificultar-ne la deducció per part de tercers mitjançant la prova d'opcions.
  • Les contrasenyes s'emmagatzemen xifrades de manera irreversible en sistemes especialitzats de gestió d'usuaris i identitats, de manera que ningú no pot obtenir-les ni deduir-les.

Obligatorietat de modificar la clau d'accés en el primer accés: per prevenir la suplantació de l'usuari, en la teva primera connexió a BBVA Empreses, se't requereix que modifiquis la teva clau d'accés.

Bloqueig d'usuaris:

  • L'error en la introducció de l'usuari o la clau necessaris per a l'activació de BBVA Empreses de forma repetida, provoca el bloqueig del seu compte, que no podrà ser activada fins que BBVA no generi una nova clau d'activació.
  • En el cas de la clau d'accés, després de diversos intents fallits l'usuari queda bloquejat.
  • L'error en la introducció del codi de seguretat generat pel seu dispositiu de seguretat cinc vegades seguides, provoca el bloqueig del token a BBVA Empreses.
  • El Gestor d'Usuaris té autonomia per bloquejar l'accés o donar de baixa als usuaris de la seva entitat, de manera que, davant qualsevol baixa d'un empleat, l'accés pot ser immediatament revocat.

4. Identificació i autenticació:

Traçabilitat de les transaccions: els accessos i les transaccions efectuades queden reflectides en registres d'operacions automatitzats que recullen l'operació efectuada, la data i l'hora d'aquesta i l'usuari que la va executar, permetent determinar la validesa de les operacions registrades.

Informació de l'última connexió:

  • Si l'usuari entra per primera vegada, BBVA Empreses li ho indicarà.
  • En els accessos successius, BBVA Net cash mostrarà a l'usuari la data i l'hora de la seva última connexió.

Galetes només actives durant la sessió: les cookies que es col·loquen en el sistema operatiu de l'usuari, necessàries per a la navegació de manera assegurança per qualsevol pàgina web, estan actives només durant la connexió a BBVA Empreses i són esborrades quan l'usuari es desconnecta de l'aplicació.

Desconnexió automàtica de la sessió: com a mesura addicional de seguretat a BBVA Empreses, als 5 minuts d'inactivitat o als 60 de sessió, es procedeix a finalitzar la sessió de l'usuari i desconnectar-ho del sistema.

La tecnologia

1. Confidencialitat i integritat

De totes les credencials d'usuari:

  • Totes les claus operatives d'usuaris s'emmagatzemen xifrades de manera irreversible en sistemes especialitzats de gestió d'usuaris i identitats, de manera que ningú no pot obtenir-les o deduir-les.
  • Els procediments operatius de BBVA no requereixen que ningú en el banc disposi de les claus operatives dels seus clients, per la qual cosa ningú les coneix ni te les sol·licitarà personalment.

De les comunicacions:

  • Les comunicacions dels serveis transaccionals i de banca a distància de BBVA es xifren mitjançant protocol SSL per preservar la confidencialitat i integritat de les comunicacions per Internet.
  • Addicionalment, les comunicacions sensibles que tenen lloc a les xarxes internes de BBVA es troben adequadament protegides segons l'entorn operatiu i el protocol utilitzat.

De la informació:

  • La informació emmagatzemada en els sistemes i bases de dades internes es troba protegida mitjançant diferents sistemes de seguretat que permeten l'accés únicament als empleats autoritzats.
  • BBVA disposa d'un sistema automatitzat de gestió de privilegis d'accés a la informació que garanteix l'accés controlat i restringit al personal autoritzat.
  • A BBVA, la protecció de les dades és una dels nostres principals prioritats. Per aquesta raó, garantim que la informació personal es tracta d'acord amb la legislació vigent en matèria de protecció de dades. A més, comptem amb mesures de seguretat que garanteixen la privacitat de qualsevol intercanvi d'informació entre el client i el banc.

2. Seguretat física dels centres de processament de dades

Els centres de processament de dades de BBVA estan dotats de sòlides mesures de seguretat física per a la protecció dels sistemes de processament de dades, entre les quals destaquen les següents:

  • CPD Tier IV Gold en sostenibilitat operativa.
  • Control d'accessos individualitzat al recinte i a les diferents sales tècniques, dotats de sistemes de detecció d'elements perillosos.
  • Equips humans de vigilància física i videovigilància del perímetre i l'interior de les instal·lacions en règim de 24x7.
  • Sistemes de detecció i protecció específics davant d'intrusió, incendi, inundació, tall de subministraments i altres esdeveniments catastròfics.

A més, en disposar de dos centres de processament de dades plenament operatius, BBVA garanteix la salvaguarda i recuperació de la informació, si calgués.

3. Monitorització

BBVA compta amb sistemes de monitorització operats per un equip d'especialistes en règim de 24x7 per a la detecció de possibles fraus. Si detectem alguna operació sospitosa ens posarem en contacte amb tu per confirmar-ho. 

Mesures per a l'usuari

Protecció de les credencials 

  • Utilitza claus complexes i difícils d'esbrinar que continguin majúscules, minúscules i números intercalats.
  • Les contrasenyes són secretes; no les comparteixis amb ningú i canvia-les de forma periòdica.
  • No apunts les teves contrasenyes en pósits o quaderns; memoritza-les o utilitza gestors de contrasenyes especialitzats.
  • En ordinadors compartits o connectat a xarxes Wi-Fi públiques, no introdueixis les teves credencials d'accés en cap servei en línia ni facilitis dades personals, com adreça postal, telèfon, etc.
  • Evita introduir les teves dades personals en una pàgina web a què has accedit a través d'un correu. En cas que la coneguis, és preferible que accedeixis a ella teclejant la direcció en el navegador.
  • No utilitzis l'opció d'“autocompletar contrasenyes” del teu navegador. Si està habilitada, les contrasenyes que introdueixes en una pàgina web queden emmagatzemades en l'ordinador i, quan tornes a introduir el teu usuari, el camp de clau s'emplena automàticament. Aquesta opció en un ordinador d'ús compartit pot provocar que algú utilitzi les teves claus personals.
  • Recorda que BBVA mai no et sol·licitarà la teva informació bancària per adreça electrònica o SMS, així que no has de proporcionar informació bancària per cap sistema de comunicació, incloent les adreces electròniques personalitzats amb logotip BBVA copiat, les bústies de correu i els SMS on l'emissor aparenta ser BBVA, trucades telefòniques en què l'interlocutor aparenta ser empleat de BBVA, etc.).
  • En cas de rebre un missatge sol·licitant-te les teves claus personals, no facilitis cap dada i posa't immediatament en contacte amb el servei d'atenció al client de BBVA Empreses: 91 224 98 02 

Protecció dels dispositius

  • Reforça la seguretat dels teus dispositius, ja sigui el teu ordinador personal o el teu telèfon mòbil, i mantén actualitzats el sistema operatiu, el navegador i les aplicacions. Aquesta combinació pot evitar-te molts problemes econòmics.
  • Instal·la i mantén actualitzat un programa antimalware. Així mateix, et recomanem verificar els documents rebuts des de l'exterior amb un programa antivirus, que també ha d'estar sempre actualitzat i en funcionament.
  • Fa periòdicament còpies de seguretat (backup) dels teus arxius; aquesta pràctica et permetria recuperar-los si no poguessis tenir accés a ells per una errada en el dispositiu o per causa intencional (per exemple, per un atac de ransomware).
  • No connectis cap dispositiu extern d'origen dubtós o desconegut, com un pendrive o un disc dur, en els teus dispositius.
  • Baixada programes i aplicacions únicament de llocs oficials.
  • Configura un patró de desbloqueig o activa l'accés amb contrasenya en els teus dispositius (telèfons mòbils, pastilles, portàtils, etc.) per evitar que un tercer pugui accedir a ells.

Navegació segura per internet

  • Revisa bé la URL de les pàgines web a què accedeixis i assegura't que comencen sempre per https.
  • Una altra indicació que el servidor és segur és la presència d'un cadenat tancat (en comptes d'obert com en qualsevol servidor no assegurança) en la barra de navegació.
  • Pots comprovar els certificats de seguretat de la pàgina en què et trobes prement en la icona del cadenat per verificar que la data de caducitat i el domini del certificat estan vigents. En la informació de detall apareix l'emissor (Verisign), el període de validesa i per a qui s'ha emès el certificat (BBVA).
  • Revisa els teus comptes periòdicament per tenir controlats els moviments que es fan en elles i el total acumulat. Si veus alguna operació que no reconeixes, posa't immediatament en contacte amb atenció al client (o amb el teu gestor) per solucionar-ho.

Atacs informàtics

Un tipus específic d'atac dirigit a les empreses és el denominat «Frau al CEO». Es tracta d'una estafa realitzada a través de correu electrònic en què un ciberdelinqüent suplanta a un directiu d'una entitat per sol·licitar a un empleat del departament financer que faci una transferència confidencial i urgent. 

Com mesures de seguretat addicionals a les anteriors t'aconsellem:

  • Contactar, via telefònica o un altre canal, amb el remitent per confirmar que realment ha estat ell qui ha sol·licitat l'operació, però no el facis responent al correu rebut.
  • No publicar adreces de correu electrònic corporatives a internet ni compartir-les amb persones que no siguin de la teva confiança. 
  • No compartir informació relativa a l'organigrama de la teva empresa amb tercers.

Si vols ampliar informació sobre aquest i uns altres tipus d'atacs informàtics i com pots protegir-te d'ells, adreça't a la nostra secció d'Atacs informàtics.