Segurança e Internet Banking

A segurança e a privacidade dos dados dos nossos clientes é um assunto de extrema importância para o Banco CTT. Utilizamos medidas de segurança e controlos tecnológicos robustos para proteger a sua informação e assim garantir a utilização segura dos nossos serviços homebanking e mobile banking.

Dicas de Segurança
Segurança BCTT
Situações Suspeitas

O Banco CTT garante-lhe a segurança nos serviços Homebanking e Mobile.

O que fazemos por si:

  • Proteção das comunicações Internet entre o cliente e os serviços Homebanking e Mobile, através da utilização de protocolos seguros (TLS, Transport Layer Security);
  • Implementação de certificados digitais, emitidos por entidades de referência na Internet, de forma a permitir que os nossos clientes e visitantes possam validar e confiar nos serviços Homebanking e Mobile;
  • Utilização de sistemas para deteção de fraude online, para identificação de acessos e transações suspeitas;
  • Proteção dos serviços Homebanking e Mobile por sistemas firewall, para identificação e prevenção de acessos não autorizados;
  • Implementação de tecnologia avançada para autenticação forte do cliente, através de códigos temporários e descartáveis (OTP, One Time Password) e processos criptográficos robustos;
  • Término automático da sessão dos serviços Homebanking e Mobile, após um período mínimo de inatividade;
  • Desenvolvimento e manutenção dos serviços Homebanking e Mobile efetuados de acordo com standards de código seguro e testados regularmente para identificação e eliminação de vulnerabilidades de segurança.

Mantenha-se sempre alerta e conheça em detalhe as medidas de segurnaça que deve ter em conta. 

Dicas de Segurança

Esteja sempre preparado para se proteger. Fique atento aos possíveis ciberataques e conheça as principais recomendações: 

 Shield_1Lembre-se que nunca ligamos a pedir códigos por telefone

O vishing é uma chamada telefónica que alerta para um falso problema com a sua conta ou cartão, normalmente com carácter de urgência. Esta tem sido uma das principais formas de ataque por parte dos cibercriminosos, que se identificam como colaboradores do banco e pedem dados pessoais e credenciais para resolver a situação o mais rápido possível.

Fique atento e lembre-se de que nunca lhe ligamos a pedir códigos de operação por telefone.

Shield_2Confirme que acede ao Homebanking pelo site legítimo: www.bancoctt.pt

Aceda sempre ao Homebanking do Banco CTT introduzindo diretamente no browser o endereço completo legitimo do site so banco: www.bancoctt.pt. Criar sites falsos é uma técnica comum de atacantes de phishing para obter os seus dados pessoais e credenciais. Os atacantes poderão tentar que aceda a um site falso do Banco enviando-lhes links por SMS, email ou mesmo apresentando-se em motores de busca ou redes sociais. Confirme sempre que está no site legitimo.

Fique atento e aceda online ao Banco CTT de forma segura.

 Shield_3Nunca aceda a links suspeitos

O Banco CTT nunca envia SMS’s ou emails a pedir para clicar em links para aceder ao seu Homebanking ou a pedir dados pessoais, mesmo que aparentem ter sido enviados pelo Banco CTT, ou através de links apresentados em motores de busca ou outras páginas de publicidade. Os atacantes de phishing enviam SMS’s ou emails com a aparência de serem do seu banco para levar os clientes a aceder páginas falsas e lhes roubarem as credenciais. Se receber um SMS ou email suspeito, não carregue nos links e contacte o banco através da Linha de Apoio.

Pela sua segurança, mantenha-se atento às SMS e email suspeitos.

 Shield_43 e só 3 caracteres para entrar no Homebanking

No seu acesso ao Homebanking o Banco CTT só pede para introduzir 3 caracteres da sua palavra passe. Caso falhe, voltarão sempre a ser pedidos exatamente os mesmos 3 caracteres. Se aceder a uma página onde lhe peçam a totalidade da palavra passe para aceder ao Homebanking, então trata-se de uma página falsa. Não introduza a palavra passe e contacte de imediato a Linha de Apoio.

Com 3 caracteres apenas se acede ao Homebanking do Banco CTT. Fique Atento!

Shield_5Para sua segurança, leia atentamente a mensagem

Para confirmar operações no Homebanking poderá ser-lhe enviado um SMS com um código de confirmação. Leia sempre atentamente a mensagem que vem no SMS e confirme que a operação que está a realizar corresponde exatamente à que está descrita no SMS. Caso a operação não corresponda, não introduza o código pedido e contacte-nos de imediato.

Ler com atenção o SMS é um passo para a sua proteção.

Para o Banco CTT, a sua segurança é tudo. Fique atento e se detetar algo suspeito, denuncie. Ligue para a Linha de Apoio do Banco CTT 212 697 144 (chamada rede fixa nacional). 

 

RFC 2350
Versão: 0.5
Data: 2020/11/27 10:00:00 +0000
Autor: Ricardo Evangelista

1. Informação acerca deste documento
Este documento descreve o serviço de resposta a incidentes de segurança do Banco CTT, de acordo com o RFC 2350.
1.1. Data da última atualização
Versão 0.5 publicada em 2020/11/27.
1.2. Listas de distribuição para notificações
Não existe um canal de distribuição para notificar alterações a este documento.
1.3. Acesso a este documento
A versão atualizada deste documento está disponível na página institucional do Banco CTT, em https://www.bancoctt.pt/home/seguranca.html
1.4. Autenticidade deste documento
Para fins de validação, este documento foi assinado com PGP, cuja chave se descreve na secção 2.8.

2. Informação de contacto
2.1. Nome da equipa
CSIRT.BancoCTT – Computer Security Incident Response Team do Banco CTT.
2.2. Endereço postal
CSIRT.BancoCTT
Direção de Segurança
Av. D. João II, 13 - Piso: 11
1999-001 Lisboa
Portugal
2.3. Zona horária
Portugal/WEST (GMT+0, GMT+1 em horário de verão)
2.4. Telefone
+351 212 697 179
2.5. Fax
Não existente.
2.6. Outras telecomunicações
Não existentes.
2.7. Endereços de correio eletrónico
Correio eletrónico para notificação de incidentes de segurança: csirt@bancoctt.pt
2.8. Chaves públicas e informação de cifra
User ID: CSIRT.BancoCTT <csirt@bancoctt.pt>
Key ID: 0x51C6F6E5  Type:RSA
Key Size: 4096 b  Expires: 2022-07-27
Fingerprint: E97A 05EA 1416 A1BD 7B0B 950D 185B A7A2 51C6 F6E5
Download
2.9. Membros da equipa
Coordenação: Ricardo Evangelista
Membros: Luís Guilherme Bairros, José Afonso Ramos
2.10. Outra informação
Informação adicional sobre os serviços disponibilizados pelo CSIRT.BancoCTT pode ser encontrada em https://www.bancoctt.pt/home/seguranca.html
2.11. Meios de contacto para utilizadores
O CSIRT.BancoCTT dispõe dos meios de contacto elencados nas secções 2.4 e 2.7.
3. Guião
3.1. Missão
O CSIRT.BancoCTT tem como missão assegurar um serviço eficiente de resposta a incidentes de segurança informática. As principais tarefas incluem:
- Estabelecer e manter uma estrutura organizacional para identificar e classificar incidentes de segurança que permita uma eficiente resposta a incidentes;
- Tratamento e coordenação de incidentes de segurança;
- Execução de iniciativas para prevenir, de forma proativa, incidentes de segurança, ou que minimizem o impacto de eventuais incidentes;
- Promoção de uma cultura de segurança informática através de ações de sensibilização.
3.2. Comunidade servida
O CSIRT.BancoCTT responde a incidentes de segurança no contexto da comunidade do Banco CTT, sistemas, aplicações e redes de comunicação.
As gamas de endereços IP públicos abrangidos no âmbito da atuação do CSIRT.BancoCTT são os seguintes:
- 62.28.56.3
- 62.28.56.4
- 62.48.175.208/29
- 62.48.185.56/29
                        - 62.48.188.14
- 62.48.188.8/29
- 85.88.136.83
- 85.88.153.192
                        - 185.2.87.160
                        - 185.2.87.162
                        - 185.2.87.171
                        - 185.2.87.172
                        - 20.67.144.7
                        - 20.67.145.78
3.3. Filiação
O CSIRT.BancoCTT é membro da Rede Nacional de CSIRT, o qual mantém contactos com várias equipas nacionais e internacionais de CSIRT e CERT.
3.4. Autoridade
O CSIRT.BancoCTT é um serviço integrante da Direção de Segurança do Banco CTT, cuja competência de autoridade se encontra definida nas políticas internas.
 4. Políticas
4.1. Tipos de incidente e nível de suporte
O CSIRT.BancoCTT responde a diferentes tipos de incidentes de segurança, com especial enfoque nos seguintes:
- Código malicioso;
- Disrupção de serviço;
- Exploração de vulnerabilidades;
- Acesso não autorizado;
- Perda, roubo ou utilização abusiva de informação;
- Violação de dados pessoais;
- Fraude online.
O nível de suporte dado pelo CSIRT.BancoCTT é proporcional ao tipo e gravidade de cada incidente.
4.2. Cooperação, interação e política de privacidade
O CSIRT.BancoCTT coopera e interage com autoridades e equipas nacionais e internacionais de CSIRT e CERT, cumprindo com as regras e boas práticas de privacidade e proteção de dados.
4.3. Comunicação e autenticação
Dos meios de comunicação disponibilizados pelo CSIRT.BancoCTT, o telefone e o correio eletrónico não cifrado são considerados suficientes para a transmissão de informação não sensível. Para a transmissão de informação sensível é obrigatório o uso de cifra PGP enumerada na secção 2.8.
5. Serviços
5.1. Resposta a incidentes
O CSIRT.BancoCTT coordena e apoia na gestão de aspetos técnicos e organizacionais de cada incidente, fornecendo assistência e aconselhamento nas diferentes fases da gestão de incidentes.
5.2. Atividades
O CSIRT.BancoCTT realiza diversas atividades a fim de reduzir a probabilidade e o impacto de um incidente, nomeadamente através de:
- Proteção e monitorização ativa dos canais web e mobile contra ataques de DoS, DDoS, e exploração de vulnerabilidades aplicacionais;
- Desenvolvimento de use-cases para correlação de eventos e alarmística em tempo real;
- Execução de testes de segurança periódicos e em formato persistente;
- Produção de alertas e recomendações de segurança internos e para clientes.
6. Formulários de reporte de incidentes
Não existem disponíveis formulários para o efeito.
7. Salvaguarda de responsabilidade
Embora todas as precauções sejam tomadas na preparação da informação divulgada quer no portal Internet, quer através das listas de distribuição, o CSIRT.BancoCTT não assume qualquer responsabilidade por erros ou omissões, ou por danos resultantes do uso dessa informação.