Banca online BBVA Empresas: ¿qué medidas de seguridad incluye?

Estas son las pautas que te permitirán proteger tu operativa.

El servicio

1. Gestor de usuarios:

BBVA Empresas es una aplicación multiusuario. Dispone de distintos perfiles de usuario que la empresa puede asignar a sus empleados en función de su estructura operativa.

Un perfil específico, Gestor de Usuarios, define y administra los usuarios de la empresa en BBVA Empresas. Pueden existir uno o varios Gestores de Usuarios y contar con diferentes niveles de delegación (sin poder o con poder solidario o mancomunado). A cada usuario se le asigna un perfil que se define con el máximo nivel de detalle.

En el caso de la autorización de operaciones, las opciones son:

  • Sin poder: no puede autorizar operaciones.
  • Apoderado: puede ser solidario o mancomunado.

Esta estructura permite que el circuito de usuarios sea tan restrictivo como desee la empresa, con el fin de garantizar, en todo momento, que cada uno de ellos:

  • Acceda sólo a los servicios y cuentas que establece el Gestor de Usuarios.
  • Pueda realizar sólo aquellas consultas y operaciones que le autorice el Gestor de Usuarios.
  • Tenga o no poderes para autorizar operaciones.
  • Disponga de un límite monetario en función de la operación y cuenta, según defina el administrador.
  • Solo si es Gestor de Usuarios podrá consultar, además de su perfil, la relación de usuarios definidos en su entidad, sus perfiles, el acceso a servicios y los poderes que tienen asignados.

2. Control de actividad:

Los usuarios pueden realizar un seguimiento de la operatoria de la entidad en BBVA Empresas a través de:

  • El módulo de "Estadísticas" (Firmas y ficheros: Estadísticas): consulta de las operaciones realizadas en un período determinado.
  • La "Auditoría de órdenes" (Firmas y ficheros: Firma y seguimiento de ficheros): control de la actividad de operaciones de cada usuario de la entidad.
  • La "Auditoría de usuarios" (Administración: Auditoría): refleja qué actuaciones ha realizado cada uno de los Gestores de Usuarios dentro del circuito de usuarios.

3. Credenciales de usuario:

Como mecanismo de autenticación reforzada, BBVA Empresas incorpora el doble factor de seguridad en el acceso. Cada 90 días, será necesario que, además de tu código de empresa, usuario y contraseña, introduzcas el código generado por tu dispositivo de seguridad o token (si no dispones de uno, recibirás el doble factor vía email). En el caso de acceder a BBVA Empresas desde la app: el token está integrado y el doble factor se valida automáticamente, sin necesidad de introducir ningún código adicional a los ya habituales.

  • Aunque las contraseñas no caducan, te recomendamos modificarlas cada mes.
  • El tamaño de la clave de acceso es 8 caracteres alfanuméricos para dificultar su deducción por terceros mediante la prueba de opciones.
  • Las contraseñas se almacenan cifradas irreversiblemente en sistemas especializados de gestión de usuarios e identidades, de forma que nadie puede obtenerlas ni deducirlas.

Obligatoriedad de modificar la clave de acceso en el primer acceso: para prevenir la suplantación del usuario, en tu primera conexión a BBVA Empresas, se te requiere que modifiques tu clave de acceso.

Bloqueo de usuarios:

  • El error en la introducción del usuario o la clave necesarios para la activación de BBVA Empresas de forma repetida, provoca el bloqueo de su cuenta, que no podrá ser activada hasta que BBVA no genere una nueva clave de activación.
  • En el caso de la clave de acceso, tras varios intentos fallidos el usuario queda bloqueado.
  • El error en la introducción del código de seguridad generado por su dispositivo de seguridad cinco veces seguidas, provoca el bloqueo del token en BBVA Empresas.
  • El Gestor de Usuarios tiene autonomía para bloquear el acceso o dar de baja a los usuarios de su entidad, de modo que, ante cualquier baja de un empleado, el acceso puede ser inmediatamente revocado.

4. Identificación y autenticación:

Trazabilidad de las transacciones: los accesos y transacciones realizadas quedan reflejadas en registros de operaciones automatizados que recogen la operación efectuada, la fecha y hora de la misma y el usuario que la ejecutó, permitiendo determinar la validez de las operaciones registradas.

Información de la última conexión:

  • Si el usuario entra por primera vez, BBVA Empresas se lo indicará.
  • En sucesivos accesos, BBVA Net Cash mostrará al usuario la fecha y hora de su última conexión.

Cookies sólo activas durante la sesión: las cookies que se colocan en el sistema operativo del usuario, necesarias para la navegación de modo seguro por cualquier página web, están activas sólo durante la conexión a BBVA Empresas y son borradas cuando el usuario se desconecta de la aplicación.

Desconexión automática de la sesión: como medida adicional de seguridad en BBVA Empresas, a los 5 minutos de inactividad o a los 60 de sesión, se procede a finalizar la sesión del usuario y desconectarlo del sistema.

La tecnología

1. Confidencialidad e integridad

De todas las credenciales de usuario:

  • Todas las claves operativas de usuarios se almacenan cifradas irreversiblemente en sistemas especializados de gestión de usuarios e identidades, de forma que nadie puede obtenerlas o deducirlas.
  • Los procedimientos operativos de BBVA no requieren que nadie en el banco disponga de las claves operativas de sus clientes, por lo que nadie las conoce ni te las solicitará personalmente.

De las comunicaciones:

  • Las comunicaciones de los servicios transaccionales y de banca a distancia de BBVA se cifran mediante protocolo SSL para preservar la confidencialidad e integridad de las comunicaciones por InterNet.
  • Adicionalmente, las comunicaciones sensibles que tienen lugar en las redes internas de BBVA se encuentran adecuadamente protegidas según el entorno operativo y el protocolo utilizado.

De la información:

  • La información almacenada en los sistemas y bases de datos internas se encuentra protegida mediante diferentes sistemas de seguridad permitiendo el acceso únicamente a los empleados autorizados.
  • BBVA dispone de un sistema automatizado de gestión de privilegios de acceso a la información que garantiza el acceso controlado y restringido al personal autorizado.
  • En BBVA, la protección de los datos es una de nuestras principales prioridades. Por esta razón, garantizamos que la información personal se trata de acuerdo con la legislación vigente en materia de protección de datos. Además, contamos con medidas de seguridad que garantizan la privacidad de cualquier intercambio de información entre el cliente y el banco.

2. Seguridad física de los Centros de Proceso de Datos

Los Centros de Proceso de Datos de BBVA están dotados de amplias medidas de seguridad física para la protección de los sistemas de proceso de datos, destacando, entre otras, las siguientes:

  • CPD Tier IV Gold en sostenibilidad operativa.
  • Control de accesos individualizado al recinto y a las diferentes salas técnicas, dotados de sistemas de detección de elementos peligrosos.
  • Equipos humanos de vigilancia física y videovigilancia del perímetro y el interior de las instalaciones en régimen de 24x7.
  • Sistemas de detección y protección específicos ante intrusión, incendio, inundación, corte de suministros y otros eventos catastróficos.

Además, al disponer de dos Centros de Proceso de Datos plenamente operativos, BBVA garantiza la salvaguarda y recuperación de la información, en caso de que fuera necesario.

3. Monitorización

BBVA cuenta con sistemas de monitorización operados por un equipo de especialistas en régimen de 24x7 para la detección de posibles fraudes. Si detectamos alguna operación sospechosa nos pondremos en contacto contigo para confirmarlo. 

Medidas para el usuario

Protección de las credenciales 

  • Utiliza claves complejas y difíciles de averiguar que contengan mayúsculas, minúsculas y números intercalados.
  • Las contraseñas son secretas; no las compartas con nadie y cámbialas de forma periódica.
  • No apuntes tus contraseñas en pósits o cuadernos; memorízalas o utiliza gestores de contraseñas especializados.
  • En ordenadores compartidos o conectado a redes wifi públicas, no introduzcas tus credenciales de acceso en ningún servicio online ni facilites datos personales, como dirección postal, teléfono, etc.
  • Evita introducir tus datos personales en una página web a la que has accedido a través de un correo. En el caso de que la conozcas, es preferible que accedas a ella tecleando la dirección en el navegador.
  • No utilices la opción de “autocompletar contraseñas” de tu navegador. Si está habilitada, las contraseñas que introduces en una página web quedan almacenadas en el ordenador y, cuando vuelves a introducir tu usuario, el campo de clave se rellena automáticamente. Esta opción en un ordenador de uso compartido puede provocar que alguien utilice tus claves personales.
  • Recuerda que BBVA nunca te solicitará tu información bancaria por email o SMS, así que no debes proporcionar información bancaria por ningún sistema de comunicación, incluyendo los emails personalizados con logo BBVA copiado, los buzones de correo y los SMS donde el emisor aparenta ser BBVA, llamadas telefónicas en las que el interlocutor aparenta ser empleado de BBVA, etc.).
  • En caso de recibir un mensaje solicitándote tus claves personales, no facilites ningún dato y ponte inmediatamente en contacto con el servicio de atención al cliente de BBVA Empresas: 91 224 98 02 

Protección de los dispositivos

  • Refuerza la seguridad de tus dispositivos, ya sea tu ordenador personal o tu teléfono móvil, y mantén actualizados el sistema operativo, el navegador y las aplicaciones. Esta combinación puede evitarte muchos problemas económicos.
  • Instala y mantén actualizado un programa antimalware. Asimismo, te recomendamos verificar los documentos recibidos desde el exterior con un programa antivirus, que también debe estar siempre actualizado y en funcionamiento.
  • Realiza periódicamente copias de seguridad (backup) de tus archivos; esta práctica te permitiría recuperarlos si no pudieses tener acceso a ellos por un fallo en el dispositivo o por causa intencional (por ejemplo, por un ataque de ransomware).
  • No conectes ningún dispositivo externo de origen dudoso o desconocido, como un pendrive o un disco duro, en tus dispositivos.
  • Descarga programas y aplicaciones únicamente de sitios oficiales.
  • Configura un patrón de desbloqueo o activa el acceso con contraseña en tus dispositivos (teléfonos móviles, tabletas, portátiles, etc.) para evitar que un tercero pueda acceder a ellos.

Navegación segura por internet

  • Revisa bien la URL de las páginas web a las que accedas y asegúrate de que comienzan siempre por https.
  • Otra indicación de que el servidor es seguro es la presencia de un candado cerrado (en vez de abierto como en cualquier servidor no seguro) en la barra de navegación.
  • Puedes comprobar los certificados de seguridad de la página en que te encuentras pulsando en el icono del candado para verificar que la fecha de caducidad y el dominio del certificado están vigentes. En la información de detalle aparece el emisor (Verisign), el período de validez y para quién se ha emitido el certificado (BBVA).
  • Revisa tus cuentas periódicamente para tener controlados los movimientos que se realizan en ellas y el total acumulado. Si ves alguna operación que no reconoces, ponte inmediatamente en contacto con atención al cliente (o con tu gestor) para solucionarlo.

Ataques informáticos

Un tipo específico de ataque dirigido a las empresas es el denominado «Fraude al CEO». Se trata de una estafa realizada a través de correo electrónico en el que un ciberdelincuente suplanta a un directivo de una entidad para solicitar a un empleado del departamento financiero que realice una transferencia confidencial y urgente. 

Como medidas de seguridad adicionales a las anteriores te aconsejamos:

  • Contactar, vía telefónica u otro canal, con el remitente para confirmar que realmente ha sido él quien ha solicitado la operación, pero no lo hagas respondiendo al correo recibido.
  • No publicar direcciones de correo electrónico corporativas en internet ni compartirlas con personas que no sean de tu confianza. 
  • No compartir información relativa al organigrama de tu empresa con terceros.

Si quieres ampliar información sobre este y otros tipos de ataques informáticos y cómo puedes protegerte de ellos, dirígete a nuestra sección de Ataques informáticos.