1. Home

Segurança e Internet Banking

A segurança e a privacidade dos dados dos nossos clientes é um assunto de extrema importância para o Banco CTT. Utilizamos medidas de segurança e controlos tecnológicos robustos para proteger a sua informação e assim garantir a utilização segura dos nossos serviços homebanking e mobile banking.

Dicas de Segurança
Segurança BCTT
Situações Suspeitas
Segurança Banco CTT

O Banco CTT garante-lhe a segurança nos serviços Homebanking e Mobile.

O que fazemos por si:

  • Proteção das comunicações Internet entre o cliente e os serviços Homebanking e Mobile, através da utilização de protocolos seguros (TLS, Transport Layer Security);
  • Implementação de certificados digitais, emitidos por entidades de referência na Internet, de forma a permitir que os nossos clientes e visitantes possam validar e confiar nos serviços Homebanking e Mobile;
  • Utilização de sistemas para deteção de fraude online, para identificação de acessos e transações suspeitas;
  • Proteção dos serviços Homebanking e Mobile por sistemas firewall, para identificação e prevenção de acessos não autorizados;
  • Implementação de tecnologia avançada para autenticação forte do cliente, através de códigos temporários e descartáveis (OTP, One Time Password) e processos criptográficos robustos;
    • Término automático da sessão dos serviços Homebanking e Mobile, após um período mínimo de inatividade;
    • Desenvolvimento e manutenção dos serviços Homebanking e Mobile efetuados de acordo com standards de código seguro e testados regularmente para identificação e eliminação de vulnerabilidades de segurança.
    Dicas de Segurança
    Comunicar situações suspeitas

    Contacte a nossa Linha de Apoio 212 697 144 (chamada rede fixa nacional) sempre que:

    • Tenha dúvidas ou necessite de esclarecimentos, nomeadamente para o ajudar identificar situações de fraude;

    • Pretender reportar tentativas de fraude ou situações suspeitas.

    RFC 2350
    Versão: 0.5
    Data: 2020/11/27 10:00:00 +0000
    Autor: Ricardo Evangelista

    1. Informação acerca deste documento
    Este documento descreve o serviço de resposta a incidentes de segurança do Banco CTT, de acordo com o RFC 2350.
    1.1. Data da última atualização
    Versão 0.5 publicada em 2020/11/27.
    1.2. Listas de distribuição para notificações
    Não existe um canal de distribuição para notificar alterações a este documento.
    1.3. Acesso a este documento
    A versão atualizada deste documento está disponível na página institucional do Banco CTT, em https://www.bancoctt.pt/home/seguranca.html
    1.4. Autenticidade deste documento
    Para fins de validação, este documento foi assinado com PGP, cuja chave se descreve na secção 2.8.

    2. Informação de contacto
    2.1. Nome da equipa
    CSIRT.BancoCTT – Computer Security Incident Response Team do Banco CTT.
    2.2. Endereço postal
    CSIRT.BancoCTT
    Direção de Segurança
    Av. D. João II, 13 - Piso: 11
    1999-001 Lisboa
    Portugal
    2.3. Zona horária
    Portugal/WEST (GMT+0, GMT+1 em horário de verão)
    2.4. Telefone
    +351 212 697 179
    2.5. Fax
    Não existente.
    2.6. Outras telecomunicações
    Não existentes.
    2.7. Endereços de correio eletrónico
    Correio eletrónico para notificação de incidentes de segurança: csirt@bancoctt.pt
    2.8. Chaves públicas e informação de cifra
    User ID: CSIRT.BancoCTT <csirt@bancoctt.pt>
    Key ID: 0x51C6F6E5  Type:RSA
    Key Size: 4096 b  Expires: 2022-07-27
    Fingerprint: E97A 05EA 1416 A1BD 7B0B 950D 185B A7A2 51C6 F6E5
    Download
    2.9. Membros da equipa
    Coordenação: Ricardo Evangelista
    Membros: Luís Guilherme Bairros, José Afonso Ramos
    2.10. Outra informação
    Informação adicional sobre os serviços disponibilizados pelo CSIRT.BancoCTT pode ser encontrada em https://www.bancoctt.pt/home/seguranca.html
    2.11. Meios de contacto para utilizadores
    O CSIRT.BancoCTT dispõe dos meios de contacto elencados nas secções 2.4 e 2.7.
    3. Guião
    3.1. Missão
    O CSIRT.BancoCTT tem como missão assegurar um serviço eficiente de resposta a incidentes de segurança informática. As principais tarefas incluem:
    - Estabelecer e manter uma estrutura organizacional para identificar e classificar incidentes de segurança que permita uma eficiente resposta a incidentes;
    - Tratamento e coordenação de incidentes de segurança;
    - Execução de iniciativas para prevenir, de forma proativa, incidentes de segurança, ou que minimizem o impacto de eventuais incidentes;
    - Promoção de uma cultura de segurança informática através de ações de sensibilização.
    3.2. Comunidade servida
    O CSIRT.BancoCTT responde a incidentes de segurança no contexto da comunidade do Banco CTT, sistemas, aplicações e redes de comunicação.
    As gamas de endereços IP públicos abrangidos no âmbito da atuação do CSIRT.BancoCTT são os seguintes:
    - 62.28.56.3
    - 62.28.56.4
    - 62.48.175.208/29
    - 62.48.185.56/29
                            - 62.48.188.14
    - 62.48.188.8/29
    - 85.88.136.83
    - 85.88.153.192
                            - 185.2.87.160
                            - 185.2.87.162
                            - 185.2.87.171
                            - 185.2.87.172
                            - 20.67.144.7
                            - 20.67.145.78
    3.3. Filiação
    O CSIRT.BancoCTT é membro da Rede Nacional de CSIRT, o qual mantém contactos com várias equipas nacionais e internacionais de CSIRT e CERT.
    3.4. Autoridade
    O CSIRT.BancoCTT é um serviço integrante da Direção de Segurança do Banco CTT, cuja competência de autoridade se encontra definida nas políticas internas.
     4. Políticas
    4.1. Tipos de incidente e nível de suporte
    O CSIRT.BancoCTT responde a diferentes tipos de incidentes de segurança, com especial enfoque nos seguintes:
    - Código malicioso;
    - Disrupção de serviço;
    - Exploração de vulnerabilidades;
    - Acesso não autorizado;
    - Perda, roubo ou utilização abusiva de informação;
    - Violação de dados pessoais;
    - Fraude online.
    O nível de suporte dado pelo CSIRT.BancoCTT é proporcional ao tipo e gravidade de cada incidente.
    4.2. Cooperação, interação e política de privacidade
    O CSIRT.BancoCTT coopera e interage com autoridades e equipas nacionais e internacionais de CSIRT e CERT, cumprindo com as regras e boas práticas de privacidade e proteção de dados.
    4.3. Comunicação e autenticação
    Dos meios de comunicação disponibilizados pelo CSIRT.BancoCTT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP enumerada na secção 2.8.
    5. Serviços
    5.1. Resposta a incidentes
    O CSIRT.BancoCTT coordena e apoia na gestão de aspetos técnicos e organizacionais de cada incidente, fornecendo assistência e aconselhamento nas diferentes fases da gestão de incidentes.
    5.2. Atividades
    O CSIRT.BancoCTT realiza diversas atividades a fim de reduzir a probabilidade e o impacto de um incidente, nomeadamente através de:
    - Proteção e monitorização ativa dos canais web e mobile contra ataques de DoS, DDoS, e exploração de vulnerabilidades aplicacionais;
    - Desenvolvimento de use-cases para correlação de eventos e alarmística em tempo real;
    - Execução de testes de segurança periódicos e em formato persistente;
    - Produção de alertas e recomendações de segurança internos e para clientes.
    6. Formulários de reporte de incidentes
    Não existem disponíveis formulários para o efeito.
    7. Salvaguarda de responsabilidade
    Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CSIRT.BancoCTT não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.