Índice. Ameaças à Segurança da Informação. Introdução. Dispositivos de Segurança no Bradesco Net Empresa. . Como Identificar um Phishing Scan

Transcrição

1

2 Índice Versão Introdução 2 Ameaças à Segurança da Informação 12 Dispositivos de Segurança no Bradesco Net Empresa Procuradores e Níveis de Acesso 6 Como Identificar um Phishing Scan 15 Política de Assinatura 7 Boas Práticas de Segurança 16 Conheça as Telas do Bradesco Net Empresa 8 Senhas de Acesso 17 Política Bradesco para Envio de 10 1

3 Introdução O Bradesco, pensando sempre na segurança, adotou providências para evitar acesso de terceiros às contas de seus clientes. Constantemente, novos recursos são desenvolvidos para aumentar a segurança nos acessos ao Bradesco Net Empresa, como o Certificado Digital, a Chave de Segurança Bradesco Eletrônica, o componente de segurança, entre outros. O Bradesco Net Empresa é uma excelente solução que possibilita o gerenciamento das transações financeiras da Empresa de forma on-line. Não obstante a segurança proporcionada pelo Bradesco Net Empresa, é importante que os clientes também adotem práticas preventivas em seus ambientes, tornando o relacionamento Banco X Cliente um processo totalmente protegido. Acesso ao Bradesco Net Empresa Certificado Digital e Token O acesso ao Bradesco Net Empresa é autenticado por meio de Certificado Digital exclusivo. Ele consiste em um dispositivo eletrônico que contém os dados necessários para comprovar a identidade dos procuradores da empresa. Cada procurador deverá gerar seu próprio Certificado Digital, identificado por um número de série único e uma chave privada protegida por "Assinatura Eletrônica". A Assinatura Eletrônica é uma senha de uso exclusivo dos procuradores da empresa, sem qualquer interferência do Bradesco. Cada procurador deverá manter sigilo sobre a senha, não repassando para terceiros. O Bradesco recomenda não gravar o Certificado Digital no próprio computador. Dispositivos de Segurança no Bradesco Net Empresa 2 3

4 Dispositivos de Segurança no Bradesco Net Empresa Chave de Segurança Bradesco Eletrônica O Bradesco disponibiliza a Chave de Segurança Bradesco Eletrônica a todos os clientes do Bradesco Net Empresa. A Chave de Segurança Bradesco Eletrônica é um dispositivo (aparelho eletrônico) que representa um código aleatório de seis (6) dígitos a cada vez que o cliente acessa o Bradesco Net Empresa. A Chave de Segurança gerada pelo dispositivo é agregada ao processo já existente. Chave de Segurança Bradesco Eletrônica Componente de Segurança O Componente de Segurança é um elemento adicional exclusivo para os clientes do Bradesco Net Empresa. Sua função é inibir a atuação dos softwares usados por terceiros para capturar as informações inseridas por meio do teclado convencional e virtual do computador. As atualizações do Componente de Segurança são transparentes para o cliente e não necessitam de prévio aviso ou autorização. O Componente de Segurança: É ativado quando utilizado o Bradesco Net Empresa. Não é, portanto, válido para outros sites. Deve ser instalado nos computadores que os clientes utilizarão para acessar o Bradesco Net Empresa, sempre seguindo os procedimentos de instalação a partir do ambiente seguro. Uma vez instalado, o componente de segurança fica armazenado no computador e as atualizações, se necessárias, serão realizadas automaticamente. Não acarreta mudanças nos computadores, não necessita de configuração especial e não atua ou interfere em outras aplicações fora do ambiente seguro do Bradesco Net Empresa. Atenção: Para instalar o Componente de Segurança, deve-se possuir o perfil de administrador do microcomputador. O Componente de Segurança não exime o cliente de: Manter o sistema atualizado e ativo de antivírus e outros mecanismos de proteção instalados no computador. Manter o firewall instalado, configurado, atualizado e ativo no computador. Dispositivos de Segurança no Bradesco Net Empresa 4 Adotar os cuidados necessários ao receber s, utilizar e manusear senhas. 5

5 6 Procuradores e Níveis de Acesso O Bradesco Net Empresa possui estrutura de cadastramento com níveis de acesso e políticas de assinatura que, somadas à utilização dos dispositivos disponibilizados pelo Banco, garantem a segurança necessária para efetuar transações financeiras no site. Procuradores e Níveis de Acesso A empresa será representada no Bradesco Net Empresa por meio de seus procuradores, devidamente certificados no site. Estes terão as suas responsabilidades definidas de acordo com os seguintes níveis: Procurador Master O Procurador Master é a pessoa responsável pelo gerenciamento do contrato de acesso às informações e serviços bancários pelo Bradesco Net Empresa. Ele é também o representante legal da Empresa, de acordo com os documentos apresentados na Agência do Bradesco (estatuto/contrato social, ata de eleição, procuração etc.). Poderes e opções disponíveis para Procurador Master: Incluir e excluir os Procuradores de Nível 1, 2 e 3. Indicar as contas que cada Procurador poderá acessar. Estabelecer a política de aprovação e expiração de aprovação de transações financeiras. Definir os limites de alçada dos Procuradores de Nível 1, 2 e 3. Aprovar as transações financeiras. Realizar a entrada de dados para a efetivação de transações financeiras. Efetuar consultas. Efetuar transferências de arquivos. O Bradesco Net Empresa permite que o Procurador Master defina o limite de alçada para cada Procurador. Esse limite pode ser inferior ou igual ao estabelecido nos documentos apresentados na Agência do Bradesco. Procuradores de Nível 1, 2 e 3 São atribuições dos Procuradores de Nível 1, 2 e 3: Nível Poderes - Aprovar transações financeiras. - Realizar entrada de dados para a efetivação de transações financeiras. - Efetuar manutenção de cobrança. - Efetuar transferências de arquivos. - Efetuar consultas. - Efetuar transferências de arquivos. - Realizar entrada de dados para efetivação de transações financeiras. - Efetuar manutenção de cobrança. - Efetuar consultas. - Efetuar consultas. Para que o Procurador de Nível 1 possa aprovar transações financeiras, é necessário possuir também poderes para representar a empresa no Bradesco, sendo observada a forma de representação (isolada ou conjunta). Atenção: Para maior segurança, após determinado espaço de tempo sem a utilização dos serviços disponibilizados no site, a conexão é automaticamente encerrada, mesmo que o "tempo de sessão" não tenha se esgotado. O acesso ao Bradesco Net Empresa obedece a forma de representação da empresa que consta dos documentos apresentados na Agência do Bradesco (estatuto/contrato social, ata de eleição, procuração etc.), determinando as transações financeiras que serão realizadas por meio de assinatura isolada ou conjunta. Procuradores e Níveis de Acesso Políticas de Assinatura 7

6 Conheça as Telas do Bradesco Net Empresa Para acessar o Bradesco Net Empresa, digite o endereço e clique em Pessoa Jurídica. Para verificar a veracidade do cadeado, clique sobre ele duas vezes e observe a data de validade e para quem o certificado foi emitido (neste caso, bradesconetempresa.com.br). Conheça as Telas do Bradesco Net Empresa As telas do ambiente do Bradesco Net Empresa possuem o cadeado de segurança na barra de status constante da parte inferior da janela do navegador. Caso a tela não apresente o cadeado ou este esteja aberto, é um indício de que a conexão não foi realizada no site Bradesco, podendo ser uma página falsa. Após as telas do Certificado Digital, será apresentada a tela para digitação da Chave de Segurança Bradesco. 8 9

7 Política Bradesco para Envio de O Bradesco adota rigorosa política de segurança e de privacidade para proteger as suas informações. Qualquer relacionamento do Bradesco por meio de é realizado somente após cadastramento e autorização do cliente. Para os s do Bradesco, atente para estas observações: O Bradesco não envia, em hipótese alguma, s solicitando a atualização de cadastro, qualquer tipo de informação pessoal, números da agência, conta corrente ou poupança e senhas. O Bradesco não envia em seus s arquivos executáveis anexados. Arquivos executáveis são aqueles que realizam comandos quando abertos pelo usuário. Não há regras, mas as extensões mais comuns desses arquivos são EXE, BAT, SCR e COM. O Bradesco não utiliza links para acesso as suas páginas na Internet. Para acessar a página indicada no , o cliente deverá digitar o endereço eletrônico indicado no navegador de Internet. Confira alguns cuidados e dicas ao abrir mensagens de Não abra s de procedência desconhecida. Desconfie de s que solicitam informações pessoais e confidenciais, tais como senhas, número da cédula de identidade, CPF etc. Faça uma verificação criteriosa sobre a pessoa que está solicitando tais informações e, na dúvida, não responda ao solicitado. Em caso de suspeita, não siga nenhuma das orientações ou instruções apresentadas no e delete-o imediatamente do seu computador (tecle SHIFT + DEL). Antes de abrir qualquer arquivo anexo, mesmo que de origem conhecida, vacine-os com um software antivírus. Lembre-se também de manter o antivírus sempre ativo e atualizado no computador. Ao receber algum não solicitado que pareça ter sido enviado pelo Bradesco contendo nomes, marcas ou qualquer oferta de produtos ou serviços, desconsidere-o e exclua a mensagem imediatamente. Política Bradesco para Envio de Não abra mensagens caracterizadas como SPAM ( s enviados, sem sua autorização ou de origem não cadastrada). Muitas dessas mensagens aparentam vir de uma fonte segura ou de uma pessoa conhecida e, freqüentemente, são encaminhadas com um arquivo anexo, o qual poderá conter vírus. A mensagem também pode conter solicitação para que o cliente clique em um link que, embora esteja aparentemente direcionado para o nome ou o endereço mencionado, na realidade endereçará a conexão para sites não confiáveis

8 Ameaças à Segurança da Informação Alguns clientes não se preocupam em manter antivírus e firewall atualizados, ficando assim expostos às ações ilícitas de terceiros. Essas ameaças à segurança da informação são também conhecidas como pragas virtuais e se constituem pela propagação de programas que visam a gerar danos ou ganhos financeiros, por meio da exploração de vulnerabilidades. Conheça as principais ameaças e vulnerabilidades que os clientes podem estar expostos, caso seus computadores não estejam devidamente protegidos: Vírus: programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e continuar com o processo de infecção. Cavalo-de-tróia (trojan horse): programa que não se duplica nem se copia, mas provoca danos e compromete a segurança do computador. Normalmente, é enviado por , podendo chegar escondido em um cartão virtual, álbum de fotos, protetor de tela, jogos, promoções, falsas cobranças de órgãos conhecidos (SPC, Serasa, Receita Federal etc.). Ao ser instalado no computador, ele pode roubar senhas por meio de telas sobrepostas, copiar, alterar e destruir arquivos, além de deixar o computador vulnerável a acessos futuros por crackers (criminosos eletrônicos). Formas de atuação: Keyloggers: programa capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Normalmente, a ativação do keylogger é condicionada a uma ação prévia do usuário, como por exemplo após o acesso a um site de comércio eletrônico ou Internet Banking, para a captura de senhas bancárias ou números de cartões de crédito. Screenloggers: forma avançada de keylogger, capaz de armazenar a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou armazenar a região que circunda a posição onde o mouse é clicado. Telas Sobrepostas: teclados falsificados ou telas, links e sites falsos que solicitam informações, normalmente pessoais ou financeiras (como senhas, CPF, RG etc.). Ameaças à Segurança da Informação 12 13

9 O é a forma mais utilizada por terceiros para obter senhas e informações dos clientes, por meio de técnicas conhecidas como phishing scan e engenharia social. Spam Termo usado para se referir aos s não solicitados que geralmente são enviados para um grande número de pessoas. Quando o conteúdo é exclusivamente comercial, esse tipo de mensagem também é referenciada como UCE (do termo em inglês Unsolicited Commercial ). Phishing scan Oriundo do spam, com busca restrita ao ganho financeiro. O usuário recebe um falso, com logotipos de bancos, órgãos governamentais ou empresas conhecidas, contendo link que o direciona a um site falso, parecido com o site original. Em seguida, o usuário digita suas informações que são enviadas a um terceiro, ou ainda o pode conter anexo, por exemplo, um cavalo-de-tróia, que, sendo instalado, passa a coletar as informações do usuário e as repassa a um terceiro. Engenharia social Geralmente, s fraudulentos contêm vários erros gramaticais e ortográficos. Desconfie também de s de origem desconhecida ou não esperada. Os terceiros utilizam técnicas para ofuscar o link verdadeiro, apresentando o que parece ser um link relacionado à instituição financeira mencionada na mensagem. Ao passar o cursor do mouse sobre o link, será possível ver o real endereço do link falso na barra de status do programa leitor de s ou navegador (caso este esteja atualizado e não possua vulnerabilidades). Normalmente, esse link será diferente do apresentado na mensagem. Qualquer extensão pode ser utilizada nos nomes dos arquivos maliciosos, devendo o cliente ficar atento, particularmente aos arquivos com extensões ".exe", ".zip", ".scr", ".com", ".rar", ".dll", ".cmd",".pif" e".bat". Desconfie de mensagens que solicitam instalação ou execução de qualquer tipo de arquivo ou programa. Em caso de duvida, não instale ou execute o referido arquivo ou programa. Nunca utilize o remetente do como parâmetro para atestar a veracidade de uma mensagem, pois isso pode ser facilmente forjado por terceiros. Caso o remetente seja desconhecido, apague imediatamente a mensagem. Como Identificar um Phishing Scan? Método de ataque pelo qual uma pessoa faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações. O Bradesco não envia com link. Se houver suspeita de que a mensagem seja falsa, não clique em nada indicado na mensagem e contate a Central de Apoio à Empresa

10 Boas Práticas de Segurança Mantenha ativos e atualizados os softwares de antivírus, anti-spyware e firewall e outros mecanismos de proteção. Instale o Componente de Segurança, para se proteger de softwares maliciosos. Leia sempre os manuais de uso desses softwares ou contate um técnico competente para orientações. Não execute arquivo recebido pela Internet ou mídias eletrônicas (disquete, CD, pen drive etc.) sem antes examiná-lo por meio de um software de antivírus. Mantenha o sistema operacional e os softwares de seu computador sempre atualizados. Os fornecedores desses programas disponibilizam atualizações que efetuam a correção de falhas do software ou que criam barreiras contra novas ameaças. Ao receber s de pessoas desconhecidas ou que não foram solicitados, recomenda-se deletar a mensagem. Evite criar senhas com nomes, sobrenomes, número de documentos e de telefones, placas de carros e datas que possuam relação com você, pois, esses dados poderão ser facilmente obtidos e utilizados por terceiros. A senha deve ser trocada periodicamente no máximo a cada 3 (três) meses. Se a senha que o usuário do Bradesco Net Empresa utiliza tiver sido fornecida em decorrência de serviço ou produto contratado, troque-a imediatamente. Use sempre senhas criadas por você mesmo. O ideal é que se tenha senhas diferentes para a quantidade de locais em que você necessite utilizá-las. BRADESCOMPLETO, o Bradesco preocupado com a segurança de seus clientes durante a navegação na Internet. Senhas de Acesso Não acesse links de s suspeitos, nem baixe arquivos de sites de procedência duvidosa. Tome cuidado ao acessar a Internet de computadores de uso público, pois podem estar desprotegidos. Em caso de dúvidas, contatar a CENTRAL DE ATENDIMENTO: Tel.: (11)