Conseils de sécurité

Le service

1. Administration des utilisateurs :

BBVA Net Cash est une application multi-utilisateur. Il existe différents profils d'utilisateurs qu'une entreprise peut attribuer à ses collaborateurs en fonction de sa structure opérationnelle.

Un profil spécifique, l'administrateur, définit et gère les utilisateurs de l'entreprise dans BBVA Net Cash. Il peut y avoir un ou plusieurs administrateurs et différents niveaux de délégation (sans pouvoir ou avec pouvoir solidaire ou conjoint). Chaque utilisateur se voit attribuer un profil défini avec un niveau de détail maximal.

Pour l'autorisation d'opérations, les possibilités sont :

• Sans pouvoir : l'utilisateur ne peut pas autoriser d'opérations.
• Avec pouvoir : le pouvoir peut être solidaire ou conjoint.
• Auditeur : il peut empêcher les opérations, y compris les ordres signés, tant qu'elles n'ont pas reçu son autorisation.

Cette structure permet au circuit utilisateur d'être aussi restrictif que le souhaite l'entreprise, afin de garantir à tout moment que chacun d'entre eux :

• accède uniquement aux services et aux comptes établis par l'administrateur.
• ne peut exécuter que les requêtes et les opérations autorisées par l'administrateur.
• a ou non le pouvoir d'autoriser des opérations.
• dispose d'une limite monétaire en fonction de l'opération et du compte, ainsi que défini par l'administrateur.
• Si vous êtes administrateur, et uniquement dans ce cas, vous pouvez consulter, en plus de votre profil, la relation des utilisateurs définis dans votre entité, leur profil, leur accès aux services et les pouvoirs qui leur sont attribués.

2. Contrôle d'activité :

Les utilisateurs peuvent assurer un suivi des opérations de l'entité BBVA Net cash via :

• Le module de « Statistiques » (Signatures et fichiers : Statistiques) : consultation des opérations effectuées sur une période déterminée.
• L'« Audit d'ordre » (Signatures et fichiers : Signature et suivi de fichiers) : contrôle de l'activité des opérations de chaque utilisateur de l'entité.
• L'« Audit des utilisateurs » (Administration : Audit) : reflète les actions que chaque administrateur a effectuées au sein du circuit des utilisateurs.

3. Identifiants d'utilisateur :

BBVA Net cash intègre le double facteur de sécurité qui consiste essentiellement en l'incorporation d'un dispositif, token, pour la validation au sein du circuit des utilisateurs et la signature des opérations. De cette manière, le système vous demandera de saisir le code de sécurité à six chiffres (à usage unique) généré par l’appareil. Cet appareil peut être physique ou installé sur votre téléphone portable (via le téléchargement de l'application BBVA Net cash).

• Les mots de passe n'ont pas de date d'expiration, mais nous vous recommandons de les modifier tous les mois.
• La clé d'accès comporte 8 caractères alphanumériques, ce qui la rend difficile à deviner par des tiers qui tenteraient de tester différentes possibilités.
• Les mots de passe sont enregistrés avec un chiffrement irréversible dans des systèmes spécialisés de gestion des utilisateurs et des identités afin que personne ne puisse les obtenir ou les deviner.

Modification obligatoire du mot de passe lors du premier accès : pour éviter l'usurpation d'identité de l'utilisateur, lors de votre première connexion à BBVA Net Cash, vous devez modifier votre mot de passe.

Verrouillage des utilisateurs :

• en cas d'erreur lors de la saisie de l’identifiant ou de la clé d’activation cinq fois de suite, la référence est bloquée dans BBVA Net cash et peut pas être activée tant que BBVA n’a pas généré une nouvelle clé d’activation.
• Dans le cas du mot de passe, l'utilisateur est bloqué après trois tentatives infructueuses.
• Une erreur lors de la saisie du code de sécurité généré par votre périphérique de sécurité cinq fois de suite entraîne le blocage de l'utilisateur dans BBVA Net cash.
• L’administrateur des utilisateurs a le pouvoir de bloquer l’accès aux utilisateurs de son entité, de façon à pouvoir immédiatement révoquer l'accès d'un collaborateur qui quitte l'entreprise.

4. Identification et authentification :

Traçabilité des transactions : les accès et les transactions effectuées sont reflétés dans les registres des opérations automatisées qui enregistrent l’opération effectuée, la date et l’heure de celle-ci ainsi que l’utilisateur qui l’a exécutée, ce qui permet de déterminer la validité des opérations enregistrées.

Informations sur la dernière connexion :

• Si l’utilisateur se connecte pour la première fois, BBVA Net cash le précisera.
• Lors des accès suivants, BBVA Net cash indiquera à l'utilisateur la date et l'heure de sa dernière connexion.

Cookies actifs uniquement pendant la session : les cookies installés dans le système d'exploitation de l'utilisateur, nécessaires à la navigation en toute sécurité sur une page Web, ne sont actifs que lors de la connexion à BBVA Net Cash et sont supprimés lorsque l'utilisateur se déconnecte de l'application.

Déconnexion automatique de la session : par mesure de sécurité supplémentaire, la session de l'utilisateur est fermée après 10 minutes d'inactivité, et celui-ci est déconnecté du système.

5. Conformité réglementaire avec les réglementations nationales et internationales :

tous les services de BBVA respectent les règles et réglementations des pays dans lesquels l'entreprise opère. L'engagement de BBVA à l'égard de ces réglementations se reflète dans le Code de Conduite, auquel tous les collaborateurs doivent se conformer.

La technologie

1. Confidentialité et intégrité

De tous les identifiants utilisateur :

• Toutes les clés opérationnelles des utilisateurs sont enregistrées avec un chiffrement irréversible dans des systèmes spécialisés de gestion des utilisateurs et des identités afin que personne ne puisse les obtenir ou les deviner.
• Les procédures opérationnelles de BBVA ne nécessitent pas que les membres du personnel de la banque possèdent les clés opérationnelles de ses clients. Par conséquent, personne ne les connaît ni ne viendra à les demander personnellement.

Des communications :

• Les communications des services transactionnels et de banque à distance de BBVA sont chiffrées à l'aide du protocole SSL, afin de préserver la confidentialité et l'intégrité des communications sur Internet.
• Les certificats utilisés par BBVA pour fournir ce service sont générés par Verisign Inc.
• Par ailleurs, les communications sensibles qui ont lieu sur les réseaux internes de BBVA sont correctement protégées en fonction de l'environnement d'exploitation et du protocole utilisé.

Des informations :

• Les informations stockées dans les systèmes et bases de données internes sont protégées par différents systèmes de sécurité pour n'en permettre l’accès qu'aux collaborateurs autorisés.
• BBVA dispose d’un système automatisé de gestion des privilèges d'accès aux informations qui garantit un accès contrôlé et restreint au personnel autorisé.

2. Sécurité physique des Centres de Traitement de Données

Les centres de traitement de données de BBVA sont dotés de mesures de sécurité physique extensives pour la protection des systèmes de traitement de données, grâce, entre autres, aux éléments suivants :

• CPD Tier IV Gold en durabilité opérationnelle.
• Contrôle d'accès individualisé à l'enceinte et aux différents locaux techniques, avec des systèmes de détection d'éléments dangereux.
• Équipes humaines de surveillance physique et de surveillance vidéo du périmètre et de l'intérieur des installations, 24h/24, 7j/7.
• Systèmes de détection et de protection spécifiques contre les intrusions, les incendies, les inondations, les coupures de courant et autres catastrophes.

En outre, BBVA possède deux centres de traitement de données pleinement opérationnels et garantit donc la sauvegarde et la récupération des informations, si nécessaire.

3. Architecture de sécurité :

Afin de garantir une sécurité maximale dans la conception de ses systèmes, BBVA a mis en place une architecture de sécurité spécifique, en particulier pour ceux qui fournissent des services à leurs clients via Internet.

En l'occurrence, afin de minimiser le niveau d'exposition à Internet, seule la couche de présentation (qui effectue les fonctions d'authentification d'utilisateur, d'autorisation d'accès aux applications Web et de contrôle de session sécurisé) est exposée au moyen d'un proxy de sécurité inversé.

4. Systèmes de protection spécifiques :

Pare-feux et systèmes antivirus et anti-intrusion mis à jour en permanence :

• BBVA effectue une ségrégation de ses réseaux et systèmes avec différents niveaux de pare-feu.
• En outre, les systèmes internes de BBVA sont protégés en permanence par des systèmes anti-malware et de détection d'intrusion.
• Ces deux types de systèmes sont gérés 24h/24, 7j/7 et sont constamment mis à jour, ce qui permet d'éviter de nouvelles menaces de manière permanente.
• Tous les systèmes de surveillance, d'alerte et de sécurité contre les fraudes sont surveillés et supervisés par une équipe de spécialistes 24h/24, 7j/7 et 365 jours par an dans les installations du centre de traitement des données.

Journaux d'activité de tous les composants : Dans ses systèmes et applications de banque à distance, BBVA possède des journaux d’événements (logs) pour tous les composants critiques, qui prennent en charge les services de détection des tentatives de fraude et d’analyse légale d’activités ou d’activités suspectes ou signalées comme frauduleuses.

Examen périodique du service avec les dernières techniques d'attaque : Les systèmes qui prennent en charge les services bancaires à distance sont régulièrement examinés à l'aide d'outils d'analyse de vulnérabilité.

Audits internes et externes : Les systèmes et processus de BBVA sont soumis à des audits de sécurité périodiques effectués à la fois par le service d'audit indépendant et par des audits externes spécifiques ou associés à des audits financiers ou de conformité.

Protection des identifiants de l'utilisateur

• Utilisez des mots de passe complexes et difficiles à deviner, contenant un mélange de majuscules, de minuscules, de chiffres et de symboles.
• Ne communiquez vos mots de passe à personne. Les mots de passe sont secrets et seul leur propriétaire doit les connaître pour pouvoir les utiliser.
• N'écrivez jamais vos mots de passe sur un post-it ou un carnet ; mémorisez-les ou utilisez des gestionnaires de mots de passe spécialisés. Vous pouvez trouver des programmes gratuits de ce type sur www.osi.es.
• Désactivez l'option d'enregistrement du mot de passe de votre navigateur. Il est plus sûr de le saisir à chaque fois que vous accédez au site.
• Changez vos mots de passe régulièrement. Si vous pensez que quelqu'un a pu avoir accès à votre mot de passe d'accès, modifiez-le dès que possible.
• N'utilisez pas le même mot de passe pour différents services (e-mail, evernote, autres banques…).
• Votre dispositif physique de sécurité est personnel et incessible.
• Si vous recevez un message vous demandant vos clés personnelles, ne communiquez aucune information et contactez immédiatement le service clientèle de BBVA Net cash.

Protection de votre ordinateur

• Assurez-vous que votre système d'exploitation et la version de votre navigateur sont régulièrement mis à jour avec les correctifs adaptés, afin de le protéger des éventuels failles de sécurité ou erreurs détectées.
• Configurez votre appareil et tous vos logiciels avec les niveaux de sécurité les plus élevés possibles.
• Installez un pare-feu et assurez-vous qu'il soit à jour et actif en permanence.
• Installez des programmes anti-malware et assurez-vous qu'ils soient à jour et actifs en permanence. Scannez à l'aide de votre antivirus les documents que vous recevez de l'extérieur.
• Procédez à des sauvegardes régulières de vos fichiers.
• Évitez de télécharger des éléments depuis des pages Web inconnues, car ils peuvent contenir des virus ou des composants espions.
• Ne connectez aucun appareil externe (clés USB, disques durs ou téléphones portables d'inconnus) d’origine douteuse sur vos appareils.
• Nettoyez régulièrement les cookies et les fichiers temporaires.
• Téléchargez des programmes et des applications uniquement à partir de sites officiels.
• Configurez un schéma de déverrouillage sur vos téléphones mobiles et vos tablettes, de manière à ce qu'aucun tiers ne puisse y accéder.

Pratiques sécurisées d'accès à Internet et de navigation

• Sur un ordinateur partagé ou connecté à un réseau Wi-Fi public, n’accédez pas aux pages qui nécessitent de saisir un identifiant et un mot de passe. de ne fournir aucune information personnelle (adresse postale, numéro de téléphone, etc.)
• Évitez de vous connecter à des pages au contenu privé depuis un ordinateur public.
• Si vous devez saisir vos identifiants, vérifiez que l'adresse du serveur (URL) commence par https : cela indique que vous accédez à un serveur sécurisé.
• La présence d'un cadenas fermé (plutôt qu'ouvert comme sur un serveur non sécurisé) situé à droite ou à gauche de l'adresse (URL) est également un signe que le serveur est sécurisé.
• Contrôlez les certificats de sécurité de la page sur laquelle vous vous trouvez en cliquant sur l'icône du cadenas qui apparaît quand vous accédez à une zone sécurisée, ou sur le certificat dans la barre de navigation, et vérifiez que la date d'expiration et le domaine du certificat sont toujours en vigueur. Parmi les informations détaillées, vous trouverez l'émetteur (Verisign), la période de validité et l'entité pour laquelle le certificat a été émis (BBVA).
• N'utilisez pas l'option « saisie automatique des mots de passe » de votre navigateur. Si cette option est activée, les mots de passe que vous entrez sur la page Web sont stockés sur l'ordinateur et, lorsque vous saisissez de nouveau votre identifiant, le champ du mot de passe se remplit automatiquement. Sur un ordinateur partagé, cela peut permettre à un tiers d'utiliser vos clés personnelles.
• Vérifiez la date et l'heure de la dernière connexion.
• Pour mettre fin à votre session sur BBVA Net cash en toute sécurité, utilisez le bouton « Quitter » qui apparaît en haut à droite de l'écran.