Jak dbamy o bezpieczeństwo

Hasło to wirtualny klucz dostępu do konta Raisin. Aby się zalogować, wystarczy podać adres e-mail powiązany z Kontem Raisin oraz hasło o długości od 8 do 64 znaków.

Należy zadbać o wybór silnego hasła do swojego konta. Dobrym i wygodnym rozwiązaniem jest skorzystanie z menedżera haseł, aby wygenerować, a następnie bezpiecznie zapisać losowe, skomplikowane hasło.

Stosujemy najlepsze standardy branżowe do szyfrowania całego ruchu sieciowego. Pomaga to zapobiec uzyskaniu dostępu do danych przez osoby nieupoważnione.

Podczas wprowadzania informacji osobowych na platformie Raisin, są one szyfrowane za pomocą protokołu SSL (Secure Socket Layer). Szyfrowanie to można łatwo rozpoznać po literze „s” po „http” na początku adresu URL (czyli https://).

Wszystkie dane klientów są przechowywane i szyfrowane zgodnie z najlepszymi rynkowymi praktykami.

Kod weryfikacyjny SMS jest wymagany do autoryzacji dyspozycji i transakcji w bankowości internetowej Raisin. Po zleceniu operacji generowany jest kod, który trafia w wiadomości SMS na powiązany z kontem numer telefonu. Następnie należy go wpisać na stronie, aby potwierdzić zlecenie.

Zastrzeżenie PESEL to bezpłatna usługa, z której mogą skorzystać pełnoletnie osoby fizyczne mające nadany numer PESEL. Prawo to wprowadziła ustawa z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczenia poszczególnych skutków kradzieży tożsamości.

Banki i inne instytucje finansowe mają od 1 czerwca 2024 roku obowiązek weryfikować prowadzony przez Ministerstwo Cyfryzacji rejestr zastrzeżeń numerów PESEL swoich pełnoletnich klientów indywidualnych.

Jeśli Twój numer PESEL jest zastrzeżony, proces rejestracji na naszej platformie zostanie wstrzymany. Skutkuje to tym, że nie będziesz w stanie utworzyć konta, dopóki ograniczenie nie zostanie tymczasowo zniesione.

W momencie, gdy chcesz kontynuować otwieranie konta, możesz tymczasowo odblokować swój numer PESEL. Łatwo zrobisz to za pomocą rządowej aplikacji mObywatel 2.0 lub strony internetowej mObywatel.gov.pl. Alternatywnie, możesz odwiedzić lokalny urząd gminy, aby osobiście znieść ograniczenie. Przeczytaj więcej o zastrzeżeniu numeru PESEL w naszym artykule.

Wykorzystujemy zaawansowane mechanizmy ochrony przed botami, aby zabezpieczyć proces logowania i inne ogólnodostępne formularze przed zautomatyzowanymi atakami oraz nadużyciami.

Mechanizmy te działają w tle i pomagają zweryfikować, czy żądania pochodzą od prawdziwych użytkowników, a nie ze skryptów – bez konieczności uciążliwego rozwiązywania zagadek obrazkowych (CAPTCHA). Z tego powodu przetwarzanie danych może czasami trwać nieco dłużej, zwłaszcza na starszych urządzeniach lub w słabszych sieciach.

Aby dodatkowo chronić konta, stosujemy mechanizmy analizy urządzeń (device intelligence) i zaawansowanego wykrywania oszustw.

Analizując informacje techniczne o urządzeniu i połączeniu, jesteśmy w stanie rozpoznawać zaufane urządzenia, wykrywać nietypową lub ryzykowną aktywność i w razie potrzeby wdrażać dodatkowe środki bezpieczeństwa, takie jak jednorazowe hasła.

Po 15 minutach braku aktywności następuje automatyczne wylogowanie z bankowości internetowej Raisin. Czas pozostały do wylogowania jest widoczny na każdej stronie. Aby kontynuować korzystanie z serwisu, konieczne jest ponowne zalogowanie.

Wdrożyliśmy architekturę „obrony w głąb” (Defence in Depth), wykorzystując zaporę sieciową (firewall), zaporę aplikacji internetowych (WAF), warstwę ochrony przed atakami DDoS oraz sieć dostarczania treści (CDN). Stosujemy ścisłą segmentację sieci oraz izolację środowisk i usług.

Wdrożyliśmy system kontroli wewnętrznej zgodny z rynkowymi standardami bezpieczeństwa, który pozwala na wysoce bezpieczną ochronę wszystkich danych klientów. Podlegamy regularnym audytom przeprowadzanym przez zewnętrznych, certyfikowanych audytorów z renomowanych firm w zakresie SOC 2 Type 2 oraz ISAE 3402 Type 2.

Każdego roku przechodzimy audyt certyfikacyjny dotyczący prywatności. Stosujemy najlepsze branżowe praktyki, aby zagwarantować prywatność informacji naszych klientów. Wszystkie dane przechowywane są na serwerach zlokalizowanych na terenie Unii Europejskiej.

Raisin posiada dedykowany, wewnętrzny zespół ds. bezpieczeństwa, który korzysta z wiodących narzędzi i zaawansowanych metodologii do przeprowadzania kompleksowych – ręcznych i zautomatyzowanych – ocen podatności oraz testów penetracyjnych (VA/PT) kluczowych zasobów.

Aby zapewnić pełne pokrycie i zewnętrzną perspektywę, angażujemy zewnętrzne firmy specjalizujące się w cyberbezpieczeństwie do prowadzenia dogłębnych audytów naszych aplikacji internetowych, mobilnych, interfejsów API oraz infrastruktury sieciowej.

Ponadto prowadzimy symulacje ataków (tzw. działania Red Team), aby identyfikować ewentualne luki w zabezpieczeniach i stale doskonalić nasze możliwości wykrywania oraz reagowania na zagrożenia.

Utrzymujemy wielowarstwowe ramy bezpieczeństwa w środowisku chmurowym, które obejmują najlepsze praktyki w zakresie zarządzania tożsamością i dostępem (IAM), szyfrowania danych, segmentacji sieci oraz ciągłego monitorowania. Nasze usługi w chmurze są regularnie oceniane pod kątem błędnych konfiguracji i zgodności z normami branżowymi.

Raisin współpracuje wyłącznie z bankami zlokalizowanymi w Europejskim Obszarze Gospodarczym (EOG). Jedną z kluczowych zalet tego podejścia jest to, że wszystkie uczestniczące banki są objęte krajowym systemem gwarancji depozytów zgodnie z dyrektywą UE 2014/49/UE.

Depozyty, w tym naliczone, ale jeszcze niewypłacone odsetki, są chronione do kwoty 100 000 EUR (lub równowartości w walucie lokalnej) na klienta, na bank – niezależnie od kraju, w którym instytucja ma siedzibę.

Oznacza to, że kiedy otwierasz produkt oszczędnościowy za pośrednictwem Raisin, Twoje środki są chronione na podstawie tych samych podstawowych zasad i gwarancji we wszystkich bankach partnerskich.

W Raisin z pełnym zaangażowaniem podchodzimy do ochrony danych i prywatności. Wdrażamy różnorodne środki w obrębie całej platformy, aby zagwarantować bezpieczeństwo naszych systemów. Nasze kompleksowe podejście pozwala nam bronić się zarówno przed drobnymi problemami, jak i atakami na dużą skalę.

Osoby pasjonujące się bezpieczeństwem lub badaczy, którzy odkryli potencjalną lukę na platformie Raisin, zachęcamy do odpowiedzialnego zgłoszenia tego faktu. Raport o błędzie można przesłać za pośrednictwem naszego Programu Ujawniania Podatności (Vulnerability Disclosure Program), dołączając szczegółowe kroki niezbędne do odtworzenia luki. W przypadku zgłoszenia problemu w ten sposób, dołożymy wszelkich starań, aby zbadać i naprawić uzasadnione luki w rozsądnym czasie.

W takich sytuacjach prosimy o nieujawnianie ustaleń publicznie, dopóki nie będziemy mieli odpowiedniego czasu na zidentyfikowanie i usunięcie błędu oraz przekazanie stosownego potwierdzenia.