Recomendaciones de seguridad

El servicio

1. Administración de usuarios:

BBVA Net cash es una aplicación multiusuario. Dispone de distintos perfiles de usuario que la empresa puede asignar a sus empleados en función de su estructura operativa.

Un perfil específico, el administrador, define y administra los usuarios de la empresa en BBVA Net cash. Pueden existir uno o varios administradores y contar con diferentes niveles de delegación (sin poder o con poderes solidario o mancomunado). A cada usuario se le asigna un perfil que se define con el máximo nivel de detalle.

En el caso de la autorización de operaciones, las opciones son:

• Sin poder: no puede autorizar operaciones.
• Apoderado: puede ser solidario o mancomunado.
• Auditor: puede frenar incluso las órdenes firmadas totalmente hasta que no tengan su autorización.

Esta estructura permite que el circuito de usuarios sea tan restrictivo como desee la empresa, con el fin de garantizar, en todo momento, que cada uno de ellos:

• Acceda sólo a los servicios y cuentas que establece el administrador.
• Pueda realizar sólo aquellas consultas y operaciones que le autorice el administrador.
• Tenga o no poderes para autorizar operaciones.
• Disponga de un límite monetario en función de la operación y cuenta, según defina el administrador.
• Solo si es administrador pueda consultar, además de su perfil, la relación de usuarios definidos en su entidad, sus perfiles, el acceso a servicios y los poderes que tienen asignados.

2. Control de actividad:

Los usuarios pueden realizar un seguimiento de la operatoria de la entidad en BBVA Net cash a través de:

• El módulo de "Estadísticas" (Firmas y ficheros: Estadísticas): consulta de las operaciones realizadas en un período determinado.
• La "Auditoría de órdenes" (Firmas y ficheros: Firma y seguimiento de ficheros): control de la actividad de operaciones de cada usuario de la entidad.
• La "Auditoría de usuarios" (Administración: Auditoría): refleja qué actuaciones ha realizado cada uno de los administradores dentro del circuito de usuarios.

3. Credenciales de usuario:

BBVA Net cash incorpora el doble factor de seguridad que consiste, básicamente, en la incorporación de un dispositivo, token, para la validación en el circuito de usuarios y la firma de operaciones. De esta forma, el sistema le solicitará que introduzca el código de seguridad de seis dígitos (de uso único) generado por el dispositivo. Este dispositivo puede ser físico o estar instalado en su teléfono móvil (mediante la descarga de la app de BBVA Net cash).

• Aunque las contraseñas no caducan, le recomendamos modificarlas cada mes.
• El tamaño de la clave de acceso es 8 caracteres alfanuméricos para dificultar su deducción por terceros mediante la prueba de opciones.
• Las contraseñas se almacenan cifradas irreversiblemente en sistemas especializados de gestión de usuarios e identidades, de forma que nadie puede obtenerlas ni deducirlas.

Obligatoriedad de modificar la clave de acceso en el primer acceso: para prevenir la suplantación del usuario, en su primera conexión a BBVA Net cash, se le requiere que modifique su clave de acceso.

Bloqueo de usuarios:

• El error en la introducción del usuario o la clave de activación cinco veces seguidas, provoca el bloqueo de la referencia en BBVA Net cash que no podrá ser activada hasta que BBVA no genere una nueva clave de activación.
• En el caso de la clave de acceso, tras tres intentos fallidos, el usuario queda bloqueado.
• El error en la introducción del código de seguridad generado por su dispositivo de seguridad cinco veces seguidas, provoca el bloqueo del usuario en BBVA Net cash.
• El administrador de usuarios tiene autonomía para bloquear el acceso a usuarios de su entidad, de modo que, ante cualquier baja de un empleado, el acceso puede ser inmediatamente revocado.

4. Identificación y autenticación:

Trazabilidad de las transacciones: los accesos y transacciones realizadas quedan reflejadas en registros de operaciones automatizados que recogen la operación efectuada, la fecha y hora de la misma y el usuario que la ejecutó, permitiendo determinar la validez de las operaciones registradas.

Información de la última conexión:

• Si el usuario entra por primera vez, BBVA Net cash se lo indicará.
• En sucesivos accesos, BBVA Net cash mostrará al usuario la fecha y hora de su última conexión.

Cookies sólo activas durante la sesión: las cookies que se colocan en el sistema operativo del usuario, necesarias para la navegación de modo seguro por cualquier página web, están activas sólo durante la conexión a BBVA Net cash y son borradas cuando el usuario se desconecta de la aplicación.

Desconexión automática de la sesión: como medida adicional de seguridad, a los 10 minutos de inactividad en BBVA Net cash, se procede a finalizar la sesión del usuario y desconectarlo del sistema.

5. Cumplimiento normativo de regulaciones nacionales e internacionales:

BBVA cumple en todos sus servicios con las normas y regulaciones de los países en los que opera. El compromiso de BBVA con estas regulaciones se recoge en el Código de Conducta, de obligado cumplimiento para todos los empleados.

La tecnología

1. Confidencialidad e integridad

De todas las credenciales de usuario:

• Todas las claves operativas de usuarios se almacenan cifradas irreversiblemente en sistemas especializados de gestión de usuarios e identidades, de forma que nadie puede obtenerlas o deducirlas.
• Los procedimientos operativos de BBVA no requieren que nadie en el banco disponga de las claves operativas de sus clientes, por lo que nadie las conoce ni se las solicitará personalmente.

De las comunicaciones:

• Las comunicaciones de los servicios transaccionales y de banca a distancia de BBVA se cifran mediante protocolo SSL para preservar la confidencialidad e integridad de las comunicaciones por InterNet.
• Los certificados empleados por BBVA para proporcionar este servicio son generados por Verisign Inc.
• Adicionalmente, las comunicaciones sensibles que tienen lugar en las redes internas de BBVA se encuentran adecuadamente protegidas según el entorno operativo y el protocolo utilizado.

De la información:

• La información almacenada en los sistemas y bases de datos internas se encuentra protegida mediante diferentes sistemas de seguridad permitiendo el acceso únicamente a los empleados autorizados.
• BBVA dispone de un sistema automatizado de gestión de privilegios de acceso a la información que garantiza el acceso controlado y restringido al personal autorizado.

2. Seguridad física de los Centros de Proceso de Datos

Los Centros de Proceso de Datos de BBVA están dotados de amplias medidas de seguridad física para la protección de los sistemas de proceso de datos, destacando, entre otras, las siguientes:

• CPD Tier IV Gold en sostenibilidad operativa.
• Control de accesos individualizado al recinto y a las diferentes salas técnicas, dotados de sistemas de detección de elementos peligrosos.
• Equipos humanos de vigilancia física y vídeo vigilancia del perímetro y el interior de las instalaciones en régimen de 24x7.
• Sistemas de detección y protección específicos ante intrusión, incendio, inundación, corte de suministros y otros eventos catastróficos.

Además, al disponer de dos Centros de Proceso de Datos plenamente operativos, BBVA garantiza la salvaguarda y recuperación de la información, en caso de que fuera necesario.

3. Arquitectura de seguridad:

Con el fin de conseguir la máxima seguridad en el diseño de sus sistemas, BBVA ha dispuesto una arquitectura de seguridad específica especialmente para aquellos que dan servicio a sus clientes a través de internet.

En concreto, y para minimizar el nivel de exposición hacia Internet, sólo se mantiene expuesta la capa de presentación (que realiza las funciones de autenticación de usuario, autorización de acceso a aplicaciones web y control seguro de sesión) mediante proxy inverso de seguridad.

4. Sistemas específicos de protección:

Cortafuegos y sistemas antivirus y anti-intrusos permanentemente actualizados:

• BBVA realiza una segregación de sus redes y sistemas con varios niveles de cortafuegos.
• Además, los sistemas internos de BBVA se encuentran permanentemente protegidos mediante sistemas antimalware y de detección de intrusión.
• Ambos tipos de sistemas se gestionan en régimen de 24x7 y se encuentran permanentemente actualizados, lo que permite prevenir la acción de nuevas amenazas de forma permanente.
• Todos los sistemas de vigilancia, alerta y respuesta de seguridad ante posibles fraudes son monitorizados y supervisados por un equipo de especialistas en régimen de 24x7x365 en las instalaciones del Centro de Proceso de Datos.

Registros de actividad de todos los componentes: BBVA dispone en sus sistemas y aplicaciones de banca a distancia de registros de actividad (logs) de todos los componentes críticos, que dan soporte a los servicios de detección de intentos de fraude y análisis forense de actividades u operaciones sospechosas o reportadas como fraudulentas.

Revisión periódica del servicio aplicando las últimas técnicas de ataque: los sistemas que dan soporte a los servicios de banca a distancia son revisados periódicamente mediante herramientas de análisis de vulnerabilidades.

Auditorías internas y externas: los sistemas y procesos de BBVA son objeto de auditorías de seguridad periódicas tanto por parte del departamento independiente de Auditoría como por parte de auditorías externas específicas o asociadas con auditorías financieras o de cumplimiento.

Protección de sus credenciales de usuario

• Utilice contraseñas complejas y de difícil deducción, que contengan mayúsculas, minúsculas y números intercalados.
• No comparta con nadie sus contraseñas. Las contraseñas son secretas y únicamente su propietario debe conocerlas para su utilización.
• No apunte sus contraseñas en post-its o cuadernos; memorícela o utilice gestores de contraseñas especializados. Puede encontrar programas gratuitos de este tipo en www.osi.es.
• Desactive la opción de guardar contraseña de su navegador. Es más seguro insertarla cada vez que acceda.
• Cambie sus contraseñas periódicamente. Si sospecha que alguien ha podido averiguar su contraseña de acceso, debe modificarla cuanto antes.
• No utilice la misma contraseña en distintos servicios (email, evernote, otros bancos, …).
• Su dispositivo físico de seguridad es personal e intransferible.
• En caso de recibir un mensaje solicitándole sus claves personales, no facilite ningún dato y póngase inmediatamente en contacto con el servicio de atención al cliente de BBVA Net cash.

Protección de su ordenador

• Mantenga permanentemente actualizados su sistema operativo y la versión de su navegador con los parches correspondientes, para protegerlo de posibles agujeros o errores detectados.
• Configure su equipo y todos sus programas con los niveles más altos de seguridad.
• Instale, mantenga activo y siempre al día un firewall o cortafuegos.
• Instale, mantenga activo y siempre al día sus programas antimalware. Verifique los documentos recibidos desde el exterior con el antivirus.
• Realice periódicamente copias de seguridad (backup) de sus archivos.
• Evite descargas desde páginas web desconocidas, pues pueden contener virus o componentes espía.
• No conecte ningún dispositivo externo de origen dudoso, como pendrives, discos duros y móviles de desconocidos en sus dispositivos.
• Limpie periódicamente las cookies y los archivos temporales.
• Descargue programas y aplicaciones únicamente de sitios oficiales.
• Configure un patrón de desbloqueo en sus teléfonos móviles y tabletas, para que no pueda acceder a ellos un tercero.

Prácticas seguras de acceso y navegación por internet

• En ordenadores comunes o si está conectado a wifis públicas, no acceda a páginas en las que necesite utilizar usuario y contraseña. Tampoco facilite datos personales como dirección postal, teléfono, etc.
• Evite conectarse a páginas de contenido privado desde ordenadores públicos.
• Si tiene que introducir sus credenciales, compruebe que la dirección (URL) del servidor comienza por https, esto significa que está accediendo a un servidor seguro.
• Otra indicación de que el servidor es seguro es la presencia de un candado cerrado (en vez de abierto como en cualquier servidor no seguro) a la derecha o a la izquierda de la dirección (URL).
• Compruebe los certificados de seguridad de la página en que se encuentra pulsando en el icono del candado que aparece al acceder a una zona segura, o bien al certificado desde la barra de navegación, y verifique que la fecha de caducidad y el dominio del certificado están vigentes. En la información de detalle aparece el emisor (Verisgn), el período de validez y para quién se ha emitido el certificado (BBVA).
• No utilice la opción de “autocompletar contraseñas” de su navegador. Si está habilitada, las contraseñas que introduce en la página web quedan almacenadas en el ordenador y, cuando vuelve a introducir su usuario, el campo de clave se rellena automáticamente. Esta opción en un ordenador de uso compartido puede provocar que alguien utilice sus claves personales.
• Compruebe la fecha y hora de la última conexión.
• Para finalizar con seguridad su sesión de BBVA Net cash, utilice el botón "Salir" que aparece en la parte superior derecha.