Bezbedan e-banking Societe Generale Srbija

OTP banka Srbija
Jan 21, 2016 · 3 min read

Societe Generale Srbija strogo vodi računa o zaštiti podataka svojih klijenata, a svoju e-banking platformu kontinuirano razvija i održava u skladu sa najvišim standardima bezbednosti

Image for post
Image for post

Nedavno je Luka Gerzić iz konsultatske kuće Gerzic & Associates objavio blog post sa preliminarnim podacima analize sigurnosti e-banking platformi u Srbiji, o čemu je pisala i Netokracija. U zaključcima ove analize se navodi da postoje sigurnosni propusti u onlajn platformama mnogih banaka u Srbiji.

Societe Generale Srbija kontinuirano radi na unapređenju ekspertize, stručne podrške i raspoloživih alata, kojima svoju e-banking platformu održava u skladu sa trenutno najstrožim standardima bezbednosti.

Pre svega, možemo da istaknemo dve važne činjenice:

  1. Svakog meseca obavljamo temeljnu proveru ranjivosti svih svojih e-banking aplikacija dostupnih sa javnog Interneta alatom koji je lider na ovom polju.
  2. Među zaposlenima imamo međunarodno sertifikovane penetration testere za web i mobilne aplikacije, koji redovno obavljaju aplication penetration testing.

Manji, ali važan deo ove kontrole, je i provera podrške za enkripciju, na način koji je opisan u blog postu Luke Gerzića.

Prateći glavne preliminarne nalaze njegove analize, u nastavku teksta prilažemo komentare koji se odnose na bezbednost aplikacija Societe Generale Srbija.


Naš rejting podrške za enkripciju nosi visoku ocenu “A-”

U analizi se iznosi da od 29 banaka u Srbiji, njih 9 ima najnižu ocenu “F” na SSL server testu kompanije Qualys, lidera u oblasti bezbednosti informacionih sistema.

Rejting naše podrške za enkripciju nosi visoku ocenu “A-”, a zajedno sa vendorima naše opreme kontinuirano radimo na unapređenju podržanih protokola za enkripciju kako bismo ovaj rejting dodatno unapredili.

Image for post
Image for post

Koristimo bezbednu alternativu HSTS

Analiza dalje informiše da nijedna banka u Srbiji ne koristi HSTS.

Kao alternativu HSTS, koji je opt-in funkcionalnost, mi enforsujemo TLS na nivou uređaja za zaštitu.

Vršimo enkripciju passworda before POST

U blog postu se takođe navodi da samo četiri banke u Srbiji vrše enkripciju passworda before POST, dok ostale koriste plaintext mode.

Prilikom sigurnosnih provera aplikacije mi vodimo računa i o enkripciji passworda, i jedna smo od banaka koja ne šalje password u clear tekstu, zaštićen samo TLS enkripcijom.

E-banking hostujemo in-house

Autor teksta ističe i da 11 e-banking sajtova u Srbiji koristi outsourcing servise, sa SSL/TLS sertifikatima na kojima nije potpisana banka već hosting provajder.

Naš e-banking je hostovan in-house, na našim serverima. Pritom, naš SSL je extended validation sertifikat, koji nije outsorsovan hosting provajderu već izdat direktno našoj banci.

Podržavamo dvofaktornu autentikaciju (2FA)

Na kraju, u analizi se takođe navodi i da većina banaka u Srbiji ne koristi 2FA prilikom logovanja na platformu.

Mi standardno podržavamo 2FA za e-banking namenjen pravnim licima, a to smo od nove godine uveli i za e-banking namenjen stanovništvu i to upotrebom elektronskog kvalifikovanog sertifikata za sve koji ga koriste. Međutim, u e-bankingu za stanovništvo smo još uvek ostavili i opciju logovanja putem virtuelne tastature. Takođe trenutno radimo na razvijanju 2FA rešenja i za m-banking.


Societe Generale Srbija nastavlja da razvija tehnološke inovacije koje ispunjavaju najstrože bezbednosne standarde, a klijentima pružaju udobnost uz maksimalnu uštedu vremena i novca!

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store