Bezbedan e-banking Societe Generale Srbija

Societe Generale Srbija strogo vodi računa o zaštiti podataka svojih klijenata, a svoju e-banking platformu kontinuirano razvija i održava u skladu sa najvišim standardima bezbednosti

Nedavno je Luka Gerzić iz konsultatske kuće Gerzic & Associates objavio blog post sa preliminarnim podacima analize sigurnosti e-banking platformi u Srbiji, o čemu je pisala i Netokracija. U zaključcima ove analize se navodi da postoje sigurnosni propusti u onlajn platformama mnogih banaka u Srbiji.

Societe Generale Srbija kontinuirano radi na unapređenju ekspertize, stručne podrške i raspoloživih alata, kojima svoju e-banking platformu održava u skladu sa trenutno najstrožim standardima bezbednosti.

Pre svega, možemo da istaknemo dve važne činjenice:

1. Svakog meseca obavljamo temeljnu proveru ranjivosti svih svojih e-banking aplikacija dostupnih sa javnog Interneta alatom koji je lider na ovom polju.
2. Među zaposlenima imamo međunarodno sertifikovane penetration testere za web i mobilne aplikacije, koji redovno obavljaju aplication penetration testing.

Manji, ali važan deo ove kontrole, je i provera podrške za enkripciju, na način koji je opisan u blog postu Luke Gerzića.

Prateći glavne preliminarne nalaze njegove analize, u nastavku teksta prilažemo komentare koji se odnose na bezbednost aplikacija Societe Generale Srbija.

Naš rejting podrške za enkripciju nosi visoku ocenu “A-”

U analizi se iznosi da od 29 banaka u Srbiji, njih 9 ima najnižu ocenu “F” na SSL server testu kompanije Qualys, lidera u oblasti bezbednosti informacionih sistema.

Rejting naše podrške za enkripciju nosi visoku ocenu “A-”, a zajedno sa vendorima naše opreme kontinuirano radimo na unapređenju podržanih protokola za enkripciju kako bismo ovaj rejting dodatno unapredili.

Koristimo bezbednu alternativu HSTS

Analiza dalje informiše da nijedna banka u Srbiji ne koristi HSTS.

Kao alternativu HSTS, koji je opt-in funkcionalnost, mi enforsujemo TLS na nivou uređaja za zaštitu.

Vršimo enkripciju passworda before POST

U blog postu se takođe navodi da samo četiri banke u Srbiji vrše enkripciju passworda before POST, dok ostale koriste plaintext mode.

Prilikom sigurnosnih provera aplikacije mi vodimo računa i o enkripciji passworda, i jedna smo od banaka koja ne šalje password u clear tekstu, zaštićen samo TLS enkripcijom.

E-banking hostujemo in-house

Autor teksta ističe i da 11 e-banking sajtova u Srbiji koristi outsourcing servise, sa SSL/TLS sertifikatima na kojima nije potpisana banka već hosting provajder.

Naš e-banking je hostovan in-house, na našim serverima. Pritom, naš SSL je extended validation sertifikat, koji nije outsorsovan hosting provajderu već izdat direktno našoj banci.

Podržavamo dvofaktornu autentikaciju (2FA)

Na kraju, u analizi se takođe navodi i da većina banaka u Srbiji ne koristi 2FA prilikom logovanja na platformu.

Mi standardno podržavamo 2FA za e-banking namenjen pravnim licima, a to smo od nove godine uveli i za e-banking namenjen stanovništvu i to upotrebom elektronskog kvalifikovanog sertifikata za sve koji ga koriste. Međutim, u e-bankingu za stanovništvo smo još uvek ostavili i opciju logovanja putem virtuelne tastature. Takođe trenutno radimo na razvijanju 2FA rešenja i za m-banking.

Societe Generale Srbija nastavlja da razvija tehnološke inovacije koje ispunjavaju najstrože bezbednosne standarde, a klijentima pružaju udobnost uz maksimalnu uštedu vremena i novca!