Veilig elektronisch bankieren bij ABN AMRO
Veilig elektronisch bankieren bij ABN AMRO 1 Inleiding U bent of wordt gebruiker van een Electronic Banking product van de ABN AMRO Bank. Dit product is door ABN AMRO, in samenwerking met specialisten en gebruikers, met grote zorg ontwikkeld en getest. Omdat bij ABN AMRO veiligheid voorop staat, doet ABN AMRO er alles aan om ervoor te zorgen dat u veilig elektronisch kunt bankieren. Er zijn echter een aantal risico’s die buiten de invloedssfeer van ABN AMRO liggen. Door middel van deze richtlijnen biedt ABN AMRO u handvatten om deze risico’s zoveel mogelijk te vermijden. U bent er echter zelf voor verantwoordelijk de aangereikte handvatten te gebruiken. In hoofdstuk 2 worden de risico’s die u loopt en de mogelijke gevolgen hiervan beschreven. Daarna staat in hoofdstuk 3 wat ABN AMRO allemaal doet ter beveiliging. Hoofdstuk 4 is het belangrijkste hoofdstuk. Hierin wordt beschreven welke maatregelen u kunt nemen om de veiligheid te vergroten. Hoofdstuk 5 bevat de conclusie en in hoofdstuk 6 staat een woordenlijst. Mocht u constateren dat er tekortkomingen zijn in deze richtlijnen of in de beveiliging van uw pakket dan verzoeken wij u dat aan ABN AMRO te melden. Ook als u mogelijkheden ziet ter verbetering van de beveiliging of van de verschafte informatie, vernemen wij dat graag van u. Wij zullen uw suggesties dan onderzoeken en waar mogelijk verdere verbeteringen aanbrengen. U kunt altijd de laatste versie van deze richtlijnen vinden op http://www.abnamro.nl/safety. 2 Risico’s Wat voor risico’s loopt u? Zowel bij uw boekhoudpakket als bij uw Electronic Banking pakket loopt u het risico dat het pakket misbruikt wordt. Er worden twee typen risico’s onderscheiden; organisatorische- en computerrisico’s. Organisatorische risico’s ontstaan door niet-afdoende beperking van bevoegdheden in uw interne organisatie met betrekking tot het gebruik van uw Electronic Banking pakket. Computerrisico’s zijn een gevolg van het open karakter van een computer. Zo kan uw computer besmet raken met een virus of kunnen bepaalde personen zich onbevoegd toegang verschaffen tot uw gegevens. In een adequaat beveiligde omgeving zijn organisatorische en computerrisico’s niet of slechts beperkt aanwezig. Er zijn twee mogelijke gevolgen van misbruik van uw pakket: • Fraude Bij fraude gaat het erom dat gegevens in uw pakket worden aangepast waardoor uiteindelijk ongeoorloofde opdrachten naar de bank worden gestuurd. • Inbreuk op uw privacy Inbreuk op uw privacy houdt in dat personen ongewenst inzage krijgen in uw reeds verzonden of nog te verzenden opdrachten, uw rapportage (dagafschriften) of in uw actuele financiële status. Wat kunnen de gevolgen zijn? Hieronder wordt een aantal handelingen beschreven die onbevoegden zonder uw toestemming, zouden kunnen verrichten met uw Electronic Banking pakket. Bij de punten 1 t/m 4 wordt aangegeven welke middelen zij hiervoor dienen te bezitten en welke geheime wachtwoorden of codes zij dan dienen te kennen. Bij elke handeling wordt aangegeven welke gevolgen deze kan hebben: inbreuk op uw privacy, fraude of beide.
In onderstaand overzicht wordt ervan uitgegaan dat de bevoegdheden van de gebruikers in uw pakket of in uw Electronic Banking contract niet zijn beperkt. 1
Gebruik van Pakketwachtwoord Met behulp van uw pakketwachtwoord (en de bijbehorende gebruikersnaam) kan iemand: • rapportage inzien (privacy); • opdrachten aanmaken (fraude); • rapportagegegevens exporteren (privacy/fraude).
2
Gebruik van Calculator + Bankwachtwoord + Pakketwachtwoord Een persoon die zowel uw pakketwachtwoord als uw calculator en uw bankwachtwoord heeft, kan: • alles wat onder 1 staat vermeld; • rapportage ophalen van de bankserver via een communicatie-sessie (privacy); • opdrachten autoriseren & verzenden (fraude).
3
Gebruik van Smartcard + Pincode + Pakketwachtwoord Een persoon die zowel uw pakketwachtwoord als uw smartcard en de bijbehorende pincode heeft, kan: • alles wat onder 1 staat vermeld; • opdrachten autoriseren (fraude).
4
Gebruik van Smartcard + Pincode + Bankwachtwoord + Pakketwachtwoord Een persoon die uw pakketwachtwoord, uw bankwachtwoord en uw smartcard en de bijbehorende Pincode heeft, kan: • alles wat onder 1 staat vermeld; • rapportage ophalen van de bankserver via een communicatie-sessie (privacy); • opdrachten autoriseren (fraude); • opdrachten verzenden (fraude).
5
Computer-omgeving onvoldoende beveiligd Iemand die toegang heeft tot uw computer kan onder andere de volgende handelingen verrichten: • bestanden muteren (fraude); • bestanden beschadigen (fraude); • bestanden en gegevens inzien (privacy); • bestanden en gegevens kopiëren (privacy/fraude). Bij de eerste twee handelingen kunnen bestanden en/of programma’s mogelijk niet meer correct (en veilig) werken. Bij de andere twee handelingen kunnen bestanden en gegevens in handen komen van onbevoegden.
6
Organisatorische omgeving onvoldoende beveiligd Afhankelijk van de bevoegdheden en de kennis die mensen in uw directe omgeving hebben, kunnen de gevolgen genoemd onder 1 t/m 5 zich voordoen. 3 Wat doet ABN AMRO ter beveiliging?
ABN AMRO heeft allerlei maatregelen genomen om voor u het elektronisch bankieren zo veilig mogelijk te maken. Hieronder volgt een opsomming: 1
Zowel kennis als bezit zijn noodzakelijk Om bij ABN AMRO elektronisch te kunnen bankieren zijn zowel kennis als bezit nodig. • Bezit: Een beveiligingsmiddel (calculator of smartcard) is vereist; • Kennis: Een bankwachtwoord is vereist; • Kennis: Een pakketwachtwoord is vereist; • Kennis: Bij gebruik van een smartcard is een pincode vereist.
2
De ABN AMRO bankserver is beveiligd • De ABN AMRO bankserver zelf is beveiligd; • De overdracht van gegevens tussen uw pakket en de ABN AMRO bankserver is beveiligd.
3
Uw Electronic Banking pakket is beveiligd • Om toegang te krijgen tot het Electronic Banking pakket is een pakketwachtwoord vereist (of deze is in te stellen); • Het Electronic Banking pakket detecteert wijzigingen in uw opdrachtgegevens die buiten het pakket om zijn aangebracht; • De rapportage in uw Electronic Banking pakket is versleuteld (of dit is in te stellen).
4
De bevoegdheden van gebruikers kunnen beperkt worden De bevoegdheden van de gebruikers zijn op twee manieren te beperken: • Via de configuratie van uw Electronic Banking pakket; • Via het Electronic Banking contract. Zie hoofdstuk 4 voor de uitwerking van de mogelijkheden. 4 Maatregelen die u zelf kunt nemen om de risico’s te beperken
Naast de maatregelen die ABN AMRO al heeft genomen is het noodzakelijk dat u ook zelf maatregelen neemt om ervoor te zorgen dat u veilig elektronisch kunt bankieren. Hieronder worden maatregelen beschreven, die afhankelijk van uw specifieke situatie, geïmplementeerd kunnen worden. 1
Stel een persoon aan die verantwoordelijk is voor veiligheidsmaatregelen Voor een veilig gebruik van uw Electronic Banking pakket adviseren wij u minimaal één persoon aan te wijzen die verantwoordelijk is voor alle veiligheidsmaatregelen. Deze persoon (veelal zult u dat zelf zijn) wordt in deze richtlijnen aangeduid als de Hoofdgebruiker. De Hoofdgebruiker kan binnen uw Electronic Banking pakket alle bevoegdheden wijzigen en vastleggen. De Hoofdgebruiker: • ziet toe op een juiste installatie van de software conform de instructies; • ziet toe op het veilig opbergen van de installatie-software (om onbevoegd gebruik te voorkomen); • start na installatie als eindverantwoordelijke als eerste het pakket op: degene die als eerste inlogt, krijgt automatisch alle bevoegdheden; • kent in de software de bevoegdheden toe aan de gebruikers; • ziet toe op een juist gebruik en beheer van de beveiligingsmiddelen; • ziet toe op een juiste vastlegging in de software van de rekeningen en beveiligingsmiddelen; • verzorgt de installatie van eventuele nieuwe versies van uw Electronic Banking pakket.
2
Verdeel de functies in uw organisatie Naast de eerder genoemde functie van Hoofdgebruiker, kunt u nog een aantal andere functies binnen uw organisatie onderscheiden: • Data-entryfunctie Deze functie betreft het invoeren van de betalingsopdrachten. Autoriseren en verzenden zijn niet mogelijk. Hierbij is geen beveiligingsmiddel nodig. • Autorisatiefunctie Dit betreft het autoriseren van reeds ingebrachte betalingsopdrachten. Voor deze functie is een beveiligingsmiddel noodzakelijk. • Verzendfunctie Nadat de gebruiker met de autorisatiefunctie de opdrachten geautoriseerd heeft, kan de gebruiker met de verzendfunctie deze opdrachten naar de bank zenden. Als een calculator als beveiligingsmiddel wordt gebruikt, dan zijn de autorisatiefunctie en de verzendfunctie gecombineerd.
3
Stel verschillende contactpersonen aan voor beveiligingsmiddelen, pincodes en bankwachtwoorden Om ervoor te zorgen dat de gegevens van een gebruiker nooit in handen van een en dezelfde persoon komen, kunt u in het Elektronisch Bankieren contract twee verschillende contactpersonen laten vastleggen, een contactpersoon beveiligingsmiddelen en een contactpersoon pincodes en bankwachtwoordbrief. ABN AMRO kan dan in haar administratie de verzending van de beveiligingsmiddelen en de pincodes/bankwachtwoordbrieven splitsen. Wij adviseren u om van deze mogelijkheid gebruik te maken. De contactpersoon beveiligingsmiddelen ontvangt en beheert de beveiligingsmiddelen. Deze contactpersoon legt ook vast welk beveiligingsmiddel aan wie is uitgegeven. De Hoofdgebruiker zou deze taak uitstekend kunnen vervullen. De contactpersoon pincodes en bankwachtwoordbrief ontvangt de betreffende informatie per post van de bank. Omdat deze informatie vertrouwelijk is, dient deze contactpersoon bij ontvangst van de brieven te controleren of deze in onbeschadigde staat zijn aangekomen. Als enveloppen met een wachtwoord of pincode beschadigd zijn, mogen ze nooit aan de gebruiker worden uitgereikt. In een dergelijke situatie dient de contactpersoon direct contact op te nemen met de ABN AMRO ServiceDesk. Deze zorgt dan voor toezending van nieuwe gegevens. Brieven met pincodes moeten door de contactpersoon altijd in ongeopende staat aan de gebruiker worden uitgereikt. De bankwachtwoordbrief moet hij of zij wel openen; de brief bevat namelijk de bankwachtwoorden van alle gebruikers. Deze dienen door de contactpersoon pincodes en bankwachwoordbrief aan de gebruikers medegedeeld te worden. Deze wachtwoorden moeten na het eerste gebruik direct worden aangepast. De software wijst de gebruiker hier automatisch op.
4
Ga zorgvuldig om met uw beveiligingsmiddel(en) Door ABN AMRO worden beveiligingsmiddelen verstrekt aan uw bedrijf/organisatie. In de contractadministratie worden deze beveiligingsmiddelen vastgelegd op gebruikersvolgnummer. U legt in uw pakket vast wie binnen uw organisatie van welk gebruikersvolgnummer gebruikt maakt. Daarnaast worden aan de contactpersoon pincodes en bankwachtwoordbrief op gebruikersvolgnummer de bankwachtwoorden toegezonden. Om zorgvuldig om te gaan met de beveiligingsmiddelen adviseren wij u: • Maak elk uitgereikt beveiligingsmiddel persoonlijk. Registreer aan welke gebruiker welk beveiligingsmiddel is uitgereikt. • Geef de gebruiker op schrift een instructie hoe hij het beveiligingsmiddel moet beheren. Laat een kopie van die instructie ondertekenen als waarmerk dat deze gelezen is. Dat document dient punten van aandacht te bevatten, waaronder het bij zich houden van het middel, de wijze van bewaren, het nooit uitlenen daarvan, enzovoort. Een voorbeeld van deze instructie vindt u als appendix op dit document. Een elektronische versie vindt u op http://www.abnamro.nl/safety.
5
Houd uw bankwachtwoord, pincode en pakketwachtwoord geheim Voor de bankwachtwoorden en de pincodes is de gebruiker verplicht: • de bankwachtwoorden en pincodes nooit te noteren; • de wachtwoorden regelmatig te wijzigen; • een verschillend bankwachtwoord en pakketwachtwoord te gebruiken; • de nodige omzichtigheid in acht te nemen bij het intoetsen van het wachtwoord en/of pincodes, zodat deze niet door anderen worden gezien. Wij adviseren u deze regels ook te volgen voor de wachtwoorden voor het verkrijgen van de toegang tot de PC en het netwerk.
6
Bewaak uw computer-omgeving Een computer, al dan niet opgenomen in een netwerk, is wanneer passende maatregelen achterwege zijn gebleven onvoldoende veilig. Toegang tot uw computer door onbevoegden kan verkregen worden via het internet, uw netwerk of rechtstreeks vanachter uw computer. U zult moeten vaststellen welke extra maatregelen getroffen moeten en kunnen worden om uw financiële verkeer van en naar de bank veiliger te maken.
Maatregelen die u kunt nemen om uw computeromgeving te beschermen zijn: • Sluit bij het (tijdelijk) beëindigen van uw werkzaamheden uw PC af voor onbevoegden. • Maak gebruik van een anti-virusprogramma en let op dat u steeds de meest recente updates installeert. Zorg dat het anti-virusprogramma altijd actief is, ook als u niet met Internet bent verbonden. Laat het anti-virusprogramma op gezette tijden, bijvoorbeeld twee keer per maand, een volledige scan van uw computer uitvoeren. Volg hierbij het advies van uw softwareleverancier. • Er worden regelmatig beveiligingsfouten in Internet browsers gevonden. Controleer regelmatig of u de nieuwste versie van uw browser heeft. Er worden regelmatig reparatieprogramma’s voor browsers of nieuwe versies van browsers uitgebracht. • Bij gebruik van Internet verdient het aanbeveling om ook gebruik te maken van een firewall (software die de grensovergang tussen computer en Internet controleert) om inbraak van buitenaf te voorkomen. • Bij het gebruik van wachtwoorden adviseren wij u om deze regelmatig te wijzigen en om combinaties te kiezen die niet makkelijk te herleiden zijn. • Gebruik alleen software waarvan de herkomst bij u bekend en voor u vertrouwd is. Het beleid van ABN AMRO is om nooit programma’s via e-mail of nieuwsgroepen te verspreiden. 7
Configureer het pakket naar uw beveiligingswensen Afhankelijk van het pakket waarmee u werkt kunt u de toegankelijkheid voor de gebruikers van bepaalde functies wel of niet instellen. U kunt per gebruiker instellen welke rechten en bevoegdheden die gebruiker heeft. De exacte mogelijkheden verschillen per pakket. Voorbeelden van mogelijkheden zijn: • tekenen van opdrachten (eventueel met een tekenlimiet, alleen of samen); • inzien van rapportage; • aanmaken van opdrachten; • exporteren/verwijderen van opdrachtbestanden; • importeren van opdrachtbestanden; • versturen via de bank voor extra autorisatie; • schermprocuratie (per scherm aangeven of het toegankelijk is voor de gebruiker). Op http://www.abnamro.nl/safety staat een document waarin de mogelijkheden in de verschillende pakketten worden beschreven. Tevens kunt u de help-teksten en/of de handleiding van uw pakket raadplegen.
8
Beperk de bevoegdheden van gebruikers via het Electronic Banking contract De bevoegdheden van de aan uw gebruikers uitgereikte beveiligingsmiddelen kunt u ook in het Electronic Banking contract beperken. Houd er wel rekening mee dat u de bevoegdheden van de gebruikers in het contract niet zo flexibel en snel kunt aanpassen als in het pakket. Indien u de bevoegdheden in het contract wilt aanpassen is een contractwijziging noodzakelijk. Elke gebruiker die in het Electronic Banking contract is opgenomen, heeft altijd één van de onderstaande opties: • Alleen tekenen en communiceren De gebruiker mag zelfstandig opdrachten tekenen en verzenden en/of rekeninginformatie ophalen. • Communiceren De gebruiker mag geen betalingsopdrachten tekenen. Het verzenden van betalingsopdrachten en het ophalen van rekeninginformatie is wel toegestaan. • Samen tekenen en communiceren De gebruiker mag uitsluitend samen met een andere gebruiker opdrachten tekenen. Verzenden en/of rekeninginformatie ophalen kan dan wel zelfstandig gebeuren. • Alleen tekenen De gebruiker mag uitsluitend tekenen. Het verzenden van de betalingsopdrachten naar de bank is uitgesloten. • Samen tekenen De gebruiker mag alleen samen met een andere gebruiker betalingsopdrachten tekenen. Ook in dit geval is verzenden niet mogelijk.
NB de bevoegdheden Samen tekenen en communiceren, Alleen tekenen en Samen tekenen zijn alleen mogelijk bij gebruik van een smartcard en OfficeNet Extra. 9
Gebruik bestemmingsrekeningen De functionaliteit bestemmingsrekeningen biedt u de mogelijkheid om in een afzonderlijk contract een beperkt aantal rekeningen van tegenpartijen (zogenaamde bestemmingsrekeningen) vast te leggen. Als er betalingsopdrachten worden gegeven, verwerkt de bank deze uitsluitend als de rekening van de tegenpartij is opgenomen als bestemmingsrekening.
10
Beperk de mogelijkheden tot het geven van betaalopdrachten en/of effectenorders in uw Electronic Banking contract In het Electronic Banking contract kan worden aangegeven of ten laste van een bepaalde rekening betaalopdrachten en/of effectenorders mogen worden aangeboden (Effectenorders alleen mogelijk in combinatie met Home Net en Office Net Plus). Dit kan alleen worden ingesteld voor alle gebruikers.
11
Verwijder overbodig geworden gebruikers Overbodig geworden gebruikers kunt u verwijderen uit het Electronic Banking pakket. Ook overbodig geworden gebruikersvolgnummers met bijbehorende beveiligingsmiddelen kunt u laten verwijderen. Voor laatstgenoemde is een wijziging van het Electronic Banking contract noodzakelijk. 5 Conclusie
Door middel van deze richtlijnen en de mogelijkheden in uw pakket probeert ABN AMRO u zo veel mogelijk te ondersteunen bij het veilig Elektronisch Bankieren. U dient daarbij echter zelf ook een wezenlijke bijdrage te leveren. 6 Verklarende woordenlijst Bankwachtwoord Het bankwachtwoord is nodig voor een succesvolle communicatie met de bankserver. Deze communicatie is echter slechts mogelijk indien ook een calculator of een smartcard (inclusief de bijbehorende pincode) beschikbaar is. Beveiligingsmiddel Bij ABN AMRO Electronic Banking kunnen twee beveiligingsmiddelen worden gebruikt: de calculator en de smartcard. Calculator De calculator wordt gebruikt om te communiceren met de bank. Voor deze communicatie is echter tevens een bijbehorend bankwachtwoord nodig. Computer-omgeving Onder de computer-omgeving wordt verstaan: uw eigen computer (inclusief de software die daarop geïnstalleerd is) alsmede een eventuele netwerk- en/of internetaansluiting. Organisatorische omgeving Onder de organisatorische omgeving wordt verstaan: alle personen die zich (dagelijks) in uw omgeving bevinden. Dit kunnen bijvoorbeeld huisgenoten of kantoorgenoten/medewerkers zijn. Kenmerkend voor deze personen is dat zij toestemming hebben om bepaalde handelingen te verrichten in uw omgeving. U moet hierbij bijvoorbeeld denken aan: • een huisgenoot met wie u een computer deelt (en eventueel het Electronic Banking pakket); • een collega die toestemming heeft om gebruik te maken van uw Electronic Banking pakket. Pakketwachtwoord Het pakketwachtwoord is nodig om toegang te krijgen tot het Electronic Banking pakket. Smartcard De smartcard wordt gebruikt om te communiceren met de bank. Voor deze communicatie zijn echter tevens de bijbehorend pincode en het bankwachtwoord nodig. Daarnaast worden de smartcard en de bijbehorende pincode gebruikt om opdrachten te autoriseren (tekenen).
Ontvangstbevestiging beveiligingsmiddel naam: verklaart het volgende beveiligingsmiddel in ontvangst te hebben genomen: Smartcard / Calculator 1 Gegevens beveiligingsmiddel
Nummer beveiligingsmiddel: Behorende bij Contractnummer: Gebruikersvolgnummer:
Ondertekende verklaart tevens dat zorgvuldig zal worden omgegaan met het beveiligingsmiddel, hetgeen onder andere inhoudt dat: • Het beveiligingsmiddel op een veilige plaats opgeborgen wordt wanneer dit niet gebruikt wordt. • De pincode nooit genoteerd wordt. • De pincode geheim gehouden wordt. • Het beveiligingsmiddel nooit uitgeleend wordt.
Plaats:
1
Doorhalen wat niet van toepassing is.
Handtekening: