W systemie Pl@net zastosowano wiele uzupełniających się wzajemnie mechanizmów, które razem zapewniają najwyższy poziom bezpieczeństwa.

Zasady bezpieczeństwa

Bank nigdy nie prosi o takie działanie. Prosimy o zgłaszanie takich przypadków na numer 801 FORTIS (801 367 847)

Dbaj o to, by komputer, z którego logujesz się do Planet był zabezpieczony zgodnie z zaleceniami producenta systemu. Używaj programów antywirusowych i dbaj o ich systematyczną aktualizację. Zainstaluj zaporę ogniową  (firewall), Nie otwieraj i nie uruchamiaj plików oraz programów do których nie masz zaufania, korzystaj tylko z legalnego oprogramowania. Korzystając z niezabezpieczonego właściwie komputera ryzykujesz, iż Twoje klucze lub hasła do logowania mogą zostać skopiowane przez osoby nieupoważnione.

Jeżeli korzystasz z podpisu elektronicznego pamiętaj, iż klucz prywatny powinien być przechowywany na bezpiecznym nośniku, na przykład karcie kryptograficznej. Jeśli nie chcesz lub nie możesz korzystać z karty kryptograficznej, sugerujemy przechowywanie klucza na nośniku USB (tzw. pen-drive) podłączanym do komputera tylko na czas korzystania z systemu Planet. Jeżeli nie masz 100%-owej pewności, co do bezpieczeństwa swojego komputera i legalności oprogramowania, nie zapisuj klucza na dysku komputera.

Zawsze sprawdzaj czy wiadomość SMS z kodem autoryzacyjnym jest zgodna z wykonywaną przez Ciebie operacją.
Zwróć szczególną uwagę na:

• numer rachunku - sprawdź czy odpowiada on rachunkowi odbiorcy wykonywanej operacji (SMS z kodem autoryzacyjnym zawiera jedynie dwie pierwsze i cztery ostatnie cyfry numeru rachunku),
• kwotę operacji - musi być ona zgodna z tą, która została podana w dyspozycji.

W przypadku autoryzacji podpisem elektronicznym pamiętaj o konieczności weryfikacji szczegółów transakcji.

Użyj przycisku rozwiń  i upewnij się, że są one zgodne z transakcją którą zamierzasz zrealizować.

Na stronę bankowości elektronicznej wchodź wpisując pełny jej adres https://planet.fortisbanking.com.pl/ lub korzystaj z łącza do serwisu umieszczonego na stronach Banku. Nie korzystaj z odnośników w wiadomościach pocztowych, bądź na innych stronach.

Sprawdzając adres strony systemu Planet zwróć szczególną uwagę, czy adres rozpoczyna się od https://.

Litera ‘s’ w nazwie protokołu świadczy, iż połączenie jest szyfrowane. Oznacza to, iż wprowadzane przez nas dane (np. login i hasło) zostaną zaszyfrowane. Regułę tę warto stosować we wszystkich przypadkach, kiedy podajemy poufne dane, np. płacąc kartą kredytową w sklepie internetowym (strona z formatką do wprowadzenia danych kraty powinna zaczynać się od https://).

W przypadku stron szyfrowanych, przeglądarki wyświetlają ikonę kłódki na pasku stanu.

widok dla przeglądarki MS Internet Explorer 6.0

Po kliknięciu kłódki zostanie wyświetlony certyfikat systemu, który możemy porównać do dowodu autentyczności systemu. Należy zwrócić uwagę na:

• Wystawcę certyfikatu: VeriSign
• Podmiot, dla którego certyfikat jest wystawiony: planet.fortisbanking.com.pl
• Datę ważności – powinna być to przyszła data.

Nigdy nikomu nie ujawniaj haseł, nie zapisuj ich ani nie przesyłaj drogą elektroniczną. Jeżeli wydaje Ci się, że ktoś mógł poznać Twoja hasła, zmień je jak najszybciej.

Po zalogowaniu do serwisu sprawdź daty ostatniego logowania, zarówno udanego jak i nieudanego. Jeśli daty te nie odpowiadają Twojej aktywności, powinno to wzbudzić Twoje zaniepokojenie.

Zmień element graficzny wyświetlany w systemie (opcja dostępna po zalogowaniu i kliknięciu linku ‘Ustawienia’ na szarej górnej belce). Jeżeli przy kolejnych logowaniach system wyświetli obrazek nie zgodny z Twoim wyborem, skontaktuj się niezwłocznie z naszym Centrum Telefonicznym. 

Gdy skończysz korzystać z serwisu bankowości elektronicznej, zawsze wyloguj się z serwisu.

Możesz być automatycznie powiadamiany e-mailem lub SMS’em o każdym udanym / nieudanym logowaniu, zablokowaniu dostępu do systemu i obciążeniu rachunku powyżej zadeklarowanej kwoty. Jeżeli otrzymasz powiadomienie, które nie jest zgodne z Twoją aktywnością, skontaktuj się niezwłocznie z Centrum Telefonicznym.

Powiadomienia ustanawia się po wejściu do zakładki Inne, podmenu Powiadomienia.

Bezpieczeństwo Pl@net

do góry

W systemie Pl@net zastosowano wiele uzupełniających się wzajemnie mechanizmów, które razem zapewniają najwyższy poziom bezpieczeństwa. Przestrzegając dodatkowo kilku zasad bezpieczeństwa nie powinieneś mieć żadnych powodów do obaw o bezpieczeństwo swoich środków i wykonywanych operacji.

Mechanizmy bezpieczeństwa

Logowanie do systemu
W celu rozpoczęcia korzystania z systemu Pl@net konieczne jest zalogowanie się. W procesie tym, zwanym uwierzytelnieniem, weryfikowane jest, czy osoba logująca się jest tym, za kogo się podaje.
System Pl@net oferuje dwie metody logowania do systemu:

• Logowanie hasłem maskowanym

W celu zalogowania się do systemu należy podać nazwę użytkownika (login), a następnie wpisać żądane znaki z hasła. Podawanie tylko wybranych znaków jest jednym z mechanizmów zabezpieczających. W razie prób przechwycenia hasła, zostaną przechwycone tylko niektóre znaki. Przy kolejnym logowaniu system zażąda innych znaków z hasła.

Zautoryzuj operację logowania za pomocą kodu SMS, który zostanie dostarczony na Twój telefon komórkowy, którego numer wcześniej został zdefiniowany w systemie.

• Logowanie podpisem elektronicznym

W celu zalogowania się do systemu należy podać nazwę użytkownika (login), a następnie wykonać podpis elektroniczny, co polega na wskazaniu klucza prywatnego i podaniu PINu do nośnika, na którym klucz ten jest przechowywany. Klucze do podpisu mogą być generowane na nośnikach kryptograficznych USB lub kartach procesorowych.

Hasła można wpisywać używając standardowej klawiatury lub wybierając odpowiednie znaki na klawiaturze wirtualnej, która wyświetli się po kliknięciu ikony. Klawiatura wirtualna stanowi zabezpieczenie przed przechwyceniem haseł wpisywanych na standardowej klawiaturze.

Wybrana metoda logowania pociąga za sobą odpowiednią metodę autoryzacji transakcji. Sposoby logowania w połączeniu z autoryzacją transakcji są równoważne, a ich wybór zależy od preferencji Klienta.

Autoryzacja transakcji
W chwili, gdy w systemie ma zostać wykonana jakaś operacja (np. przelew, wysłanie wniosku), system poprosi o tak zwaną autoryzację transakcji, którą można porównać do złożenia w oddziale podpisu pod dyspozycją wykonania przelewu. System Pl@net oferuje dwie metody autoryzacji transakcji, zależne od wybranej metody logowania.

• Autoryzacja kodem SMS

W przypadku logowania hasłem maskowanym, transakcje są autoryzowane kodem SMS. W tym przypadku, do zautoryzowania transakcji, system żąda wpisania kodu, jaki zostanie przesłany w formie wiadomości SMS na zdefiniowany wcześniej numer telefonu komórkowego.
Do każdej transakcji zlecanej w systemie Pl@net (wymagającej podpisu) zostanie wygenerowany oddzielny, jednorazowy kod SMS. Każdy SMS z kodem będzie dodatkowo zawierał parametry autoryzowanej operacji (założenie lokaty, wysłanie wniosku, podpisanie przelewu, itp.).

• Autoryzacja podpisem elektronicznym

W przypadku logowania podpisem elektronicznym, transakcje autoryzowane są również podpisem elektronicznym. W tym przypadku, do zautoryzowania transakcji, system żąda wskazania klucza prywatnego i podania PINu do nośnika, na którym klucz ten jest przechowywany. Klucze do podpisu mogą być generowane na nośnikach kryptograficznych USB lub kartach procesorowych.

Bezpieczeństwo komunikacji - szyfrowanie danych
Dane przesyłane pomiędzy komputerem użytkownika, a serwerem Banku są szyfrowane dzięki zastosowaniu protokołu SSL w wersjach SSLv3 lub TLSv1 wraz z mocnymi szyframi. Gwarantuje to prywatność i poufność transmitowanych danych.

System powiadomień
System Pl@net oferuje możliwość otrzymywania powiadomień o wybranych przez użytkownika zdarzeniach w postaci wiadomości SMS, e-mail albo wiadomości w systemie. Mogą to być między innymi komunikaty o udanych i nieudanych próbach zalogowania się do systemu, realizowanych transakcjach, przekroczeniu salda powyżej / poniżej zdefiniowanej kwoty. Dzięki temu otrzymasz ostrzeżenie o nieupoważnionych próbach działań na Twoich rachunkach.

Historia logowań i operacji
System Pl@net wyświetla daty ostatniego udanego i nieudanego logowania. Ponadto udostępnia raport na temat logowań i wykonywanych operacji w wybranym okresie, co pomaga w wyjaśnieniu ewentualnych niejasności.

Eliminacja plików tymczasowych i cookie
Pl@net nie zakłada plików tymczasowych na dysku, a po wylogowaniu nie zostawia plików cookie zawierających informacje istotne z punktu widzenia bezpieczeństwa.

Moduł anti-phishing
Graficznym elementem systemu jest obrazek wybierany przez użytkownika na etapie wstępnej konfiguracji. Dzięki temu użytkownik z łatwością rozpozna, gdy zostanie przekierowany na fałszywą stronę udającą witrynę Banku do przechwytywania haseł. Będzie ona, bowiem, prezentowała inny obrazek, niż wybrany przez użytkownika.

Protokół SSL, czyli bezpieczne połączenie

Protokół SSL (Secure Sockets Layer) został stworzony, aby umożliwić bezpieczne przesyłanie danych w internecie.

Informacje otrzymywane i wysyłane przez internet w standardowy sposób (protokołem HTTP - ang. HyperText Transfer Protocol) potencjalnie mogą zostać przechwycone i odczytane przez osobę dysponującą odpowiednimi narzędziami i wiedzą. Aby je zabezpieczyć, wprowadzono szyfrowaną wersję protokołu HTTP, czyli HTTPS (ang. HyperText Transfer Protocol Secure), wykorzystującą właśnie SSL.

Wykorzystanie protokołu HTTPS można sprawdzić weryfikując, czy adres Pl@net rozpoczyna się od https:\\.

Dodatkowo przeglądarki sygnalizują ten fakt na przykład poprzez umieszczenie w pasku statusu ikony kłódki lub poprzez zmianę koloru paska adresu. W przypadku Internet Explorer pojawi się żółta kłódka w prawym dolnym rogu, na pasku stanu. Jeżeli pasek stanu jest niewidoczny, wybierz z menu Widok opcję Pasek stanu.

Dzięki SSL wszystkie dane przesyłane między przeglądarką internetową użytkownika a serwerem są zaszyfrowane przy użyciu jednorazowego klucza. Stają się przez to nieczytelne, a więc bezużyteczne dla niepowołanej osoby. Ustalenie klucza, którym komunikacja będzie szyfrowana następuje za każdym razem na nowo w momencie nawiązywania połączenia z serwerem i wykorzystywany jest do tego certyfikat cyfrowy. Zaleca się weryfikację certyfikatu serwera przed zalogowaniem do systemu Pl@net. Dzięki temu zyskamy pewność, iż nawiążemy połączenie z serwerem Fortis Banku, t.j. serwerem Pl@net.

Certyfikaty cyfrowe, czyli weryfikacja tożsamości

Certyfikat cyfrowy potwierdza autentyczność serwera internetowego (np. serwera systemu Pl@net). Certyfikat zawiera dane właściciela certyfikatu, jego klucz publiczny oraz informacje o samym wystawcy. Wystawca potwierdza podpisem elektronicznym, że zawarty w certyfikacie klucz publiczny należy do instytucji, której dane znajdują się w certyfikacie.

Wystawcami certyfikatów są zaufane instytucje, tzw. urzędy certyfikacji (ang. CA - Certification Authority, np. VeriSign, czy Thawte). Aby uzyskać pewność, że dane umieszczane w certyfikacie są prawdziwe, urząd certyfikacji weryfikuje instytucję, dla której ma zostać wydany certyfikat.

W przypadku Pl@net, sprawdzenia certyfikatu należy dokonać przed zalogowaniem się do systemu, po wpisaniu do przeglądarki adresu systemu. W tym celu należy kliknąć na ikonę kłódki, jaka pojawi się w prawym dolnym, lub górnym rogu przeglądarki, w zależności od używanej przeglądarki. W przypadku Internet Explorer kłódka pojawi się w prawym dolnym rogu, w pasku stanu. Jeżeli pasek stanu jest niewidoczny, należy wybrać z menu Widok opcję Pasek stanu.

Po kliknięciu ikony pojawi się okno z informacjami o certyfikacie. Należy upewnić się:

• czy certyfikat został wystawiony dla planet.fortisbanking.com.pl,
• czy data ważności certyfikatu nie upłynęła,
• czy certyfikat jest wystawiony przez zaufany urząd certyfikacji (w przypadku systemu Pl@net, wystawcą certyfikatu jest VeriSign).

Informacja o certyfikacie dla przeglądarki Internet Explorer.

Jeżeli weryfikacja certyfikatu nie budzi Twoich podejrzeń, możesz rozpocząć logowanie do systemu. W przeciwnym przypadku skontaktuj się z Centrum Telefonicznym, pod numerem 801 FORTIS (801 367 847) / (+48 22) 566 9300.

Klucze kryptograficzne, czyli kryptografia asymetryczna

Kryptografia jest nauką spokrewnioną z matematyką i zajmuje się metodami szyfrowania. Dzięki technikom kryptograficznym możliwe jest szyfrowanie danych, oraz wiarygodne identyfikowanie integralności szyfrowanych danych oraz ich nadawcy. W systemie Pl@net wykorzystywana jest kryptografia asymetryczna, która opiera się na wykorzystaniu pary powiązanych ze sobą kluczy kryptograficznych: klucza prywatnego i klucza publicznego. Klucz prywatny służy do szyfrowania danych, które mogą zostać odszyfrowane wyłącznie przy użyciu odpowiadającego mu klucza publicznego i odwrotnie - informacja zaszyfrowana kluczem publicznym może zostać rozkodowana tylko odpowiednim kluczem prywatnym. Stworzenie dwóch powiązanych w ten sposób kluczy jest możliwe dzięki istnieniu funkcji matematycznych, które łatwo jest przeprowadzić w jedną stronę, lecz niezwykle trudno odwrócić.

Podpis elektroniczny

System Pl@net oferuje dwie równoważne metody logowania i autoryzacji transakcji. Jedna z nich opiera się na podpisie elektronicznym. Oznacza to, iż podczas logowania do systemu, jak również autoryzowania transakcji, będziemy składać podpis elektroniczny.

Składanie podpisu elektronicznego w systemie Pl@net

Aby wykonać podpis elektroniczny musimy posiadać klucz prywatny zabezpieczony hasłem. Z danych, jakie mają zostać podpisane (np. dane dotyczące przelewu), zostaje utworzony skrót dzięki zastosowaniu specjalnego algorytmu matematycznego (tzw. funkcji skrótu). Algorytm ten działa w taki sposób, iż w teorii nie jest możliwe znalezienie dwóch dokumentów dających taki sam skrót, a nawet najmniejsza zmiana w danym dokumencie powoduje zmianę jego skrótu. Skrót ten jest szyfrowany kluczem prywatnym podpisującego. Można go odszyfrować tylko przy użyciu odpowiedniego klucza publicznego. Po wykonaniu tych operacji, do serwera Pl@net przesyłane są dane z podpisem elektronicznym, t.j. zaszyfrowanym skrótem dokumentu.

Weryfikacja podpisu elektronicznego

Z dokumentu, który został nadesłany do serwera Pl@net tworzony jest skrót w taki sam sposób jak przy składaniu podpisu. Dołączony do dokumentu jego zaszyfrowany skrót zostaje odszyfrowany po stronie odbiorcy (Fortis Banku) przy użyciu klucza publicznego. Odszyfrowany skrót jest porównywany ze skrótem utworzonym po stronie banku. Jeżeli wartości skrótów są takie same, uzyskujemy pewność, że dokument został podpisany przez posiadacza klucza prywatnego, np. właściciela rachunku, z którego ma być wykonany przelew.

do góry