Bezpieczeństwo w ING Business

Szyfrowane połączenie internetowe

Komunikacja pomiędzy Twoim komputerem a serwerem banku szyfrowana jest protokołem TLS.
Stosujemy certyfikaty Extender Validation (EV) o długości klucza 2048. Certyfikaty te:

• są obsługiwane przez najnowsze przeglądarki, np. Internet Explorer 11, Mozilla Firefox (3 ostatnie wersje), Google Chrome (3 ostatnie wersje).
• gwarantują bezpieczne szyfrowanie danych, zabezpieczając je przed zmianami dokonywanymi z zewnątrz i uwierzytelniając komputery komunikujące się ze sobą.
• są wystawiane wyłącznie zaufanym instytucjom. Ich uzyskanie wiąże się z bardzo dokładną weryfikacją firmy ubiegającej się o jego przyznanie.

Dowiedz się jak sprawdzić certyfikat >

Weryfikacja behawioralna

Analizujemy Twoje zachowania. Na ich podstawie zbudujemy Twój profil behawioralny, na który będą reagować nasze systemy bezpieczeństwa. Nawet, gdy oszuści wyłudzą od Ciebie Twoje dane do bankowości i zalogują się na konto, mamy szansę zapobiec kradzieży Twoich pieniędzy.

ING Business oferuje 2 alternatywne metody logowania i autoryzacji zleceń:

Metoda oparta o login, hasło i kody SMS

• Podczas logowania musisz podać login i swoje hasło.
• Nasz system ocenia, czy logowanie (lub inna czynność, którą robisz systemie) wymaga potwierdzenia jednorazowym kodem autoryzacyjnym.
• Jeśli tak, przed wykonaniem operacji prześlemy Ci SMS – zwróć uwagę na daty i szczegóły operacji w nim zaprezentowane. Jeśli dane są prawidłowe, wprowadź kod autoryzacyjny do przeglądarki.
• Kody SMS wysyłamy na numer telefonu komórkowego, podany w systemie dla Twojego użytkownika.
• Przesyłane informacje są szyfrowane za pomocą algorytmu RSA.

Udogodnienia dla użytkowników aplikacji mobilnej

Jeśli korzystasz z aplikacji mobilnej (i logujesz się do systemu przy pomocy loginu, hasła i SMS), możesz logować się do systemu przy jej pomocy. Logowanie inicjujesz jak zwykle, podając login w oknie przeglądarki, ale zamiast wprowadzać znaki hasła maskowanego, możesz dokończyć je w aplikacji: wpisując PIN, przykładając odcisk palca lub korzystając z Face ID.

Metoda oparta o certyfikat

• Do zalogowania wykorzystujesz hasło i token z wgranym certyfikatem.
• Podczas logowania i korzystania z systemu token musi być umieszczony w porcie USB.
• Przesyłane informacje są szyfrowane za pomocą algorytmu RSA.

Zaawansowany system uprawnień

Stworzysz politykę bezpieczeństwa dopasowaną do potrzeb Twojej firmy:

• Dodajesz i usuwasz użytkowników.
• Dostosowujesz uprawnienia w systemie do roli pracowników w firmie.
• Jeśli np. chcesz, by użytkownicy korzystali z systemu tylko w miejscu pracy, możesz określić adresy IP, z których będą mogli się logować.
• Jeśli chciałbyś, by użytkownicy korzystali z systemu wyłącznie w godzinach pracy firmy, możesz określić konkretne dni i godziny w których można korzystać z systemu.
• W przypadku nieobecności użytkownika możesz nadać jego uprawnienia innej osobie.
• Decydujesz, kto może podpisywać i akceptować wnioski i dyspozycje online – wykorzystujesz funkcję wielopodpisu.
• Wybrane wnioski i dyspozycje mogą podpisać także inni, uprawnieni użytkownicy – to duże ułatwienie w przypadku niedostępności reprezentantów firmy.

Większość wniosków o zmiany dotyczące dostępu do systemu oraz uprawnień realizujemy online, w czasie rzeczywistym.

Dane do logowania

• Nigdy nie udostępniaj osobom trzecim swojego loginu, hasła, PIN-u do aplikacji lub kodów autoryzacyjnych.
• Nie podawaj tych danych na stronach innych niż banku.

Logujesz się biometrycznie?

Pamiętaj, że jeśli dodasz odcisk palca lub rozpoznawanie twarzy osób trzecich na swoim urządzeniu, umożliwisz im dostęp do swojego konta bankowego. Stanie się tak jeśli do aplikacji i telefonu logujesz się biometrycznie.

SMS-y

Nie klikaj w linki w SMS-ach. Uważaj na prośby o uregulowanie płatności – nawet jeśli dotyczą drobnych kwot. Linki z tych SMS-ów mogą prowadzić do fałszywych stron.

Podejrzane maile i SMS-y

Nie otwieraj mejli od nieznanych nadawców, a zwłaszcza plików i linków załączonych do podejrzanych mejli. Załączniki mogą zawierać złośliwe oprogramowanie.

SMS-y z banku

• Nasz system ocenia, czy czynność którą chcesz wykonać wymaga potwierdzenia jednorazowym kodem autoryzacyjnym. Jeśli tak, przed wykonaniem operacji prześlemy Ci SMS – zwróć uwagę na daty i szczegóły operacji w nim zaprezentowane. Jeśli dane są prawidłowe, wprowadź kod autoryzacyjny do przeglądarki.
• Kody SMS wysyłamy na numer telefonu komórkowego, podany w systemie ING Business dla Twojego użytkownika.

Pamiętaj o zasadach bezpieczeństwa

• Nie wysyłamy SMS-ów, mejli z prośbą o zalogowanie lub podanie danych prywatnych.
• Nasi pracownicy nigdy nie proszą o podanie hasła do bankowości. Jedynym miejscem, gdzie je podajesz, jest strona logowania do ING Business. Dotyczy to również kodu SMS. Wyjątkiem jest sytuacja, kiedy to Ty dzwonisz do banku - wtedy możemy poprosić Cię o podanie kodu uwierzytelniającego. 
• Czytaj dokładnie treści SMS-ów, jakie otrzymujesz z banku. Zwróć uwagę na nietypowe zapisy adresu naszej strony.
• Nie prosimy Cię o zmianę, ani nie wysyłamy Ci nowych danych logowania bez wcześniejszego poinformowania Cię o tym w ING Business.

Jak mogą działać oszuści

Oszuści dzwonią do naszych klientów i podają się za pracownika banku. Twierdzą, że po ostatniej awarii banku trzeba zabezpieczyć dostęp do systemu. Wysyłają SMS z linkiem, który prowadzi do fałszywej strony, bardzo podobnej do strony ING. 

Instalowanie oprogramowania

Nie instaluj oprogramowania na komputerze lub telefonie z niezaufanych źródeł.

Takie aplikacje mogą m.in. wykradać Twoje dane do logowania i SMS-y autoryzacyjne. Jak się to odbywa? Gdy będziesz logować się do banku, złośliwa aplikacja wyświetli Ci fałszywy ekran logowania. Przestępcy pozyskają w ten sposób Twój login i hasło.

Strona do logowania

Zachowaj czujność – możesz paść ofiarą wyłudzania danych do logowania i narazić firmę na utratę pieniędzy. Zanim wpiszesz login i hasło koniecznie sprawdź, czy jesteś stronie logowania do ING Business.

Jak rozpoznać, że jesteś na bezpiecznej stronie logowania do ING Business?

Sprawdź, czy adres widoczny w pasku w oknie przeglądarki to:

• https://ingbusiness.pl/gib/login dla metody login i hasło
• https://login.ingbusiness.pl dla metody eToken/karta Najlepiej loguj się za pośrednictwem naszego serwisu internetowego ing.pl i korzystaj z opcji Zaloguj w prawym górnym rogu ekranu.

Jak możesz trafić na fałszywą stronę?

Oszuści mogą skierować Cię na fałszywą stronę banku z różnych miejsc, np. z linka w SMS-ie, czy strony w wyszukiwarce internetowej. W czasie, kiedy podajesz dane do logowania na fałszywej stronie, oszuści tymi danymi logują się do bankowości. Zmieniają numer telefonu do autoryzacji transakcji lub ustawiają zaufanego odbiorcę. Ty autoryzujesz takie zlecenie – wpisując kod SMS na fałszywej stronie. Chwilę później złodzieje czyszczą konto z pieniędzy.

Tego nigdy nie robimy

• Nie prosimy Cię o zmianę hasła lub PIN-u do aplikacji, ani nie wysyłamy nie proszeni nowych danych do logowania bez wcześniejszego poinformowania Cię o tym w ING Business.
• Nie wysyłamy mejli z prośbą o zalogowanie lub podanie danych prywatnych, np. numeru telefonu do autoryzacji transakcji.

Antywirusy

• Korzystaj z aktualnego oprogramowania antywirusowego na komputerze i telefonie.
• Wybieraj programy działające wszechstronnie, czyli takie, które będą chronić Twoją tożsamość, transakcje internetowe, wykryją złośliwe oprogramowaniem ukryte w plikach i na stronach internetowych i wiele innych.

Bezpieczeństwo w telefonie

Pamiętaj o zasadach bezpieczeństwa:

• Chroń PIN do aplikacji Co więcej, ustaw odcisk palca – utrudnisz tym samym dostęp do telefonu.
• Uważaj na fałszywe certyfikaty bezpieczeństwa. Pamiętaj, że nie wymagamy instalowania dodatkowego oprogramowania, czy aplikacji.
• Jeśli stracisz telefon, usuń go z listy urządzeń zaufanych w ING Business.
• Aplikację ING Business pobierzesz z autoryzowanych sklepów Google Play i App Store.