W Xelion dostęp do rachunku jest chroniony wielopoziomowym systemem zabezpieczeń.
Numer klienta
To unikalny numer przypisany przez system Banku do każdego Klienta, służący wraz z numerem PIN do jego identyfikacji we wszystkich serwisach elektronicznych Xelion. Numer klienta jest wydawany po podpisaniu umowy o korzystanie z konta Xelion. Niepoprawne podanie numeru klienta uniemożliwia korzystanie z serwisów.
PIN
To osobisty czterocyfrowy numer nadawany automatycznie przez bankowy system informatyczny służący wraz z numerem klienta do jego identyfikacji, uniemożliwiający dostęp do rachunku osobom niepowołanym. Jest on wysyłany przesyłką kurierską na adres wskazany przez Klienta. Ze względów bezpieczeństwa można go zmieniać samodzielnie dowolną ilość razy we wszystkich serwisach.
Numer PIN należy zapamiętać lub zapisać w sposób uniemożliwiający rozpoznanie go przez inne osoby(*). W przypadku nieotrzymania PIN-u lub ujawnienia go osobie niepowołanej, istnieje możliwość wygenerowania nowego numeru. Stosowną dyspozycję wystarczy zgłosić konsultantowi TeleXelion (0801 370 370).
(*) - nie dotyczy konsultantów TeleXelion; podczas realizacji procedury oddzwaniania w celu identyfikacji klienta konsultant może poprosić o podanie dwóch losowo wybranych przez aplikację cyfr z 4 cyfr numeru PIN.
Karta kodów jednorazowych
Karta kodów jest wysyłana do klienta listem zwykłym. Zawiera listę 40 jednorazowych, 6-cyfrowych "haseł", umożliwiających dokonywanie transakcji na rachunkach. Na karcie znajduje się 40 jednorazowych 6-cyfrowych haseł. Kod jednorazowy służy do autoryzacji niektórych operacji przeprowadzanych za pośrednictwem konsultanta TeleXelion oraz w XelionInternet, takich jak:
- przelew na dowolny rachunek,
- zmiana danych personalnych,
- zmiana limitów transakcyjnych,
- ustanawianie przelewów cyklicznych,
- ustanawianie przelewów zdefiniowanych,
- aktywacja pierwszej oraz kolejnych kart kodów jednorazowych.
Każdy z kodów służy do potwierdzenia tylko jednej operacji, co uniemożliwia kilkakrotne użycie tego samego kodu. Dodatkowo karta kodów jednorazowych posiada swój niepowtarzalny 12-cyfrowy numer identyfikacyjny przydzielany przez system informatyczny.
Przed użyciem, kartę należy aktywować u konsultanta TeleXelion pod numerem 0801 370 370 (lub 42 68 38 370 z telefonu komórkowego). Kolejne karty można aktywować również w XelionInternet. W przypadku aktywacji pierwszej karty kodów dla bezpieczeństwa stosowana jest dodatkowo procedura oddzwaniania do Klienta, na numer telefonu wskazany w dyspozycji.
Karta kodów jest wysyłana pocztą:
- automatycznie, po podpisaniu umowy konta Xelion,
- po wykorzystaniu 35 kodów jednorazowych z używanej karty - wówczas automatycznie jest generowana i wysyłana do Klienta nowa karta,
- po złożeniu dyspozycji zamówienia karty kodów za pośrednictwem TeleXelion, XelionSMS lub XelionInternet.
Maksymalnie można posiadać trzy karty kodów jednorazowych (w tym jedną aktywną).
W przypadku utraty karty kodów jednorazowych można ją zablokować, dzwoniąc do konsultanta TeleXelion, wysyłając wiadomość do XelionSMS lub poprzez XelionInternet. Nawet, gdy karta kodów jednorazowych dostanie się w niepowołane ręce, a jej przypadkowy posiadacz będzie chciał uzyskać dostęp do środków zgromadzonych na rachunku brak znajomości numeru klienta oraz PIN-u uniemożliwi korzystanie z rachunków.
Proces blokady dostępu do poszczególnych serwisów Xelion
Aby uzyskać dostęp do serwisów funkcjonujących w ramach Xelion: XelionSMS, TeleXelion, XelionInternet , niezbędne jest podanie swojego numeru klienta oraz PIN-u. W przypadku trzykrotnego, błędnego podania PIN-u w jednym z serwisów, dostęp do tego serwisu zostanie zablokowany.
Odblokowanie serwisu jest możliwe w tym samym dniu, po poprawnym zalogowaniu w innym serwisie Xelion lub następuje automatycznie dnia następnego.
Jeżeli w tym samym dniu nieprawidłowy PIN zostanie wprowadzony po raz czwarty do któregokolwiek z serwisów Xelion, wówczas wszystkie serwisy zostaną zablokowane. W celu odblokowania serwisów należy się zadzwonić do konsultanta TeleXelion.
System szyfrowania transmisji przez XelionInternet (SSL)
W trosce o bezpieczeństwo transakcji internetowych i przekazywania poufnych danych użyto bezpiecznego 128 - bitowego protokołu SSL, który gwarantuje obecnie najwyższy poziom bezpieczeństwa.
Protokół SSL to zestaw reguł i standardów zapewniający przeglądarce internetowej bezpieczną wymianę zaszyfrowanych informacji z serwerem WWW z wykorzystaniem tzw. certyfikatów. Zapewnia poufność i integralność informacji wymienianych między Klientem a Bankiem oraz identyfikację serwera, z którym Klient nawiązał połączenie.
W trakcie połączenia z Bankiem adres wyświetlany przez przeglądarkę, normalnie zaczynający się od liter http://, powinien zaczynać się od https://.
Bezpieczne połączenie z witryną internetową za pomocą protokołu SSL jest sygnalizowane poprzez wyświetlenie symbolu zamkniętej kłódki na pasku stanu przeglądarki.
Autentyczność certyfikatu można sprawdzić, klikając dwukrotnie na symbol kłódki widoczny w prawym dolnym rogu ekranu, a następnie odczytując informacje w zakładce Ogólne (można również wybrać z menu Plik/Właściwości/Certyfikaty). Należy zwrócić uwagę, czy certyfikat został wystawiony dla www.24.xelion.pl, przez Thawte SGC CA oraz na datę jego obowiązywania.
Rejestracja aktywności
System automatycznie rejestruje każde zalogowanie do serwisów elektronicznych Xelion (można je sprawdzić w zakładce Bezpieczeństwo w serwisie XelionInternet).
Wygasanie sesji
To zabezpieczenie stosowane w XelionInternet, które polega na automatycznym wylogowaniu z serwisu po 15-minutowej nieobecności na stronach.
Limity transakcyjne
To mechanizm zwiększający bezpieczeństwo korzystania serwisów elektronicznych Xelion poprzez określenie dziennego i miesięcznego limitu przelewów.
Limit dzienny - jest to maksymalna kwota, jaka może być przekazana z rachunków Klienta w ciągu jednego dnia. Zabezpieczenie to dotyczy jedynie przelewów na dowolne, nie zdefiniowane wcześniej rachunki, do realizacji których wymagane jest użycie kodów jednorazowych.
Limit miesięczny - jest to maksymalna kwota, jaka może być przekazana z rachunków Klienta w ciągu jednego miesiąca kalendarzowego. Zabezpieczenie to dotyczy zarówno przelewów na dowolne rachunki, jak i przelewów zdefiniowanych/cyklicznych.
Oba rodzaje limitów dotyczą wszystkich rachunków Klienta i są wyrażone w złotych. Limity transakcyjne ustala Klient, jeżeli tego nie zrobi limity są ustalane automatycznie na poziomie: 1.000 PLN w przypadku limitu dziennego i 5.000 PLN w przypadku limitu miesięcznego. Wysokość limitów Klient może dowolnie zmieniać za pośrednictwem konsultanta TeleXelion. Limit dzienny można ustalić również poprzez XelionInternet.
Oddzwanianie
To nawiązanie kontaktu telefonicznego przez konsultanta TeleXelion z Klientem w celu potwierdzenia jego tożsamości. Zabezpieczenie to dotyczy jedynie klientów korzystających z serwisów elektronicznych Xelion w formie aktywnej. Procedura oddzwaniania jest stosowana w przypadku wykonywania niektórych operacji.
Dotyczy w szczególności:
- aktywacji pierwszej karty kodów jednorazowych,
- wygenerowania nowego numeru PIN,
- zmiany numeru telefonu do oddzwaniania,
- zmiany limitu miesięcznego,
- blokady dostępu do serwisów elektronicznych Xelion.
Rejestracja rozmów telefonicznych
Wszystkie połączenia z konsultantami TeleXelion są rejestrowane. Zapisy mogą być wykorzystane jako ewentualny dowód zlecenia danej dyspozycji.
Logowanie do XelionInternet
Xelion, nigdy nie wysyła żądania zalogowania się do serwisu transakcyjnego pocztą elektroniczną. Dlatego nigdy nie należy używać do logowania adresu lub linku przesłanego w wiadomości e-mail przez inną osobę, takie maile zwykle zawierają fałszywe załączniki, mogą też zawierać linki, które prowadzą do strony do złudzenia przypominającej stronę Xelion.