Banca en liña BBVA Empresas: que medidas de seguridade inclúe?

Estas son as pautas que che permitirán protexer a túa operativa.

O servizo

1. Xestor de usuarios:

BBVA Empresas é unha aplicación multiusuario. Dispón de distintos perfís de usuario que a empresa pode asignar aos seus empregados en función da súa estrutura operativa.

Un perfil específico, Xestor de Usuarios, define e administra os usuarios da empresa en O BBVA Empresas. Poden existir un ou varios Xestores de Usuarios e contar con diferentes niveis de delegación (sen poder ou con poder solidario ou mancomunado). A cada usuario asígnaselle un perfil que se define co máximo nivel de detalle.

No caso da autorización de operacións, as opcións son:

  • Sen poder: non pode autorizar operacións.
  • Apoderado: pode ser solidario ou mancomunado.

Esta estrutura permite que o circuíto de usuarios sexa tan restritivo como desexe a empresa, co fin de garantir, en todo momento, que cada un deles:

  • Acceda só aos servizos e contas que establece o Xestor de Usuarios.
  • Poida realizar só aquelas consultas e operacións que lle autorice o Xestor de Usuarios.
  • Teña ou non poderes para autorizar operacións.
  • Dispoña dun límite monetario en función da operación e conta, segundo defina o administrador.
  • Só se é Xestor de Usuarios poderá consultar, ademais do seu perfil, a relación de usuarios definidos na súa entidade, os seus perfís, o acceso a servizos e os poderes que teñen asignados.

2. Control de actividade:

Os usuarios poden realizar un seguimento da operatoria da entidade en O BBVA Empresas a través de:

  • O módulo de "Estatísticas" (Sinaturas e ficheiros: Estatísticas): consulta das operacións realizadas nun período determinado.
  • A "Auditoría de ordes" (Sinaturas e ficheiros: Sinatura e seguimento de ficheiros): control da actividade de operacións de cada usuario da entidade.
  • A "Auditoría de usuarios" (Administración: Auditoría): reflicte que actuacións realizou cada un dos Xestores de Usuarios dentro do circuíto de usuarios.

3. Credenciais de usuario:

Como mecanismo de autenticación reforzada, BBVA Empresas incorpora o dobre factor de seguridade no acceso. Cada 90 días, será necesario que, ademais do teu código de empresa, usuario e contrasinal, introduzas o código xerado polo teu dispositivo de seguridade ou token (se non dispós dun, recibirás o dobre factor vía correo electrónico). No caso de acceder a O BBVA Empresas desde a app: o token está integrado e o dobre factor valídase automaticamente, sen necesidade de introducir ningún código adicional aos xa habituais.

  • Aínda que os contrasinais non caducan, recomendámosche modificaras cada mes.
  • O tamaño da clave de acceso é 8 caracteres alfanuméricos para dificultar a súa dedución por terceiros mediante a proba de opcións.
  • Os contrasinais almacénanse cifrados irreversiblemente en sistemas especializados de xestión de usuarios e identidades, de xeito que ninguén pode obtelos nin deducilos.

Obrigatoriedade de modificar a clave de acceso no primeiro acceso: para previr a suplantación do usuario, na túa primeira conexión a O BBVA Empresas, se che require que modifiques a túa clave de acceso.

Bloqueo de usuarios:

  • O erro na introdución do usuario ou a clave necesaria para a activación de O BBVA Empresas de forma repetida, provoca o bloqueo da súa conta, que non poderá ser activada ata que BBVA non xere unha nova clave de activación.
  • No caso da clave de acceso, tras varios intentos frustrados o usuario queda bloqueado.
  • O erro na introdución do código de seguridade xerada polo seu dispositivo de seguridade cinco veces seguidas, provoca o bloqueo do token en O BBVA Empresas.
  • O Xestor de Usuarios ten autonomía para bloquear o acceso ou dar de baixa aos usuarios da súa entidade, de xeito que, ante calquera baixa dun empregado, o acceso pode ser inmediatamente revogado.

4. Identificación e autenticación:

Rastrexabilidade das transaccións: os accesos e transaccións realizadas quedan reflectidas en rexistros de operacións automatizados que recollen a operación efectuada, a data e hora desta e o usuario que a executou, permitindo determinar a validez das operacións rexistradas.

Información da última conexión:

  • Se o usuario entra por primeira vez, BBVA Empresas se o indicará.
  • En sucesivos accesos, BBVA Net Cash mostrará ao usuario a data e a hora da súa última conexión.

Cookies só activas durante a sesión: as cookies que se colocan no sistema operativo do usuario, necesarias para a navegación de xeito seguro por calquera páxina web, están activas só durante a conexión a O BBVA Empresas e son borradas cando o usuario se desconecta da aplicación.

Desconexión automática da sesión: como medida adicional de seguridade en O BBVA Empresas, aos 5 minutos de inactividade ou aos 60 de sesión, procédese a finalizar a sesión do usuario e desconectaro do sistema.

A tecnoloxía

1. Confidencialidade e integridade

De todas as credenciais de usuario:

  • Todas as claves operativas de usuarios almacénanse cifradas irreversiblemente en sistemas especializados de xestión de usuarios e identidades, de xeito que ninguén pode obtelas ou deducilas.
  • Os procedementos operativos de O BBVA non requiren que ninguén no banco dispoña das claves operativas dos seus clientes, polo que ninguén coñéceas nin chas solicitará persoalmente.

Das comunicacións :

  • As comunicacións dos servizos transaccionais e de banca a distancia do BBVA cífranse mediante protocolo SSL para preservar a confidencialidade e integridade das comunicacións por Internet.
  • Adicionalmente, as comunicacións sensibles que teñen lugar nas redes internas do BBVA encóntranse axeitadamente protexidas segundo o contorno operativo e o protocolo utilizado.

Da información :

  • A información almacenada nos sistemas e bases de datos internas encóntrase protexida mediante diferentes sistemas de seguridade permitindo o acceso unicamente aos empregados autorizados.
  • O BBVA dispón dun sistema automatizado de xestión de privilexios de acceso á información que garante o acceso controlado e restrinxido ao persoal autorizado.
  • En O BBVA, a protección dos datos é unha das nosas principais prioridades. Por esta razón, garantimos que a información persoal trátase de acordo coa lexislación vixente en materia de protección de datos. Ademais, contamos con medidas de seguridade que garanten a privacidade de calquera intercambio de información entre o cliente e o banco.

2. Seguridade física dos centros de procesamento de datos

Os centros de procesamento de datos do BBVA están dotados de amplas medidas de seguridade física para a protección dos sistemas de procesamento de datos, destacando, entre outras, as seguintes:

  • CPD Tier IV Gold en sostibilidade operativa.
  • Control de accesos individualizado ao recinto e ás diferentes salas técnicas, dotados de sistemas de detección de elementos perigosos.
  • Equipos humanos de vixilancia física e videovixilancia do perímetro e o interior das instalacións en réxime de 24x7.
  • Sistemas de detección e protección específicos ante intrusión, incendio, inundación, corte de subministracións e outros eventos catastróficos.

Ademais, ao dispor de dous centros de procesamento de datos plenamente operativos, o BBVA garante a salvagarda e recuperación da información, no caso de que fose necesario.

3. Monitorización

BBVA conta con sistemas de monitorización operada por un equipo de especialistas en réxime de 24x7 para a detección de posibles fraudes. Se detectamos algunha operación sospeitosa porémonos en contacto contigo para confirmaro. 

Medidas para o usuario

Protección das credenciais 

  • Utiliza claves complexas e difíciles de indagar que conteñan maiúsculas, minúsculas e números intercalados.
  • Os contrasinais son secretos; non compártalas con ninguén e cambiaas de forma periódica.
  • Non apuntes os teus contrasinais en pósits ou cadernos; memorizaas ou utiliza xestores de contrasinais especializados.
  • En ordenadores compartidos ou conectados a redes wifi públicas, non introduzas as túas credenciais de acceso en ningún servizo en liña nin facilites datos persoais, como enderezo postal, teléfono, etc.
  • Evita introducir os teus datos persoais nunha páxina web á que accediches a través dun correo. No caso de que a coñezas, é preferible que accedas a ela tecleando o enderezo no navegador.
  • Non utilices a opción de “autocompletar contrasinais” do teu navegador. Se está habilitada, os contrasinais que introduces nunha páxina web quedan almacenadas no ordenador e, cando volves introducir o teu usuario, o campo de clave se rechea automaticamente. Esta opción nun ordenador de uso compartido pode provocar que alguén utilice as túas claves persoais.
  • Recuerda que BBVA nunca che solicitará a túa información bancaria por correo electrónico ou SMS, así que non debes proporcionar información bancaria por ningún sistema de comunicación, incluíndo os emails personalizados con logo BBVA copiado, as caixas de correo e as SMS onde o emisor aparenta ser BBVA, chamadas telefónicas en que o interlocutor aparenta ser empregado de O BBVA, etc.).
  • En caso de recibir unha mensaxe solicitandoche as túas claves persoais, non facilites ningún dato e ponche inmediatamente en contacto co servizo de atención ao cliente de O BBVA Empresas: 91 224 98 02 

Protección dos dispositivos

  • Reforza a seguridade dos teus dispositivos, xa sexa o teu ordenador persoal ou o teu teléfono móbil, e mantén actualizados o sistema operativo, o navegador e as aplicacións. Esta combinación pode evitarche moitos problemas económicos.
  • Instala e mantén actualizado un programa antimalware. Así mesmo, recomendámosche verificar os documentos recibidos desde o exterior cun programa antivirus, que tamén debe estar sempre actualizado e en funcionamento.
  • Realiza periodicamente copias de seguridade (backup) dos teus arquivos; esta práctica permitiríache recuperaros se non puideses ter acceso a eles por un fallo no dispositivo ou por causa intencional (por exemplo, por un ataque de ransomware).
  • Non conectes ningún dispositivo externo de orixe dubidosa ou descoñecida, como un pendrive ou un disco duro, nos teus dispositivos.
  • Descarga programas e aplicacións unicamente de sitios oficiais.
  • Configura un patrón de desbloqueo ou activa o acceso con contrasinal nos teus dispositivos (teléfonos móbiles, tablets PC, portátiles, etc.) para evitar que un terceiro poida acceder a eles.

Navegación segura por internet

  • Revisa ben o URL das páxinas web ás que accedas e asegurache de que comezan sempre por https.
  • Outra indicación de que o servidor é seguro é a presenza dun cadeado cerrado (en vez de aberto como en calquera servidor non seguro) na barra de navegación.
  • Podes comprobar os certificados de seguridade da páxina en que che encontras pulsando na icona do cadeado para verificar que a data de caducidade e o dominio do certificado están vixentes. Na información de detalle aparece o emisor (Verisign), o período de validez e para quen emitiuse o certificado (BBVA).
  • Revisa as túas contas periodicamente para ter controlados os movementos que se realizan nelas e o total acumulado. Se ves algunha operación que non recoñeces, ponche inmediatamente en contacto con atención ao cliente (ou co teu xestor) para solucionaro.

Ataques informáticos

Un tipo específico de ataque dirixido ás empresas é a denominada «Fraude ao CEO». Trátase dunha estafa realizada a través de correo electrónico en que un ciberdelincuente suplanta a un directivo dunha entidade para solicitar a un empregado do departamento financeiro que realice unha transferencia confidencial e urxente. 

Como medidas de seguridade adicional ás anteriores aconsellámosche:

  • Contactar, vía telefónica ou outra canle, co remitente para confirmar que realmente foi el quen solicitou a operación, pero non fágalo respondendo ao correo recibido.
  • Non publicar enderezos de correo electrónico corporativos na internet nin compartiras con persoas que non sexan da túa confianza. 
  • Non compartir información relativa ao organigrama da túa empresa con terceiros.

Se queres ampliar información sobre este e outros tipos de ataques informáticos e como podes protexerche deles, dirixeche á nosa sección de Ataques informáticos.