Cyberbezpieczeństwo

Bezpieczeństwo bankowości internetowej Millenet zapewnia użycie szyfrowanej transmisji danych między komputerem klienta a serwerem Banku. Transmisja zabezpieczona jest protokołem TLS 1.2. Bank Millennium stosuje certyfikat GeoTrust True BusinessID SSL wydany przez zaufany urząd certyfikacji GeoTrust, specjalizujący się w szyfrowaniu i ochronie danych. Zabezpieczenie zapewnia ochronę danych przed przechwyceniem przez osoby niepożądane. Certyfikat gwarantuje także, że strona logowania należy do instytucji, dla której został wydany. Połączenie internetowe z telefonem również jest szyfrowane.

Każdy dokument PDF pobrany z Millenetu jest podpisany certyfikatem bezpieczeństwa Banku Millennium. Dzięki temu można w łatwy sposób prześledzić, czy nikt nie ingerował w jego treść już po podpisaniu.

Każdy dokument zamieszczony w Millenecie w sekcji „Informacje o zmianach” ma unikalną sumę kontrolną (skrót kryptograficzny wykonany za pomocą funkcji SHA 256). Jakakolwiek zmiana w dokumencie powoduje zmianę sumy kontrolnej. Dokumenty z sumą kontrolną są podpisane certyfikatem elektronicznym, który wykorzystuje znacznik czasu.

Bank Millennium wykorzystuje cztery różne certyfikaty do podpisywania dokumentów PDF. Wszystkie charakteryzuje identyczny parametr „O” (Organizacja) Bank Millennium S.A. oraz spis cech, które, gdy występują razem, tworzą unikatowe dane danego podpisu elektronicznego.

Logowanie do Millenetu wymaga podania kilku danych znanych tylko klientowi: loginu, hasła i wybranych znaków z identyfikatora. Ponadto raz na 90 dni prosimy klienta o dodatkowe potwierdzenie logowania Hasłem SMS. Klient może również ustawić obrazek bezpieczeństwa powiązany ze swoim loginem. Obrazek pozwala rozpoznać, czy klient loguje się na stronie Banku, czy na łudząco podobnej stronie skopiowanej przez przestępców.

Zanim klient zacznie korzystać z aplikacji mobilnej, konieczna jest jej aktywacja. Proces aktywacji uwzględnia wpisanie odpowiednich danych znanych tylko klientowi oraz potwierdzenie przez połączenie IVR. W procesie aktywacji aplikacja jest przypisana do danego urządzenia, dlatego klient musi powtórzyć proces aktywacji za każdym razem gdy zmienia urządzenie na nowe. W 2022 roku proces aktywacji został usprawniony.

Logowanie do aplikacji jest zabezpieczone 4-cyfrowym PIN-em, który klient ustala samodzielnie. Można również logować się biometrią, jeśli urządzenie na to pozwala (odcisk palca). W 2022 roku logowanie biometrią zostało przeprojektowane. Zmiana była transparentna z punktu widzenia klientów, ale pozwoliła na bardziej restrykcyjne podejście w kwestiach związanych z bezpieczeństwem.

Jeśli klient straci telefon z zainstalowaną aplikacją, może szybko zablokować aplikację mobilną w Millenecie lub przez infolinię. Po krótkim czasie bezczynności klient jest automatycznie wylogowany z Millenetu oraz z aplikacji mobilnej.

Przelewy i płatności zlecane w bankowości elektronicznej lub kartami online wymagają autoryzacji.

1. 3-D Secure – to dodatkowe zabezpieczenie transakcji internetowych kartą, np. w sklepach online. Chroni tożsamość kupującego i dane transakcji. Płatności w sklepach oznaczonych logo Visa Secure lub Mastercard Identity Check klient potwierdza dodatkowo Hasłem SMS lub logując się do aplikacji mobilnej.
2. Hasła SMS – to jednorazowe darmowe kody, które przesyłamy na numer telefonu klienta. Kod z SMS trzeba wpisać we wskazanym miejscu na formularzu płatności i zatwierdzić kliknięciem.
3. Mobilna Autoryzacja – to sposób zatwierdzania w aplikacji mobilnej transakcji zlecanych w Millenecie oraz niektórych transakcji zlecanych w placówkach. Aby skorzystać z tej formy potwierdzania, klient musi mieć aktywną aplikację.
4. Potwierdzenie przelewu w aplikacji – przelewy zlecane w aplikacji klient potwierdza nie PIN-em do aplikacji, ale hasłem, którym loguje się do Millenetu.
5. Potwierdzanie PIN-em do aplikacji – niektóre operacje zlecane w aplikacji wymagają potwierdzenia PIN-em, np. płatności mobilne BLIK.

W 2022 roku Bank udostępnił klientom dodatkowy mechanizm, chroniący przed bardzo popularnym scenariuszem przestępstwa, w którym oszust podszywa się pod pracownika banku. Zabezpieczenia pozwala na sprawdzenie danych konsultanta, który dzwoni do klienta. Na życzenie klienta konsultant ma możliwość wysłać w aplikacji banku powiadomienie push, w którym Bank potwierdzane personalia swojego pracownika i dokładny czas kontaktu. Dzięki temu klient ma pewność, że rozmawia z prawdziwym pracownikiem Banku, a nie z przestępcą, który chce wyłudzić jego dane.