Sikkerhed
DiBa lægger stor vægt på, at sikkerheden i Webbank er i orden og sørger hele tiden for at sikre Webbank mest muligt. Vi opfylder naturligvis også Finansrådets krav til sikkerhed i home banking systemer.
Vi har dog ikke mulighed for at sikre den enkelte pc - det er dit ansvar.
På www.opdaterdinpc.dk kan du finde en masse gode råd til hvordan du sikrer din pc bedst muligt. Siden er absolut et besøg værd...!
Du kan også på denne side se flere gode råd til, hvad du selv kan gøre:
- Gode råd om sikkerhed generelt.
- Gode råd om internetprogram og styresystem.
- Gode råd om antivirusprogrammer.
- Gode råd om spyware.
- Gode råd om e-mail.
- Gode råd om firewall.
- Gode råd om sikkerhed i trådløse netværk.
- Gode links om sikkerhed.
Læs herunder, hvad vi gør for sikkerheden i Webbank:
Teknisk sikkerhed - de 6 sikkerhedselementer
Den tekniske sikkerhed i Webbank er primært bygget op omkring seks sikkerhedselementer:
- Din identifikation af hvem der har afsendt data til dig.
- Hemmeligholdelse af data via kryptering.
- Sikkerhed mod ændring af data.
- Digital signatur ved logon og ved indsendelse af økonomisk forpligtende transaktioner.
- Nedlukning efter ubenyttet brug.
- Politik for beskyttelse af personlige oplysninger (P3P).
Din identifikation af hvem du kommunikerer med
For at sikre, at de afsendte data kommer fra Bankernes EDB-central (BEC) er kommunikationen certificeret. Certifikatet viser, hvem der kommunikeres med og indeholder bl.a. oplysninger om:
- Certifikatudsteder. Her benyttes VeriSign og Equifax, der er internationale og anerkendte virksomheder med speciale i udstedelse af certifikater.
- Hvem certifikatet er udstedt til. I dette tilfælde BEC.
- Udløbsdato.
Møder din browser et program, der er underskrevet med et certifikat af VeriSign eller Equifax, kan browseren ved hjælp af digital signatur identificere, at den afsendte kode kommer fra BEC og ikke er blevet ændret undervejs.
Afhængig af indstillingerne for sikkerhed i din browser vil du, når du starter Webbank, blive præsenteret for et ekstra vindue. I dette vindue kan du sikre dig, at programmet kommer fra BEC. Du kan også vælge, at denne meddelelse ikke skal vises ved opstart af programmet fremover - uden at der slækkes på sikkerheden. Meddelelsen bliver blot skjult i de tilfælde, hvor browseren er sikker på, at programmet kommer fra BEC.
Det er en god idé jævnligt at kontrollere certifikatet for at se, hvor programmet er fra. Det er forskelligt, hvordan det gøres i de forskellige browserversioner, men du kan her hente hjælp til kontrollen i MS Internet Explorer. Ellers benyt din browsers hjælpefunktion.
Vi vil anbefale, at du ikke indtaster brugernummer og adgangskode, før du er sikker på, at programmet kommer fra BEC.
Hemmeligholdelse af data via kryptering
Ved kryptering bliver de ellers læsbare data forvansket, så de ikke kan rekonstrueres. Dette bruges, når man skal sende følsomme data, f.eks. over Internettet.
Når du modtager eller sender data, benyttes en sikker transportvej, der er krypteret med en anerkendt krypteringsalgoritme (SSL). Webbank anvender den for tiden stærkeste kryptering med nøgler på 128 bit.
Styrken af krypteringen bliver dog i sidste ende afgjort af din browser. Hvis din browser er af ældre version, vil krypteringen kun ske med nøgler på for eksempel 56 bit. Du kan se den aktuelle krypteringsgrad for din browser under menupunktet "hjælp" og dernæst vælge "Om programmet".
I Webbank er der yderligere indbygget en mekanisme, der skifter nøglerne for hver transaktion.
Sikkerhed mod ændring af data
For hver sendt transaktion beregnes en checksum, der giver en unik værdi for nøjagtigt den mængde data, som skal transmitteres. Den samme beregning bliver foretaget i bankens centrale systemer. Er resultatet det samme, når dataene når frem, er der sikkerhed for, at ingen har ændret data undervejs via Internettet.
Digital signatur ved logon og økonomisk forpligtende transaktioner
Den finansielle sektor har besluttet, at økonomisk forpligtende transaktioner (f.eks. betaling af indbetalingskort eller overførsler til andres konti) yderligere skal forsynes med digital signatur. Dette er endnu en sikkerhedsmekanisme for at sikre, at data ikke bliver opsnappet, læst eller ændret.
Når man anvender digital signatur, kan man efterfølgende bevise, hvem der har indsendt transaktionen og hvad der er skrevet under på.
Når du logger på systemet første gang og indsender PIN-koden, som du har modtaget fra banken, danner programmet en krypteringsnøgle, som lægges på din PC i en underskriftsfil. Det er denne krypteringsnøgle, som benyttes til dannelse af den digitale signatur, og der er kun adgang til krypteringsnøglen ved hjælp af den personlige underskriftskode, som du selv skal danne første gang, du logger på Webbank. Det er vigtigt, at din underskriftskode forbliver i din varetægt og ikke kendes af andre. Det sikrer, at den digitale signatur kun kan afgives af dig. Skulle nogle forsøge at bryde din underskriftskode, vil den digitale signatur bliver spærret efter tre forgæves forsøg.
Krypteringsnøglen og din hemmelige underskriftskode forbliver på din PC, når der udføres økonomisk forpligtende transaktioner. Det er kun selve den digitale signatur, som bygger på krypteringsnøglen, der sendes over Internettet.
Yderligere sikkerhed
Ud over ovennævnte er der indbygget en yderligere sikkerhedsmekanisme:
- Benytter du ikke programmet, vil det efter 15 minutter afslutte og returnere til velkomstvinduet.
Det betyder, at risikoen for misbrug reduceres, hvis du eksempelvis forlader computeren uden at afslutte programmet.
I Webbank under menupunktet "Brugerfunktioner" og herefter funktionen "Tidspunkter for log på" har du mulighed for at se, hvornår du sidst har været logget på Webbank. Du får oplysninger om dato og tidspunkt for de seneste gennemførte log på. Der vises maksimalt de seneste 50 pålogninger. Du kan også søge på et bestemt datointerval, indenfor de seneste 50 pålogninger.
På denne måde kan du altid tjekke, at det kun er dig selv, som har anvendt din Webbank. Dvs. at ingen uretmæssigt har tiltvunget sig adgang til Webbank.
Politik for beskyttelse af personlige oplysninger (P3P)
Webbank anvender cookies til bl.a. at huske brugernummer og placering af underskriftsfil. Det kan give problemer for kunder, som anvender en browser, der er sat op til som standard ikke at acceptere 3. parts cookies (f.eks. Internet Explorer 6.0). Kunden skal derfor tilføje vores edb-central BEC som sikkert websted i sin browser, og det kan give problemer.
Problemet løses med en P3P løsning. Vores edb-central har udarbejdet en politik for beskyttelse af personlige oplysninger (officielt kaldet P3P). Her oplyses, hvem BEC er, hvad BEC opsamler og til hvem BEC videregiver oplysninger. Derved kan browseren tillade, at der oprettes en 3. parts cookie, uden at der ændres i browseren (når browserens standardopsætning anvendes).
P3P-løsningen består af tre dele:
- En teknisk fortrolighedspolitik som udelukkende kan læses af browseren. De valg, BEC har foretaget i denne tekniske del af politikken, betyder, at browseren vurderer, at BEC er et sikkert websted og derfor vil tillade at oprette cookies.
- En direkte oversættelse af den tekniske politik, som du kan åbne og læse inde fra browseren. Denne politik kan BEC ikke selv formulere, da det er browserens direkte oversættelse af den tekniske politik, afhængigt af de valg BEC har foretaget i denne.
- En uddybende fortrolighedspolitik, som BEC selv har udarbejdet. Denne politik kan du se og læse inde fra browseren.
For at læse politikkerne skal du gøre følgende:
- Start Webbank.
- I browserens menu vælges Vis, Webside med politik om beskyttelse af personlige oplysninger.
- I den viste liste over adresser vælges en af adresserne som starter med https:/web45.prod.bec.dk...
- Klik på knappen Resume.
Nu vises dette skærmbillede:
Erklæring 1 - 3 er browserens direkte oversættelse af den tekniske politik. Du kan få vist BECs uddybende politik ved at klikke på linket BEC.
Nederst i skærmbilledet kan du se, at politikken tillader, at BEC må bruge cookies.
