Bijzondere voorwaarden KBC-Online for Business Security

Bijzondere voorwaarden KBC-Online for Business Security
1
Definities
In deze bijzondere voorwaarden, bijlage bij het Reglement
KBC-Online for Business, worden naast de definities uit het
Reglement KBC-Online for Business de volgende definities
gebruikt en toegepast. De definities kunnen zonder onderscheid
in het meervoud en het enkelvoud gebruikt worden.
KBC-eBusiness kaart: een smartcard met een private sleutel
die een digitale handtekening genereert en waarmee de gebruiker (i) zich aanmeldt in KBC-Online for Business en (ii)
opdrachten kan ondertekenen. Een bijgeleverd certificaat bevestigt dat de gebruiker-ondertekenaar houder is van een private en
publieke sleutel. Elk te ondertekenen bericht of opdracht wordt
gereduceerd tot een unieke code die wordt versleuteld met de
private sleutel van de gebruiker, en enkel kan worden geverifieerd met de publieke sleutel van de gebruiker. De publieke
sleutel kan door iedereen worden opgevraagd.
digitaal certificaat: een computerbestand dat de publieke sleutel van de gebruiker-certificaathouder bevat, zijn identiteit en
andere informatie (zoals de geldigheidsduur van het certificaat,
de identiteit van de uitgever, de locatie van de CertificateRevocationList), en een samenvatting van bovenstaande gegevens
gereduceerd tot een unieke code en versleuteld met de private
sleutel van de Certificatieautoriteit (CA).
private sleutel: de sleutel die alleen door de gebruikerondertekenaar gekend is en wordt gebruikt om de informatie te
coderen (vercijferen) of te ondertekenen.
publieke sleutel: de sleutel die openbaar is en die gebruikt
wordt om de informatie weer te decoderen (ontcijferen) of de
identiteit van de gebruiker te verifiëren.
registratieautoriteit (RA): KBC Bank NV die vaststelt aan welke
gebruiker een certificaat kan worden verstrekt en instaat voor de
identificatie en registratie van de gebruikers.
certificatieautoriteit (CA): Isabel NV gevestigd te 1000 Brussel,
Keizerinlaan 13-15, verantwoordelijk voor het uitgeven en het
beheer van de digitale certificaten.
KBC-Mobile Sign: het toegangs- en ondertekeningsmiddel
waarbij de gebruiker via de app KBC-Mobile Sign geïnstalleerd
op een mobiel toestel (smartphone), en gescheiden van
KBC-Online for Business,
(i) geauthenticeerd wordt (nagaan of de gebruiker daadwerkelijk is wie hij beweert te zijn);
(ii) opdrachten in KBC-Online for Business kan ondertekenen.
QR-code: Een tweedimensionale streepjescode die toelaat om
gebruiksvriendelijk en snel (digitale) informatie over te dragen/in
te lezen.
jailbreak: Handeling die het mogelijk maakt om de beveiliging
van een mobiel toestel (zoals een iPhone) te omzeilen en hierop
softwaretoepassingen te laden die door de officiële distributeur
van het toestel niet erkend/goedgekeurd zijn. Het mobiel toestel
wordt hierdoor meer vatbaar voor virussen en malware (zijnde
software die is bedoeld om computers en computersystemen te
beschadigen of uit te schakelen).
Rooting: Handeling die het mogelijk maakt om de beveiliging
van een mobiel toestel (zoals een Android-smartphone) te omzeilen en hierop softwaretoepassingen te laden die door de
officiële distributeur van het toestel niet erkend/goedgekeurd zijn,
of toegang te krijgen tot het bestandsysteem. Het mobiel toestel
wordt hierdoor meer vatbaar voor virussen en malware (zijnde
software die is bedoeld om computers en computersystemen te
beschadigen of uit te schakelen).
2
• Algemene veiligheidsbewustzijn en concrete veiligheidstips:
https://secure4u.kbc.be/
• Specifieke veiligheidsvereisten m.b.t de infrastructuur van de
gebruiker (als onderdeel van de systeemvereisten):
https://www.kbc.be/systeemvereisten
De gebruiker wordt geacht deze webpagina’s regelmatig, en
minstens één maal per maand, te raadplegen.
3
3.1 KBC-Mobile Sign
Werking
Eerste gebruik en personaliseren van KBC-Mobile Sign
De gebruiker kan via de applicatiewinkel de app KBC-Mobile
Sign downloaden en installeren op zijn mobiel toestel.
Om de app KBC-Mobile Sign te personaliseren moet de gebruiker zijn user-ID (identificatiecode voor KBC-Mobile Sign) en zijn
login-ID (identificatiecode in KBC-Online for Business) afhalen in
zijn bankkantoor. Vervolgens ontvangt hij de - éénmalig te
gebruiken - KBC-Mobile Sign activatiecode (QR) via de post.
Bij het eerste gebruik van de app KBC-Mobile Sign dient de
gebruiker zijn user-ID in te geven en vervolgens zijn (QR) activatiecode te scannen met de camera van zijn mobiel toestel. Op
basis van de user-ID en activatiecode wordt het registratieproces
uitgevoerd en wordt een geheime sleutel aangemaakt op het
mobiele toestel. Deze geheime sleutel wordt verbonden met de
specifieke gebruiker en het specifiek toestel. De gebruiker dient
vervolgens een pincode - bestaande uit 5 cijfers - te kiezen.
Deze pincode is een vertrouwelijke identificatiecode die ook dient
om de geheime sleutel veilig te bewaren op het mobiel toestel.
De pincode wordt nergens opgeslagen, ook niet aan bankzijde.
Aanmelden met KBC-Mobile Sign
Bij het aanmelden (toegangscontrole) gebruikt de gebruiker zijn
login-ID om zich te identificeren in KBC-Online for Business.
Vervolgens scant de gebruiker de getoonde QR-aanmeldcode
met zijn KBC-Mobile Sign (zijn mobiel toestel) en bevestigt hij de
aanmeldvraag door het ingeven van zijn pincode. Indien de
pincode correct is krijgt de gebruiker toegang tot KBC-Online for
Business op zijn computer.
Opdrachten ondertekenen met KBC-Mobile Sign
Door te klikken op de teken-knop in KBC-Online for Business
ontvangt de gebruiker een overzicht van zijn opdracht(en) in de
app KBC-Mobile Sign. Na validatie van de inhoud kan de gebruiker de opdracht(en) ondertekenen in KBC-Mobile Sign door zijn
pincode in te voeren. Indien de pincode correct is wordt(en) de
opdracht(en) als getekend weergegeven in KBC-Online for Business.
Reset van de pincode
Wanneer de gebruiker 3 maal een verkeerde pincode ingeeft
wordt KBC-Mobile Sign geblokkeerd. De gebruiker dient een
nieuwe QR-code af te halen in zijn bankkantoor, waarmee hij
KBC-Mobile Sign kan deblokkeren. Vervolgens kan hij een nieuwe pincode kiezen.
Specifieke veiligheidsregels
• Nieuwe versies van de app KBC-Mobile Sign
Algemene veiligheidsvoorschriften
KBC-Online for Business
KBC informeert gebruikers over de veiligheidsvoorschriften en de
te nemen maatregelen bij het gebruik van KBC-Online for Business via het Reglement KBC-Online for Business en volgende
webpagina’s:
• Dringende veiligheidsberichten op de aanmeldpagina’s van
KBC-Online for Business: https://www.kbc.be/ondernemen
Zetel van de vennootschap: KBC Bank NV – Havenlaan 2 – 1080 Brussel – België
BTW BE 0462.920.226 – RPR Brussel – FSMA 026256 A
Een onderneming van de KBC-groep
AA0459
V12-2014
-/-
P.1/2
Specifieke veiligheidsvoorschriften
De gebruiker erkent dat KBC regelmatig nieuwe versies van
de app zal uitbrengen. De gebruiker zal via de applicatiewinkel
op zijn toestel een melding krijgen van de updates en zal ook
een samenvatting te zien krijgen van de voornaamste wijzigingen.
De gebruiker verbindt zich ertoe om de wijzigingen door te
nemen alvorens de update te installeren. De contractant verbindt zich er ook toe om de update niet te installeren als hij
niet akkoord gaat met de wijzigingen.
De gebruiker verklaart te weten dat, zodra hij de update geïnstalleerd heeft, hij de vorige versie van de app niet meer kan
gebruiken, en dat hij de update niet mag installeren, als hij de
vorige versie wil blijven gebruiken.
Na installatie van de nieuwe versie krijgt de gebruiker bij zijn
eerstvolgende gebruik nogmaals een overzicht met uitleg over
de wijzigingen. Daarmee moet de gebruiker zich akkoord
verklaren.
• Veilige configuratie van het mobiel toestel met de app
KBC-Mobile Sign
De gebruiker mag enkel gebruik maken van software die door
een officiële distributeur erkend is en moet strikt de richtlijnen
van de distributeur volgen. De gebruiker dient een schermbeveiliging te activeren op zijn mobiel toestel.
KBC kan de installatie en het gebruik van de app KBC-Mobile
Sign op bepaalde toestellen verhinderen om objectief gerechtvaardigde redenen die verband houden met de veiligheid van
KBC-Online for Business en/of van KBC-Mobile Sign. Dit is
het geval bij mobiele toestellen voorwerp van een jailbreak of
rooting.
• De pincode van de app KBC-Mobile Sign
De gebruiker verbindt zich ertoe om steeds waakzaam om te
gaan met de KBC-Mobile Sign pincode, en mag deze pincode
nooit telefonisch doorgeven of via het klavier van de computer
invoeren. De gebruiker mag de pincode niet op zijn mobiel
toestel noteren of kleven. KBC zal de gebruiker nooit om zijn
pincode vragen.
• Veilig afmelden
De gebruiker moet steeds correct afmelden wanneer hij
KBC-Mobile Sign niet langer gebruikt.
• Verificatie van de opdrachten op het scherm van het mobiel
toestel
De gebruiker moet steeds de opdrachten geïnitieerd via
KBC-Online for Business verifiëren alvorens ze te bevestigen
met zijn pincode.
• Melding verloren/gestolen mobiel toestel met KBC-Mobile Sign
De gebruiker moet elk verlies of diefstal van zijn mobiel toestel
onverwijld melden op het nummer 070 69 00 02. De contractant moet deze telefonische kennisgeving binnen de drie
kalenderdagen schriftelijk bevestigen aan de in artikel I.25.2
van de Algemene Bankvoorwaarden vermelde adressen van
respectievelijk de bank en de verzekeraar.
3.2 KBC-eBusiness kaart
De specifieke veiligheidsregels van uw KBC-eBusiness kaart en
bijhorend digitaal certificaat zijn vastgelegd in de KBC Certificate Policy op https://www.kbc.com/certificate_policy.
De KBC-Certificate Policy bepaalt voornamelijk welke de basisverplichtingen zijn van de CA en de andere partijen die betrokken
zijn bij de KBC- public key infrastructure (PKI). De PKI is een
systeem waarmee de uitgifte en het beheer van digitale certificaten kan worden gerealiseerd. Het digitaal certificaat wordt door
de CA beheerd. De CA waarborgt de integriteit en authenticiteit
van het certificaat en staat dus in voor de identiteit van de gebruiker die een certificaat bezit.
Bijkomend moeten de contractant en de gebruikers volgende veiligheidsregels naleven:
• Veilige configuratie van de computer
De gebruiker mag enkel gebruik maken van software die door
een officiële distributeur erkend is en moet de richtlijnen van
de distributeur strikt volgen.
• De installatie van de KBC beveiligingssoftware op de computer.
De gebruiker dient de KBC beveiligingssoftware, die instaat
voor het correct gebruik van de KBC-eBusinesskaart op zijn
computer te installeren en actief te laten gedurende het gebruik van KBC-Online for Business.
Bijkomend biedt KBC een software aan die zich specifiek richt
op het detecteren en neutraliseren van computervirussen die
een bedreiging vormen voor KBC-Online for Business. Deze
software biedt een extra beveiliging voor de browsertoepassing (een programma met een grafische gebruikersinterface voor het weergeven van HTML-bestanden die het
mogelijk maakt op het World Wide Web te navigeren) bij het
connecteren met KBC-Online for Business.
Meer informatie over de KBC beveiligingssoftware is terug te
vinden op www.kbc.be/systeemvereisten.
• De KBC-eBusinesskaart verwijderen uit de kaartlezer
De gebruiker dient zijn smartcard steeds te verwijderen uit de
kaartlezer wanneer hij geen actief gebruik maakt van
KBC-Online for Business.
Daarnaast moet de klant klacht neerleggen bij de federale
politie.
AA0459
V12-2014
-/-
P.2/2
Bijzondere voorwaarden KBC-Online for Business Security