Bezpieczny bank - najlepsze praktyki

opublikowano: 06-06-2022, 20:00
Play icon
Posłuchaj
Speaker icon
Close icon
Zostań subskrybentem
i słuchaj tego oraz wielu innych artykułów w pb.pl

W tegorocznym badaniu najlepszych praktyk w zakresie bezpieczeństwa wyróżnienia otrzymali: mBank, BNP Paribas Bank Polska, Alior Bank

METODOLOGIA BADANIA

Badanie bezpieczeństwa zostało przeprowadzone w I kw. 2022 r. w 14 bankach świadczących usługi na polskim rynku i dwóch mniejszych bankach nowej generacji. Nasi eksperci zweryfikowali zabezpieczenia w aplikacjach bankowych, ich zgodność z najlepszymi praktykami bezpieczeństwa, a także możliwości konfiguracji mechanizmów ochrony. Osobno przeanalizowane zostały aplikacje internetowe oraz mobilne.

Skupiliśmy się na weryfikacji takich obszarów, jak m.in.: uwierzytelnienie, autoryzacja, wymogi dotyczące haseł i pinów, obsługa sesji oraz kontakt z bankiem. Na ostateczny wynik wpływ miało 28 scenariuszy testowych, którymi zostały sprawdzone aplikacje webowe oraz 33 scenariusze, które służyły do przetestowania aplikacji mobilnych. Dodatkowo zweryfikowane zostały jakość edukacji klientów w zakresie bezpieczeństwa.

BANKI CHALLENGERY MUSZĄ NAUCZYĆ SIĘ EDUKACJI BEZPIECZEŃSTWA

W tej edycji badania pod lupę wzięliśmy też banki challengery i niestety wypadły one zdecydowanie słabiej w kontekście komunikacji bezpieczeństwa — w zakresie informacji podstawowej, jak też związanej z konkretnymi zagrożeniami praktycznie nie stanowiły wsparcia dla klientów. Duże banki po raz kolejny okazały się tymi, które dbają o ten obszar najbardziej i najskuteczniej.

DOBRE PRAKTYKI — ZAUFANA PRZEGLĄDARKA

Niektóre banki oferują możliwość dodania swojej przeglądarki do listy zaufanych. Na czym polega ten mechanizm? Zwykle użytkownik, który chce wykonać daną operację na swoim koncie bankowym, musi ją autoryzować, np. potwierdzić kodem, który przyszedł esemesem. Dodanie przeglądarki do zaufanej listy sprawia, że możemy ten krok pominąć. Takie rozwiązanie przekłada się na komfort klientów, którzy systematycznie korzystają z tych samych urządzeń np. w domu. Dodanie przeglądarki do zaufanych umożliwia osiem banków. Rozpoznanie urządzenia jako zweryfikowanego pozwala logować się do konta bez konieczności dodatkowej autoryzacji. Ponadto logując się z zaufanej przeglądarki, nie trzeba potwierdzać za pomocą aplikacji mobilnej lub innej formy autoryzacji przelewów, zmiany ustawień dotyczących powiadomień i limitów.

DOBRE PRAKTYKI — MOŻLIWOŚĆ ZARÓWNO ZDALNEGO JAK TEŻ LOKALNEGO USUNIĘCIA URZĄDZENIA MOBILNEGO Z LISTY ZAUFANYCH

Uwierzytelnianie w aplikacjach mobilnych zwykle wygląda nieco inaczej niż w aplikacjach webowych. Pełnego uwierzytelniania i autoryzacji dokonujemy podczas pierwszego uruchomienia aplikacji bankowej, przypinając urządzenie do profilu użytkownika jako urządzenie zaufane, służące często jako narzędzie do autoryzacji operacji dokonywanych np. w aplikacji internetowej. Następnie przy kolejnym uruchomieniu aplikacji podajemy PIN lub uwierzytelniamy się odciskiem palca. Umożliwia to łatwiejszą i szybszą interakcję z kontem za pomocą smartfona. Bywają jednak sytuacje, w których konieczne jest odpięcie urządzenia z poziomu aplikacji internetowej lub innego autoryzowanego urządzenia mobilnego, np. w przypadku kradzieży, zagubienia lub sprzedaży telefonu. Banki powinny przewidywać takie sytuacje i umożliwiać zarówno zdalne, jak też lokalne usunięcie urządzenia z listy zaufanych. Odpięcie urządzenia od konta bankowego umożliwia dziewięć z 14 badanych platform mobilnych. Nasi eksperci są zdania, że każda aplikacja bankowa powinna umożliwiać zarządzanie (usunięcie, wyrejestrowanie, odpięcie) urządzeniami przypiętymi do konta.

EDUKACJA DLA BEZPIECZEŃSTWA

Banki dobrze radziły sobie z podstawową informacją dotyczącą bezpieczeństwa, natomiast badane dodatkowo banki challengery w bardzo ograniczony sposób informowały nawet o podstawowych informacjach związanych z higieną korzystania z systemów transakcyjnych. Zdecydowana większość banków wykorzystywała media społecznościowe do informowania na temat zagrożeń i najważniejszych zasad bezpieczeństwa. Niektóre zapewniały kanał kontaktu (skrzynka e-mail, numer infolinii) do zgłoszenia zagrożeń i incydentów, co wydaje się niewykorzystanym potencjałem — wykorzystanie klientów jako whistle-blowerów. Stosunkowo słabo wygląda też zapewnienie informacji o bezpieczeństwie dla zalogowanych użytkowników aplikacji mobilnej, a przecież istnieje bardzo pokaźna grupa klientów, która korzysta tylko z tego kanału kontaktu z bankiem.

XIII ranking jakości obsługi klienta, produktów i komunikacji marketingowej - czytaj cały raport.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane