Posouzení vybraných forem elektronického bankovnictví

Bankovní institut vysoká škola Praha Katedra bankovnictví a pojišťovnictví Posouzení vybraných forem elektronického bankovnictví Diplomová práce Autor: Bc. Petra Dlouhá Finance, Finanční obchody Vedoucí práce: Ing. Olga Šeflová Praha Duben 2012

Prohlášení: Prohlašuji, že jsem diplomovou práci zpracovala samostatně a v seznamu uvedla veškerou použitou literaturu. Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámena se skutečností, že se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Neratovicích dne 19. 4. 2012 Bc. Petra Dlouhá

Poděkování: Tímto bych chtěla poděkovat mé vedoucí diplomové práce paní Ing. Olze Šeflové za spolupráci, rady a cenné připomínky, které mi v průběhu psaní tohoto titulu poskytovala.

Anotace Diplomová práce se zabývá problematikou zaměřenou na elektronické bankovnictví, jeho legislativním vymezením, vysvětlením jednotlivých forem této moderní služby a následnou komparací zvolených požadavků bezpečnosti a srovnání úrovně zvolených forem elektronického bankovnictví vybraných bank. Cílem bylo zhodnotit internet-, GSM-, Homebanking u vybraných bank v České republice zejména z hlediska jejich bezpečnosti. Pro komparaci byly zvoleny tři banky, a to Fio banka, a.s., GE Money bank, a.s. a Raiffeisenbank, a.s. Hlavními body srovnání byly klientovi náklady a šíře možností využívání těchto služeb, které jsou těmito bankami nabízeny. Práce obsahuje dále navržení optimálního řešení způsobu obsluhy účtu dle konkrétních klientských požadavků. V samotném závěru jsou formulovány dosažené výsledky a perspektivy elektronického bankovnictví v České republice. Klíčová slova: elektronické bankovnictví, internet banking, GSM banking, home banking Annotation This thesis deals with focusing on electronic banking, the legislative definition, explanation of various forms of modern services, and subsequent comparison of selected safety requirements and comparison of selected forms of electronic banking, selected banks. The aim was to evaluate Internet-, GSM-, Home-Banking at selected banks in the Czech Republic, especially in terms of their safety. They were selected three banks, so Fio banka a.s., GE Money Bank, a.s., and Raiffeisenbank, a.s. The main points of comparison, the cost items, and more of these services that are offered. The work also includes designing the optimal solution to how to operate the account according to specific client requirements. At the very end are formulated achievements and perspectives of electronic banking in the Czech Republic. Key words: electronic banking, internet banking, GSM banking, home banking

Obsah Úvod... 7 1. Teoretické vymezení jednotlivých forem elektronického bankovnictví... 9 1.1 Elektronické bankovnictví jako pojem... 9 1.2 Legislativní úprava elektronického bankovnictví... 11 1.3 Elektronické pobočky... 12 1.4 Vymezení jednotlivých forem elektronického bankovnictví... 13 1.4.1 Phone banking... 13 1.4.2 Wap banking... 15 1.4.3 GSM banking... 16 1.4.4 Java banking... 18 1.4.5 PDA banking... 18 1.4.6 Home banking... 19 1.4.7 Internet banking... 21 1.4.8 TV banking... 24 1.5 Rizika elektronického bankovnictví... 25 1.5.1 Phishing... 26 1.5.2 Pharming... 26 2. Metodologie... 27 3. Komparace požadavků a vyhodnocení bezpečnosti u internet-, GSM-, Homebankingu... 29 3.1 Fio banka, a.s.... 30 3.1.1 Internetbanking... 30 3.1.2 Smartbanking... 32 3.1.3 Home banking... 34 3.2 GE Money Bank... 35 3.2.1 Internet banka... 36 3.2.2 Banka v mobilu... 38 3.2.3 BankKlient... 39 3.3 Raiffeisenbank... 41 3.3.1 Internetové bankovnictví... 42 3.3.2 GSM bankovnictví... 42 3.3.3 Elektronické bankovnictví... 43 5

3.4 Vyhodnocení zvolených požadavků bezpečnosti u internet-, GSM- a Home-bankingu... 46 3.4.1 Vyhodnocení bezpečnosti u internet bankingu... 46 3.4.2 Vyhodnocení bezpečnosti GSM bankingu... 47 3.4.3 Vyhodnocení bezpečnosti home bankingu... 48 4. Srovnání úrovně zvolených forem elektronického bankovnictví vybraných bank... 50 4.1 Srovnání úrovně internet bankingu u vybraných bank... 50 4.2 Srovnání úrovně GSM bankingu u vybraných bank... 52 4.3 Srovnání úrovně home bankingu u vybraných bank... 53 5. Návrh optimální varianty obsluhy účtů dle konkrétních klientských požadavků... 57 5.1 Simulace modelu dle konkrétních klientských požadavků internet bankingu... 57 5.2 Simulace modelu dle konkrétních klientských požadavků GSM bankingu... 60 5.3 Simulace modelu dle konkrétních klientských požadavků home bankingu... 63 6. Výsledky, závěry a perspektivy elektronického bankovnictví v ČR... 67 6.1 Výsledky komparace, srovnání a simulace... 67 6.2 Doporučení jednotlivým bankám v oblasti elektronického bankovnictví... 69 6.3 Perspektivy elektronického bankovnictví v ČR... 70 Seznam použité literatury... 72 Seznam obrázků a tabulek... 75 6

Úvod V posledním desetiletí patří právě elektronické bankovnictví k jednomu z oborů, které zažily bouřlivý vývoj. V České republice lze vývoj informačních a komunikačních technologií zaznamenat od roku 1998. Postupem času se začal internet a zároveň mobilní telefon stávat fenoménem současné doby. Právě banky jsou považovány za první uživatele moderních informačních technologií a staly se hnací silou technologické revoluce. S rozvojem internetu musely začít řešit bankovní instituce jak tuto technologii co nejefektivněji využít a jak se pomocí této technologie propojit se svými klienty. Díky tomu se snížily náklady banky a bankovní prostředí proměnilo informační technologie ve formu platebního prostředku. Zároveň dochází k nabídce nových služeb pro klienty a k novému pohledu klienta na obsluhu svých finančních prostředků. Z pohodlí domova je tak možné kdykoliv ovládat svůj účet a spojit se tak přímo s bankou. Za počátek elektronického bankovnictví se považuje vznik debetních platebních karet a technická zařízení zvaná ATM 1. První debetní platební karta byla vydána v roce 1914 a umožňovala svým zákazníkům zasílat telegramy bez okamžité úhrady. V komerční sféře se bankomaty začaly využívat až v roce 1968. Dalším krokem v poskytování přímých služeb zákazníkům bylo rozsáhlejší využití debetních a kreditních karet v příslušných místech obchodníků přes elektronickou technologii EPOS 2. Jakmile zahájila svou činnost First Direct Bank v Leedsu, tak začala své klienty obsluhovat pouze prostřednictvím telefonních linek a totožnost klienta byla ověřována na základě hlasové identifikace. Přímé bankovnictví v současné podobě začalo vznikat v devadesátých letech jako přirozená reakce na rozvoj informačních technologií a banky začaly nabízet své služby pomocí internetových stránek a uskutečňovat je přes bankovní aplikace. Klienti měli okamžitý globální přístup k informacím, produktům a službám. Mimo nákupu u obchodníků a výběru hotovosti z bankomatu bylo dříve nutné vždy navštívit pobočku banky a často také pouze tu pobočku, ve které byl příslušný účet zřízen. 1 ATM Automatic teller machine, jedná se o mezinárodní označení pro bankomat. 2 EPOS Electronic point of sale představuje samostatný počítačový systém, který umožňuje veškeré platby bankovním převodem nebo kreditní kartou, ověřuje transakce, poskytuje zprávy o prodeji, koordinuje inventární údaje a nabízí další služby klientům bank. 7

První formou elektronického bankovnictví, která byla nejvíce využívána, bylo telefonní bankovnictví. Na svou dobu byla tato služba dostatečná, stačilo zavolat příslušného bankéře či přes hlasový automat zadat příkaz k úhradě. Ovšem rozšíření internetu tuto službu v dnešní době překonalo, a tak je internetové bankovnictví nejvyužívanější formou elektronického bankovnictví. I mobilní telefon byl využit v bankovním sektoru a slouží jako jeden z kanálů přímého bankovnictví. Mezi využívané služby elektronického bankovnictví patří: phone banking, GSM banking, PDA banking, JAVA banking, internet banking a home banking. V minulých letech banky nabízely WAP banking a do budoucna se počítá s využitím televizních přijímačů ve formě TV bankingu. Cílem této diplomové práce je zhodnotit internet banking, GSM banking a home banking u vybraných bank v České republice zejména z hlediska jejich bezpečnosti. Tato práce by měla v současné době určit nejlepší variantu zabezpečení na českém trhu a zároveň určit nejvýhodnější banku, a to jak z hlediska nabídky služeb, tak i poplatků. 8

1. Teoretické vymezení jednotlivých forem elektronického bankovnictví První kapitola diplomové práce objasňuje pojem elektronického bankovnictví, též nazývané přímé bankovnictví. Zabývá se právní problematikou, která není jednotně upravena v českém právním řádu. A především vysvětluje jednotlivé druhy elektronického bankovnictví. 1.1 Elektronické bankovnictví jako pojem Elektronické bankovnictví představuje ovládání bankovního účtu pomocí elektronické cesty. Tento termín také označuje poskytování bankovních služeb, při nichž klient komunikuje s bankou na dálku, aniž by musel přijít na pobočku banky. Pojem elektronické bankovnictví se vytvořil v závislosti na distribučních kanálech, kterými banky umožňují svým klientům provádění platebního styku, popř. využívání jiných služeb nebo v závislosti na způsobu použití daných platebních prostředků. Základní principy smluvních vztahů při vedení běžného účtu (je-li při elektronickém bankovnictví využíván), obsahové náležitosti příkazů k zúčtování a další zásady platebního styku zůstávají i pro tyto progresivní formy bankovnictví zachovány. 3 Klient je spojen se svými penězi 24 hodin denně, 365 dní v roce, ať je v zaměstnání, doma či kdekoliv ve světě. Klienti bank využívají ke správě svého účtů určité technické vybavení, telefonní linku, síť internet a další podmínky nutné ke zprovoznění jednotlivých forem této moderní služby. Přímé bankovnictví se vyvíjí společně s pokrokem informačních technologií a je velmi obtížné jej přiblížit pomocí jedné definice. Bez problémů je možné zjistit aktuální použitelný zůstatek účtu, provádět jednorázové i trvalé platební příkazy, zakládat termínové účty, informovat se o měnových kurzech apod. Zpravidla se nejedná o nové produkty platebního styku, ale pouze o proces převedení základních bankovních služeb do elektronické formy. V některých případech to však má významný dopad na funkčnost produktu, lze tedy hovořit o novém bankovním produktu, v jiných případech se naopak možnosti využití produktu téměř nezměnily. 3 Citace z: HARTLOVÁ, Věra; SOLDÁNOVÁ, Marcela a jiní. Bankovnictví pro střední školy a veřejnost. 1.vyd. Praha: Nakladatelství FORTUNA, 2004. Str. 81-82. ISBN 80-7168-900-9. 9

Klient využívá prostředky, pomocí nichž s ním elektronická aplikace banky komunikuje, a koncová zařízení, které pro tuto komunikaci používá. V návaznosti na rozdělení prostředků použitých k přenosu dat a používaného koncového zařízení pak hovoříme o samoobslužných zónách, fyzickém předávání dat na médiích, phone bankingu, GSM bankingu, home bankingu nebo internet bankingu. 4 Tabulka číslo 1 zobrazuje přehledně komunikační prostředky elektronického bankovnictví a jejich koncová zařízení. Tabulka 1: Komunikační prostředky a koncová zařízení elektronického bankovnictví Komunikační prostředky elektronického bankovnictví Koncová zařízení Fyzické předávání dat disketa Telefonní síť Internet Komutované linky Datové sítě Síť GSM Datové sítě PC Telefonní přístroj nebo PC PC PC PC GSM mobil Samoobslužná zóna Zdroj: POULÍČEK, Stanislav a jiní. Bankovnictví. 1.vyd. Praha: C. H. Beck, 2006. S. 176. ISBN 80-7179-462-7 Fyzické předávání dat umožnilo ušetřit čas z toho důvodu, že nebylo nutné dvakrát typovat data u klienta a v bance. Data byla předávána na disketách či jiných médiích fyzicky bance. Nutností bylo uzavření smlouvy, ve které byl specifikován formát předávaných dat a způsob podpisu. V dnešní době se fyzické předávání dat pomocí diskety již nepoužívá. Později byly zašifrované soubory posílány prostřednictvím e-mailových zpráv. Samoobslužné zóny představují místa pro samostatnou práci klienta. Lze provádět jednoduché úkony obsluhy svého účtu samoobslužným způsobem. Jedná se o bankomaty, které mohou 4 Citace z: POULÍČEK, Stanislav a jiní. Bankovnictví. 1.vyd. Praha: C. H. Beck, 2006. S. 176. ISBN 80-7179- 462-7. 10

mít i rozšířené funkce jako je vkládání peněz na účet. Mezi základní funkce patří výběr hotovosti, informace o zůstatku na účtu apod. Zbylým komunikačním prostředkům elektronického bankovnictví z výše uvedené tabulky se věnují následující kapitoly. O elektronickém bankovnictví se někdy mluví také jako o prostředcích vzdáleného přístupu. Jedná se o produkty, které využívají klasické bankovní produkty elektronickou cestou. Typickými prostředky vzdáleného přístupu jsou platební karty, internet banking, home banking, phone banking, GSM banking, WAP banking, PDA banking a novinkou je TV banking. Nedílnou součástí manipulace každého klienta banky s běžným účtem je platební karta. Jedná se o platební prostředek, pomocí něhož se provádí bezhotovostní platby a výběry hotovosti z bankomatů. Lze ji využít i k čerpání úvěru. Elektronické peníze 5, elektronická peněženka 6 patří také do elektronických platebních prostředků. Tyto pojmy však nebudou v této bakalářské práci dále analyzovány. 1.2 Legislativní úprava elektronického bankovnictví Jednotná úprava přímého bankovnictví v českém právním řádu neexistuje. Elektronický platební styk je závislý na regulaci centrální banky, jejíž povinností je dohled nad dodržováním právních norem. Základní úpravou vztahů v oblasti platebního styku je v České republice nový zákon o platebním styku č. 284/2009 Sb., který nahrazuje dosavadní zákon č. 124/2002 Sb. o převodech peněžních prostředků, elektronických platebních prostředcích a platebních systémech. V listopadu 2009 vešel v platnost zákon č. 285/2009 Sb., který mění některé zákony v souvislosti s přijetím zákona o platebním styku. Vzhledem k prudkému nárůstu významu elektronického bankovnictví a v rámci toho platebního styku je daná oblast předmětem úpravy na úrovni EU. Za základní normy v tomto směru lze považovat Směrnici č. 2000/46/ES, o přístupu k činnosti institucí elektronických peněz, jejímu výkonu a obezřetnostnímu dohledu nad touto činností. Cílem této směrnice je 5 Elektronické peníze představují fiktivní peníze, náhradu klasického oběživa (bankovek, mincí). Jedná se o peněžní hodnotu, která je uchována na elektronickém peněžním prostředku. Elektronické peníze mají formu plastové karty nebo aplikace v počítači. 6 Elektronická peněženka plastová karta, která je založena na čipové technologii. 11

zamezit nekontrolované emisi elektronických peněz, zvýšit právní jistotu klienta, prohloubit důvěru veřejnosti k elektronickým platebním prostředkům. Dále je to Směrnice č. 2002/65/ES, o uvádění finančních služeb pro spotřebitele na trh na dálku a Směrnice č. 97/7/ES, o ochraně spotřebitele v případě smluv uzavřených na dálku, ve kterých je upraven postup při zneužití platební karty. Komise Evropské Unie rovněž vydala doporučení č. 97/489/ES, o operacích prováděných elektronickými platebními prostředky a zejména o vztahu mezi vydavatelem a držitelem. 7 V České republice začala od 1. listopadu 2009 platit směrnice Evropského parlamentu a rady 2007/64/ES ze dne 13. listopadu 2007 o platebních službách na vnitřním trhu, kterou se mění směrnice 97/7/ES, 2002/65/ES, 2005/60/ES a 2006/48/ES a ruší směrnici 97/5/ES. 1.3 Elektronické pobočky Už samotný vznik elektronického bankovnictví naznačuje rychlý rozvoj informačních technologií, které se promítají do oblasti bankovnictví a finančních služeb. Kanály přímého bankovnictví byly doposud vnímány jako produkty, které byly jako produkt nabízeny a prezentovány. Klienti získali určitý soubor služeb zabalený do balíčků, např. Mojebanka, Servis 24 apod. Tento způsob komunikace s klientem je výhodný jak pro banku z hlediska snižování nákladů, tak i pro klienta, který tím ušetří svůj volný čas. Avšak existuje zde velká nevýhoda pro banku a to je, že pokud klient nechodí na pobočku. Jak by mu měla banka prodat další produkty, jak s klientem komunikovat, jak klienta přesvědčit, aby si přišel na pobočku pro nový produkt apod. Banky proto začaly vnímat přímé bankovnictví nikoliv pouze jako produkt, ale zároveň jako způsob komunikace s klientem. V okamžiku, kdy klienti začínají vnímat jednotlivé kanály přímého bankovnictví jako komunikační kanál s bankou, je možné začít uvnitř banky budovat elektronickou pobočku. Elektronická pobočka se tváří vůči klientovi jako standardní kamenná pobočka, ale klient do ní vstupuje prostřednictvím elektronických kanálů. 8 Jestliže se klient bude chtít spojit se svou elektronickou pobočkou, zvolí si pouze způsob, který mu nejvíce vyhovuje v danou chvíli, např. internet, mobilní telefon, bankomat nebo osobního bankéře na telefonu. 7 Citace z: MÁČE, Miroslav. Platební styk klasický a elektronický. 1. Vyd. Praha: GRADA Publishing, 2006. Str. 159. ISBN 80-247-1725-5. 8 Citace z: FOLPRECHT, Pavel. Reálná alternativa k pobočkové síti [online]. Ihned.cz, 2009 [cit. 2011-10-30]. Dostupné z WWW: < http://bankovnictvi.ihned.cz/2-37195080-900000_d-11 >. 12

Produkty nabízené v elektronické pobočce by měly odpovídat produktům, které jsou nabízeny v kamenné pobočce banky. Klienti využívající přímé bankovnictví si mohou spravovat své finance kdykoliv to vyhovuje přímo jim. Nemohou však měnit všechny své služby či zřizovat nové bez návštěvy kamenné pobočky. Tuto skutečnost má změnit elektronická pobočka banky. Elektronické pobočky jsou zakládány většinou jako dceřiné společnosti již existujících bank, např. Zuno banka, dceřiná společnost Raiffeisenbank, a.s. Aby klient mohl uzavírat smlouvy bez nutnosti návštěvy pobočky a bez nutnosti písemné podoby smlouvy, je potřeba sloučit požadavky elektronické pobočky s pravidly zákona. Nejčastější možností uzavření smluvního vztahu je využití elektronického podpisu, potvrzení klientova souhlasu pomocí SMS klíče či PINu. Některé banky využívají k podpisu smlouvy přepravní společnosti, které přímo klientovi donesou smlouvu k podepsání. Elektronické pobočky mají určitě budoucnost v dnešním světě. Pro banky je obrovskou výhodou snižování nákladů na provoz banky. Tyto internetové banky nepotřebují rozsáhlou síť obchodních míst s mnoha bankéři. Banky díky propojení bankovních informačních systémů a komunikačních kanálů mohou vytvářet zcela nové typy produktů a služeb. Na druhou stranu při počáteční investici do nových technologií se náklady zvyšují. Proto se většinou jedná o dceřiné společnosti již existujících a zavedených bank, které disponují dostačujícími finančními prostředky. Pro klienty bank je největší výhodou ušetřený čas. Veškerá komunikace probíhá prostřednictvím komunikačních kanálů jako je počítač, internet, telefon apod. Bankovní služby jsou k dispozici 24 hodin denně, v tuzemsku i zahraničí. 1.4 Vymezení jednotlivých forem elektronického bankovnictví 1.4.1 Phone banking Phone banking, neboli telefonní bankovnictví byl velice oblíbený na počátku vzniku elektronického bankovnictví. Jedná se vlastně o první formy přímého bankovnictví. Vznik telefonního bankovnictví nastal díky masovému rozšíření pevných linek a později mobilních telefonů. V dnešní době již je tato služba na ústupu a místo této služby nastoupilo nejvíce využívané internetové bankovnictví. 13

Telefonní bankovnictví umožňuje komunikovat s bankou prostřednictvím telefonu bez návštěvy pobočky banky. Pro toto bankovnictví je důležité vlastnit telefonní přístroj s tónovou volbou nebo mobilní telefon. Poté stačí vytočit linku telefonního bankovnictví, která je poskytována u většiny bank bezplatně, a prokázat se svým identifikačním číslem a číslem PIN 9. Některé banky využívají zabezpečení pomocí elektronických klíčů. Šíře poskytovaných služeb je u jednotlivých bankovních institucí velice rozdílná. Většina bank umožňuje provádět platby, zadávat trvalé příkazy, otevírat vkladové účty, podávat různé žádosti. Některé transakce mohou být omezeny limitem. Klienti mohou získat i další informace jako je zůstatek jejich účtu, aktuální kurzy, úrokové sazby apod. Banky nabízejí telefonní bankovnictví ve dvou podobách. Klient má možnost se spojit prostřednictvím telefonu s živým pracovníkem banky, tzv. telefonním bankéřem, nebo se klient pomocí tlačítkové klávesnice svého telefonu spojí s automatickou hlasovou službou na straně banky, tzv. hlasovým informačním systémem IVR. V prvním případě se tedy na druhé straně linky ozve telefonní bankéř, který poskytuje plnohodnotné služby jako pracovník na pobočce banky. Je schopen poskytnout služby od nejrůznějších informací až po provedení příkazů k úhradě či založení termínovaného vkladu. Ve druhém případě se na druhé straně linky ozve takzvaný automatický hlasový systém IVR. Tento systém vykonává bankovní operace pomocí menu, které je ovládáno díky tónové volbě telefonního přístroje. Interactive voice response systém umožňuje získávání informací o aktuálním zůstatku, kurzech měn, zadávání příkazů k úhradě, konverzi měn či zřizování trvalých příkazů k úhradě. Pokud klient využívá služeb telefonního bankéře, není potřeba telefonní přístroj s tónovou volbou. Pro jednodušší operace se využívá automatické hlasové služby. Pro složitější zadávání příkazů klienti raději využívají telefonního bankéře, kde si jsou jisti, že vše proběhne správně. Všechny hovory jsou automaticky nahrávány a nahrávky jsou archivovány. Na obrázku číslo 1 je možné vidět schéma služby SERVIS 24 České spořitelny, které znázorňuje strukturu automatické hlasové služby. 9 PIN personal identification number (osobní identifikační číslo). Jde o identifikátor, pomocí kterého se lze autorizovat. 14

Obrázek 1: Schéma IVR České spořitelny Zdroj: Uživatelská příručka služeb SERVIS 24 dostupná z: www.csas.cz Mezi hlavní výhody patří rychlost a úspora času. Tato forma je také levnějším způsobem komunikace s klientem, než je komunikace přes kamenné pobočky. Nevýhodou je nepříliš široká nabídka služeb a obavy klientů z možného zneužití disponování s účtem. Telefonní bankovnictví i v současné chvíli patří mezi základní službu přímého bankovnictví, kterou banky nabízejí. 1.4.2 Wap banking WAP banking představuje obdobu internetového bankovnictví, která byla vytvořena pro mobilní telefony. Technologie WAP představuje zjednodušenou obdobu internetu pro využívání v mobilních telefonech. Jedná se o mobilní podobu www 10 stránek. Pomocí technologie WAP je možné zajistit přístup k internetu i prostřednictvím dalších bezdrátových zařízení jako je například palubní počítač v automobilech či osobní organizér. 10 www world wide web, nebo-li internetová aplikace protokolu http. Jedná se o soustavu propojených hypertextových dokumentů. 15

Pomocí mobilního telefonu a autorizačního klíče je možné zjišťovat zůstatek na účtu, zadávat příkazy k úhradě nebo zřizovat termínované vklady. Nevýhodou tohoto produktu je nízká rychlost připojení k internetu, celkem vysoké objemy přenášených dat a častá nekompatibilita WAP prohlížečů v mobilních přístrojích. V současné době službu WAP banking nenabízí žádná banka působící na českém bankovním trhu. 1.4.3 GSM banking Jedná se o bankovní službu, která vznikla v době rozšíření mobilních telefonů. Služba existuje ve dvou variantách, jako SMS banking anebo jako GSM banking využívající mobilní technologie GSM SIM TOOLKIT. SMS banking zajišťuje komunikaci banky prostřednictvím SMS zpráv. Komunikace s bankou probíhá tak, že zákazník pošle zprávu v požadovaném formátu bance, a jakmile banka zprávu zpracuje, pošle zpět klientovi SMS zprávu s požadovanými údaji. SMS zpráva může být např. ve formátu: ZUST_278348*11_049486_91297. SMS banking v současné době již není příliš využíván, jelikož klienti bank využívají pohodlnější formy komunikace s bankou. Druhou variantou je využívání technologie SIM TOOLKIT 11, která podporuje nahrání a užívání aplikací přímo ze SIM karty 12. Banka předá klientovi speciální bankovní software, jenž je nahrán na SIM kartu a díky němuž se klientovi v mobilním telefonu vytvoří jednoduché menu na vyhledávání. Jakmile si klient vybere požadovanou službu, odešle se bance SMS zpráva s informacemi a klientovi zpět přijde textová zpráva nebo email s vyžadovanou informací. Ve chvíli, kdy banka nahrává do mobilního telefonu bankovní aplikaci, sdělí klientovi jeho BPUK 13, který je nutný pro přístup k bankovním službám. Klient si pomocí BPUKu vytvoří ještě BPIN 14, který slouží pro uchování informací před případným zneužitím. Komunikace je zabezpečena pomocí šifrování, a často bývá stanoven i denní limit pro operace prováděné mobilním bankovnictvím. 15 11 SIM TOOLKIT představuje technologii, která podporuje přídavné funkce SIM karty. 12 SIM karta účastnická identifikační karta sloužící pro identifikaci účastníka v mobilní síti. 13 BPUK speciální kód, který je určen pro nastavení přístupového kódu BPIN pro přístup do GSM bankovnictví. 14 BPIN bankovní heslo, které slouží pro přihlášení do GSM bankingu. 15 Citace z: DLOUHÁ, Petra. Analýza produktů elektronického bankovnictví u vybraných subjektů v ČR. Bankovní institut vysoká škola Praha, 2010. 64s. Bakalářská práce. 16

GSM banking zajišťuje klientovi možnost jednoduše ovládat svůj účet, možnost provádět aktivní operace s bankovním účtem, jako jsou například zjištění aktuálního zůstatku na účtu, historie účtu, trvalé příkazy, možnost dobíjet si kredit apod. GSM banking se řadí mezi tzv. první generaci mobilního bankovnictví. Druhou generaci tvoří JAVA banking, který umožňuje ovládání účtu v online režimu, což znamená, že se přibližuje internetovému bankovnictví. Následující generaci mobilního bankovnictví bude tvořit mobile internet banking neboli tzv. smartphone banking, což představuje vlastně klasické internetové bankovnictví v mobilním telefonu. Tato generace umožní efektivní komunikaci mezi klientem a bankou. Mobilní telefon má v dnešní době již téměř každý a většina mobilních telefonů je vybavena webovými prohlížeči. Mobile internet banking umožní neomezený rozsah služeb, jednoduché ovládání jako v případě internetového bankovnictví a nové služby jako jsou např. mobilní platby za zboží a služby. 16 Tato budoucí generace mobilního bankovnictví přinese nový pohled na přímé bankovnictví. Klient může být vybaven od banky speciální mobilní aplikací, kterou si jednoduše nainstaluje do svého mobilního telefonu, anebo vše probíhá přímo přes webové stránky banky. GSM banking stále patří mezi základní služby elektronického bankovnictví, které nabízí většina bank v České republice. Obrázek číslo 2 zobrazuje schéma postupu přihlášení do menu GSM bankingu České spořitelny. Obrázek 2: Postup přihlášení do přehledného menu GSM bankingu Zdroj: vlastní zpracování Demo aplikace služby GSM banking dostupné z: www.csas.cz 16 Volná citace z: FOLPRECHT, P. Statisíce Čechů mají banku v mobilu. Bankovnictví. Číslo 11/2008. Str. 8-12. 17

1.4.4 Java banking Jde o spojení přenosného mobilního bankovnictví s komfortem bankovnictví internetového. Aplikace v mobilním telefonu komunikuje s bankou v on-line režimu, což znamená, že je schopna zajišťovat poměrně rychlou odezvu a podávat velmi aktuální informace v odpovídajícím rozsahu. Java banking oproti GSM bankingu či WAP bankingu komunikuje s bankou v on-line režimu přes datové připojení GPRS 17. Mezi základní podmínky pro Java banking patří podpora technologie JAVA 18, připojení k internetu a dostatek volného místa na SIM kartě kvůli nahrání bankovní aplikace. Bezpečnost Java bankingu je zajištěna vysokým zabezpečením prostřednictvím šifrované komunikace. Klient se do aplikace přihlašuje pomocí hesla a čísla PIN. Jako další bezpečnostní prvky se využívá karta optického klíče či zabudovaný bezpečnostní klíč, tzv. token. Java banking v současné době nabízí Unicredit bank jako Smart banku a Komerční banka jako Mobilní banku. Klienti mohou získávat aktuální informace o účtech a transakcích, pohodlně platit své účty, informace o aktuálních měnových kurzech. Výhodou Java bankingu je snadná ovladatelnost a velmi podobné ovládání účtu jako má internetové bankovnictví. 1.4.5 PDA banking PDA, nebo-li Personal Digital Assistant, představuje osobní kapesní počítač. PDA banking spojuje výhody obsluhy účtu z klasického PC s možnostmi ovládat účet mobilním telefonem odkudkoliv a kdykoliv. Tento druh přímého bankovnictví lze využívat bez nutnosti instalace speciálního softwaru od banky. Klient musí disponovat internetovým prohlížečem, který podporuje SSL 19 protokol a připojení k internetu prostřednictvím GPRS, případně synchronizací přes osobní počítač. K zabezpečení se využívá mobilní nebo osobní elektronický klíč. 17 GPRS general packer radio service. Jde o mobilní datovou službu přístupnou pro uživatele GSM mobilních telefonů. 18 JAVA představuje programovací jazyk vyvinutý společností SUN, který patří mezi nejpoužívanější programovací jazyky dnešní doby. 19 SSL secure societ layer (doslova vrstva bezpečných socketů). Je to protokol, resp. vrstva vložená mezi vrstvu transportní (např. TCP/IP) a aplikační (např. http), která poskytuje zabezpečení komunikace šifrováním a autentizací komunikujících stran. Protokol SSL se využívá pro bezpečnou komunikaci s internetovými servery pomocí HTTPS, což je zabezpečená verze protokolu http. Komunikace je tedy mezi serverem a klientem šifrovaná a tedy zabezpečená. 18

Obrázek 3: Náhled zadání jednorázového příkazu k úhradě přes PDA banking ebanky Zdroj: http://www.svethardware.cz/art_doc-869ce3295490cea5c12573c50031933a.html PDA bankovnictví nelze srovnávat s internetovým. Služby prostřednictvím PDA jsou omezené např. z důvodu velikosti formuláře. Lze zadávat platební příkazy, zakládat termínované vklady, zjišťovat disponibilní zůstatek na účtu, historii transakcí apod. PDA banking v České republice nabízí pouze Raiffeisenbank, která ho převzala po spojení s ebankou. Tento produkt jistě osloví běžné uživatele kapesního počítače, kteří ocení přehlednost služeb a uživatelskou jednoduchost. 1.4.6 Home banking Home banking, neboli PC bankovnictví, patří mezi nejdéle používanou službu přímého bankovnictví vůbec. Jedná se o propojení počítačového systému klienta s informačním systémem banky prostřednictvím datové sítě. Tato služba je využívána především korporátní klientelou, která může propojit svůj účetní systém s firemním účtem u dané banky. Dá se říci, že home banking je taková banka v kanceláři klienta. 19

PC bankovnictví umožňuje snadno zadat hromadné platební příkazy přímo z účetního systému. Prostřednictvím PC bankovnictví lze získat okamžité informace o aktuálních použitelných zůstatcích na účtech, jednoduše stahovat elektronické výpisy, se kterými je možné dále operovat v účetních a ekonomických programech. Klient tak může kdykoliv ovládat své účty, což mu ušetří čas a náklady. Systémy home bankingu u jednotlivých bank nabízí ovšem odlišný rozsah daných služeb. Pro klienta je tento způsob elektronické komunikace s bankou náročný na potřebnou elektronickou technologii. Nezbytná je instalace bankovní aplikace, se kterou se klient musí naučit pracovat, a zajištění připojení k internetu na osobním počítači klienta. Data jsou přenášena buď s využitím internetu přes šifrované SSL spojení, anebo přímým spojením na modem banky, zpravidla se jedná o vytočení telefonního čísla. Program home bankingu je licenčně vázaný na jeden počítač, resp. síť počítačů, a podle zákona je nelegální jej instalovat na jiné počítače. 20 Home banking zajišťuje nejvyšší stupeň zabezpečení z přímého bankovnictví vůbec. Tyto systémy si zakládají na vysoké bezpečnosti a ochraně přenosu dat. Ta je zajišťována formou šifrovacích klíčů, uživatelských hesel, algoritmů a elektronického podpisu. Klient se pak identifikuje elektronickým podpisem a kombinací přístupových hesel do systému. Nevýhodou této služby jsou relativně vysoké náklady z důvodu instalace aplikace u klienta a z hlediska náročnosti pak nutnost výkonných informačních technologií. Rozšíření home bankingu představuje systém MultiCash, který je založen na komunikaci mezi klientem a bankou prostřednictvím bankovního serveru. Přenášená data jsou šifrována a bezpečnost je zajištěna elektronickým podpisem. MultiCash představuje mezinárodní multibankovní systém, prostřednictvím něhož klient obsluhuje své účty vedené v různých bankách a v různých zemích. Tzv. banka v kanceláři v České republice je využívána od menších podnikatelů až po velké korporátní firmy a nabízí ji většina velkých bank. Home banking je podporou efektivnosti podnikání díky propojení bankovních účtů s účetními softwary. 20 Citace z: DLOUHÁ, Petra. Analýza produktů elektronického bankovnictví u vybraných subjektů v ČR. Bankovní institut vysoká škola Praha, 2010. 64s. Bakalářská práce. 20

1.4.7 Internet banking Internet banking neboli internetové bankovnictví je nejpoužívanější forma přímého bankovnictví vůbec. Komunikace mezi klientem a bankou je zajištěna prostřednictvím kteréhokoliv počítače připojeného na internet. Tato služba zajišťuje vysoký uživatelský komfort, jelikož je dostupná 24 hodin denně, 7 dní v týdnu, po celý rok a z kteréhokoliv místa na světě. Za zakladatele banky na internetu lze považovat společnost VISA. Ta v roce 1995 spustila svůj systém Electronic courtyard, který umožňoval kontrolu stavu účtu, zadávání bezhotovostních plateb a žádat o úvěry pomocí internetu. V České republice se za průkopníka internetového bankovnictví považuje Expandia banka (bývalá ebanka), která jako první nabídla prakticky veškeré formy přímého bankovnictví. Expandia banka tedy odstartovala internet banking v roce 1998. Klientovi ke komunikaci s bankou postačí jakýkoliv počítač, jenž je připojený na celosvětovou síť internet a má nainstalovaný příslušný internetový prohlížeč. Není tedy nutná instalace bankovních aplikací, jako je tomu u home bankingu. Počáteční náklady klienta a banky jsou taktéž u internetového bankovnictví nižší, než je tomu u PC bankovnictví. Tímto se tyto dvě služby výrazně odlišují. Připojení k internetu je možné pomocí pevné přípojky ve formě ADSL 21, přes bezdrátovou síť WIFI 22 či přes mobilní internet. Samozřejmostí u této služby je vysoký stupeň ochrany přenosu dat, který je zajištěn různými způsoby autentizace a autorizace transakcí. Mezi základní prvky zabezpečení patří elektronický klíč, mobilní klíč, ověřování prostřednictvím SMS, elektronický certifikát v souboru nebo na čipové kartě, přihlašovací heslo a jméno nebo kombinace uvedených prvků. Elektronický klíč generuje posloupnosti jednorázově použitelných autorizačních kódů. Pomocí elektronického klíče je tak klientovi vygenerováno heslo, jež je platné pouze pro jednu transakci. V praxi se elektronický klíč používá jako autentizační kalkulačka, což je fyzické zařízení podobné kalkulačce. Tento klíč nevyžaduje kromě ověřování přes internet žádnou další závislost na komunikacích jako je např. mobilní telefon. Odpadá zde nutnost 21 ADSL asymmetric digital subscriber line. Jedná se typ DSL (vysokorychlostní přenos dat). Vyznačuje se asymetrickým připojením, kdy je rychlost dat přenášených k uživateli vyšší, než rychlost dat odcházejících od uživatele směrem do internetu. 22 WIFI jedná se o bezdrátové připojení do sítě Internet v rámci rozsáhlejších lokalit. 21

instalace dodatečného softwaru či uložení souboru v počítači. Zneužití je možné při fyzické krádeži tohoto klíče a vyzrazení čísla PIN. Obrázek 4: Autentizační kalkulátor Zdroj: http://www.alsoft.cz/cz/products/security/vasco/strong-authentication-and-e- Signatures/ Mobilní klíč je obdobou elektronického klíče, ale je závislý na komunikaci prostřednictvím mobilního operátora, což znamená, že je také závislý na dostupnosti signálu. Je nutné mít nainstalovaný na SIM kartě speciální software od banky, který je zabezpečen číslem PIN. Zneužití je možné odcizením mobilního telefonu, či přímo SIM kartou a vyzrazením PIN kódu nezbytného pro přístup na kartu. Ověřování prostřednictvím SMS zpráv je závislé na komunikaci prostřednictvím mobilního operátora, tedy síle signálu, pokrytí v regionu, roaming apod. Prolomení pro případné hackery tkví v odcizení mobilního telefonu a jedné konkrétní SMS zprávě. Útočník po přihlášení do internetového bankovnictví pouze změní číslo mobilního telefonu a má možnost operovat s účtem dle svého uvážení. Elektronický certifikát vyžaduje uložený soubor v počítači či na přenosném zařízení (např. USB Flash) anebo uložený soubor na čipové kartě. Pokud se jedná o certifikát v souboru, je nutné při každém přihlášení zadat cestu k tomuto souboru v počítači a heslo do internetového bankovnictví. Není tedy možné se připojit ke svému účtu bez tohoto souboru. Obdobou je elektronický certifikát na čipové kartě. Tento způsob zabezpečení se považuje za jeden 22

z nejvyšších. Soubor je uložen na čipové kartě a taktéž při připojení musí být tento soubor bankovním serverem nalezen. Klient si musí zakoupit navíc čtečku čipových karet, aby bylo možné soubor načíst v počítači. Pokud by útočník chtěl získat přístup k danému účtu, musel by získat právě elektronický certifikát a ještě klientovo heslo. Obrázek 5: Čtečka čipových karet Zdroj: http://www.tvdigitalne.cz/smargo-smartreaderplus.html Přihlašování do internetového bankovnictví pomocí kombinace přihlašovacího jména a hesla se nedoporučuje. Jedná se o nejnižší stupeň formy zabezpečení. Klient si musí pamatovat pouze své přihlašovací jméno a heslo. Tato forma zabezpečení bývá doplněna většinou například potvrzovacím kódem, který přijde formou SMS zprávy na mobilní telefon klienta. Zneužití je velmi jednoduché, stačí opsání dat z klávesnice prostřednictvím kamery či speciálního programu v počítači a přístup k účtu je volný. Banky často používají ještě doplňkové zabezpečení. Mezi to patří například potvrzení příkazů k úhradě formou kódu, který přijde SMS zprávou. Klient si může nastavit jednodenní či týdenní limit transakce na svém účtu. Při každém pohybu peněz na účtu či při stanovém limitu je možnost opět zaslání SMS zprávy, která informuje o disponibilním zůstatku apod. Funkčnost internetového bankovnictví v případě jednotlivých bank se výrazně odlišuje. Získat přes internet banking přehled všech účtů, kterými klient disponuje, je samozřejmostí u všech bank, stejně jako sledování jejich zůstatku či historie. Zadávání platebních příkazů v rámci tuzemska je druhou standardní funkcí. Nezbytnou součástí služeb internetového bankovnictví je zadání příkazu k úhradě a inkasu, trvalý příkaz, povolení k inkasu, služba SIPO a zahraniční bezhotovostní platební styk. Mezi další služby, které se liší dle dané banky, 23

patří např. zakládání spořících a revolvingových účtů, správa úvěrových a termínových účtů, investování do podílových fondů nebo dobíjení kreditu mobilního telefonu. 23 Internet banking nabízí v současné době každá banka, která má ve svých službách elektronické bankovnictví. Jedná se bezpochyby o nejjednodušší ovládání bankovního účtu, a právě proto je tato forma jako nejvíce využívaná. 1.4.8 TV banking TV banking, nebo-li televizní bankovnictví, představuje formu obsluhy klientova účtu pomocí dálkového ovladače a televizní obrazovky. Původním záměrem tohoto bankovnictví bylo oslovit uživatele, kteří nevyužívají internet a nejsou ochotni kvůli každému požadavku navštěvovat pobočku banky. Je možné provádět jednorázové příkazy plateb, možnost nahlížení do historie účtu, zjištění zůstatku, správa trvalých příkazů, dobíjení kreditu mobilních telefonů či možnost zjistit si aktuální kurzovní lístek. Klient k ovládání svého účtu pomocí dálkového ovladače potřebuje běžný televizor, který je doplněn o speciální set-top box. Ten uživatel získá do pronájmu od poskytovatele celé služby, tedy od příslušné banky. Set-top box je vybaven GSM modulem s podporou GPRS komunikace, aby byl k dispozici fungující zpětný kanál pro komunikaci uživatele s bankou. 24 Uživatelům se pak na obrazovce televizoru zobrazí jednoduché menu díky aplikaci nahrané na set-top boxu. Přihlášení probíhá na základě identifikačního čísla a PINu. TV banking nabízí v České republice pouze Poštovní spořitelna, která tuto službu charakterizuje jako doplňkovou ke klasickému internet bankingu. Ovšem jedná se stále pouze o internetové bankovnictví na televizní obrazovce. Vyšší formou TV bankingu by byla komunikace s živým bankéřem přes televizní obrazovku. 23 Citace z: DLOUHÁ, Petra. Analýza produktů elektronického bankovnictví u vybraných subjektů v ČR. Bankovní institut vysoká škola Praha, 2010. 64s. Bakalářská práce. 24 Citace z: PETERKA, Jiří. Jaký bude TV banking? [online]. Lupa.cz, 2005 [cit. 2011-10-30]. Dostupné z WWW. < http://www.lupa.cz/clanky/jaky-bude-tv-banking/ >. 24

1.5 Rizika elektronického bankovnictví Digitální zločin se začal objevovat s rozvojem internetu a nabídkou finančních služeb na této celosvětové síti. Jedná se o nelegální aktivitu, při níž se útočník přes počítač snaží získat peněžní prostředky a převést je na jiný účet, anebo ukrást či smazat data v elektronických systémech banky. Banky se snaží o maximální ochranu dat přenášených na internetu. Tyto data jsou předmětem bankovního tajemství, a nesmí být tedy na cestě od klienta do zpracování v bance žádným způsobem zaměněna a ani rozluštěna pro případné zneužití. Proto je nejdůležitějším požadavkem zabezpečit systém přímého bankovnictví, a to jak ze strany banky, tak i ze strany klienta. Z hlediska bezpečnosti na straně banky se jedná o vysoké investice do zabezpečení jejich distribučních kanálů. Ovšem s vyšší úrovní zabezpečení stoupají také nároky na technologickou znalost v oblasti IT bezpečnosti pro běžného klienta. Ochrana systému banky je velice nákladná pro samotné banky. Jde o nové technologie, které se musí zaimplementovat do těch stávajících. Bezpečnost na straně klienta se týká především vyššího stupně formy zabezpečení přihlašování do bankovních aplikací. Doporučuje se potvrzování aktivních operací alespoň SMS zprávou. Taktéž samotný osobní počítač klienta je důležitý chránit. Je potřeba mít aktualizovaný antivirový program, nereagovat na emaily či zprávy, které nejsou potvrzené přímo bankou. V žádném případě se nesmí sdělovat informace jiným osobám, např. přihlašovací údaje. Důležité je nepřihlašovat se do elektronického bankovnictví z veřejných sítí, které jsou dostupné komukoliv, útočník pak snadno získá přihlašovací údaje. Odhlašovat se při každém odchodu od počítače, nemít tedy nastavené automatické přihlášení ke svému účtu. Mezi nejznámější typy podvodů patří tzv. phishing - dobrovolné zaslání přihlašovacích údajů. Napodobeninou phishingu je pharming přesměrování prohlížeče na stránku útočníka. Dalšími podvody bývá získání přihlašovacích údajů od uživatele na jejich PC pomocí 25

trojského koně 25, spyware 26, či přímé nabourání do systému, tzv. hacking. Informace lze získat taktéž od třetích stran, pomocí odposlechů či pomocí násilného donucování. 1.5.1 Phishing Phishing neboli rybaření je druhem internetového podvodu, díky němuž se podvodníci snaží uživatelům internetového bankovnictví ukrást přihlašovací údaje a na základě toho provést převod peněžních prostředků na svůj účet. K tomu, aby uživatele donutili vyzradit důvěrné informace, využívají podvodné emaily, které se tváří jako bankovní emaily informující např. o inovaci a nutnosti přihlášení do bankovní aplikace. V emailu je uveden přímo odkaz na danou webovou stránku, kam se mají uživatelé přihlásit. Tato stránka je pochopitelně nepravá a díky zadání přihlašovacích údajů útočníci získají přístup na účet klienta. Jedinou ochranou před phishingem je pouze zdravý rozum. Podstatou phishingu je nachytání počítačových uživatelů na falešné emailové dopisy, stejně tak jako se chytají ryby na návnadu. Banky doporučují, aby klienti nereagovali na tyto podvodné emaily. Pokud si klient myslí, že je dopis reálný, měl by si jej ověřit přímo u instituce, která email odeslala. 1.5.2 Pharming Pharming je dokonalejším a nebezpečnějším bratrem phishingu. Cílem pharmingu je automatické přesměrování původně zadané internetové adresy, na nějakou jinou podvodnou adresu, která je napodobeninou přihlašovací verze dané banky. Pokud uživatel pak zadá své přihlašovací údaje, útočník má vyhráno a může s účtem libovolně operovat. Pharming může být také pouze jakýsi prostředník mezi uživatelem a bankovním portálem. Prostředník, tedy útočník, pak do banky může posílat pouze autorizační údaje, zatímco informace o transakci (číslo účtu, částka), mohou být již zneužity. Proti pharmingu se lze chránit pouze aktualizovaným antivirovým systémem, který by měl být kvalitní, případně správně nakonfigurovaný firewall 27. 25 Trojský kůň Představuje počítačový vir, kdy je uživateli skrytá část programu nebo aplikace s funkcí, se kterou uživatel nesouhlasí (typicky je tato činnost škodlivá). 26 Spyware Jedná se o program, který využívá internet k odeslání dat z počítače bez vědomí jeho uživatele. 27 Firewall Představuje síťové zařízení, které slouží k řízení a zabezpečení síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a zabezpečení. 26

2. Metodologie Nejcennějšími zdroji informací v teoretické části byly především tištěné monografie týkající se elektronického bankovnictví, zákony a směrnice, elektronické zdroje a významným pramenem byla taktéž odborná periodika. Hlavními zdroji při vypracování této diplomové práce byly především informace z internetových stránek Fio banky, a.s.(někdy jen Fio), GE Money bank, a.s. (někdy jen GE MB) a Raiffeisenbank, a.s (někdy jen RfB). Pokud potřebné informace nebyly nalezeny na webových stránkách těchto bank, byly zjištěny na základě emailové komunikace či osobního kontaktu přímo se zaměstnanci uvedených bank. Veškerá komunikace probíhala bez jakýchkoliv nepříjemností a všechny otázky byly zodpovězeny. Pro komparaci požadavků bezpečnosti u internet bankingu, GSM bankingu a home bankingu byly zvoleny tři již zmíněné bankovní domy dle vlastního rozhodnutí. Zvolení těchto bank bylo založeno na atraktivnosti služeb nabízených jednotlivými bankami. Bylo navoleno pět základních požadavků, na základě kterých se vyhodnotila optimální varianta zabezpečení. Mezi zvolené požadavky patří typ zabezpečení, náročnost zřízení (instalace), doplňkové zabezpečení, doporučení pro uživatele a poplatek za zabezpečení. Konkrétní informace o zabezpečení byly přístupné na internetových stránkách a cenným zdrojem byly jednotlivé manuální příručky pro uživatele, ve kterých byla detailně popsána forma zabezpečení. Po celkové komparaci bylo provedeno vyhodnocení zjištěných informací. Pro srovnání úrovně zvolených forem elektronického bankovnictví byly zvoleny také již zmíněné tři banky. Byly určeny tři nejvyužívanější distribuční kanály z pohledu banky a to internet banking, GSM banking a home banking. Srovnávány byly základní parametry, jako je poplatek za vedení účtu, poplatky za zřízení, výpisy z účtu, což jsou základní ukazatele profilu těchto služeb. Dále byl srovnáván tuzemský bezhotovostní platební styk, zahraniční bezhotovostní platební styk a další možnosti těchto služeb. Na základě získaných informací byla provedena simulace dle konkrétních klientských požadavků a vybrána optimální varianta pro zvoleného klienta. Součástí obou komparací jsou přehledné tabulky, podle kterých je snadné určit, jaká banka je nejvhodnější variantou pro konkrétního klienta. Pro model simulace byl pro internet banking 27

zvolen zaměstnanec reklamní agentury, pro GSM banking student střední školy, a pro home banking byl vybrán malý až středně velký podnikatel. Všechny údaje jak z komparace, srovnání a simulace včetně obchodních podmínek a manuálních doporučení se vztahují ke dni 30. 10. 2011. Zjištěné poznatky jak z komparace požadavků bezpečnosti, srovnání úrovně zvolených forem elektronického bankovnictví i simulace třech konkrétních klientů, vyústily v syntézu obsahující závěrečné výsledky a perspektivy elektronického bankovnictví v České republice. 28

3. Komparace požadavků a vyhodnocení bezpečnosti u internet-, GSM-, Home-bankingu Bezpečnost elektronického bankovnictví vždy byla a bude jedním z nejdůležitějších faktorů, který má přímý vliv na chování klientů bank i jiných finančních institucí. Je třeba nepřetržitě sledovat možné hrozby a zároveň i nové příležitosti, proto je potřeba se bezpečnosti věnovat neustále. Právě jistota klientů, že jejich finanční prostředky jsou v bezpečných rukách, je pro banku velice důležitá. Při komunikaci mezi bankou a klientem by měla být jednoznačně zajištěna důvěrnost zpráv, identifikace banky, identifikace klienta a prokazatelnost zadaného požadavku. Zpráva se považuje za důvěrnou, pokud se dostane k oprávněnému příjemci. Přenášená data jsou v dnešní době již kódována. Identifikace banky a identifikace klienta znamená, že každý z nich si musí být jistý, že komunikuje s tím správným příjemcem na druhé straně. Jako poslední je uvedena prokazatelnost zadaného požadavku, což znamená, že klientovi či bance lze prokázat, že byla odeslána příslušná zpráva či požadavek. Systémy elektronické komunikace klienta s bankou jsou výrazně ovlivněny používaným technickým a softwarovým vybavením. Komunikace je zajišťována pomocí šifrování. Tzn., že data jsou zašifrována odesílatelem a k jejich odšifrování je oprávněn pouze příjemce zprávy, tedy buď banka anebo klient. Nejnáročnější techniky šifrování se používají u home bankingu pomocí speciálních komunikačních programů. I ze strany klienta může dojít k pochybení a proto banky nabízejí tzv. doporučení pro bezpečnou práci elektronického bankovnictví. Mezi hlavní doporučení, která již byla zmíněna, patří používat pouze důvěryhodné servery a komunikovat tedy přímo s poskytovatelem služeb. Jedná se tedy o potřebu kontroly, zdali je spojení zabezpečeno a zdali klient komunikuje skutečně se svou bankou. Je důležité chránit své elektronické klíče, certifikáty, PINy apod. Není tedy vhodné sdělovat dalším osobám informace o svém zabezpečení, případně přímo vyzrazení PIN kódů. 29

Mezi základní požadavky této komparace, které byly zvoleny a budou vyhodnoceny, patří: typ zabezpečení; náročnost zřízení (instalace); doplňkové zabezpečení; doporučení pro uživatele; poplatek za zabezpečení. 3.1 Fio banka, a.s. Fio banka je novou bankou na českém bankovním trhu, která vznikla v roce 2010. Její historie se však datuje od roku 1993, kdy vznikla finanční skupina Fio. Ta působila jako družstevní záložna do té doby, než získala bankovní licenci. Jedná se o ryze českou banku, která nabízí poskytování tradičních bankovních služeb a zprostředkování obchodů s cennými papíry. Fio banka vlastní společnost RM-SYSTÉM, která se stala v roce 2008 standardním burzovním trhem v České republice. 3.1.1 Internetbanking Majitelé internetového bankovnictví Fio banky se mohou připojit ke svému účtu odkudkoliv a z jakéhokoliv počítače. Což znamená, že přístup do aplikace je zabezpečen uživatelským jménem a heslem. Každá aktivní operace je chráněna vícestupňovým zabezpečením ve formě SMS kódů, elektronických klíčů anebo jejich kombinací najednou. Pokud si klient zvolí zabezpečení pomocí SMS kódů, musí bance zadat telefonní číslo, na které budou zasílány SMS s autorizačním kódem. Banka nabízí klientovi navolit si délku SMS kódu, počet možných pokusů pro zadání tohoto unikátního kódu, a taktéž dobu, do kdy je možné tento kód zadat pro potvrzení aktivní operace s účtem. Ochrana pomocí elektronického klíče nabízí kvalitní ochranu vlastního účtu. Před prvním použitím internet bankingu je třeba spustit aplikaci pro podepisování pokynů, díky které si klient vytvoří elektronický podpis. K podpisu pokynu slouží aplikace Fio-podpis Java verze (Fio JWS). Při prvním spuštění bankovní aplikace je nutné provést instalaci Java, nastavení prostředí a vygenerování prvního klíče. 30

Tabulka 2: Instalace FioJWS Požadavky na systém Instalace Java Nastavení prostředí Aplikace je nezávislá na operačním systému. Instalace programu Java s verzí vyšší 1.6 od společnosti SUN Nutnost uložení v počítači dvou souborů pro vyšší bezpečnost. Jedná se o elektronický podpis skládá se z veřejného a soukromého klíče. Druhým souborem je otisk klíče. Zdroj: vlastní zpracování na základě údajů banky Poté je nutné provést vygenerování prvního klíče a spustit aplikaci FioJWS pro export veřejného klíče do banky. Proto, aby byl veřejný klíč aktivován, musí klient navštívit pobočku banky, kde uzavře smlouvu o elektronické správě účtu a získá uživatelské heslo. Obrázek číslo 6 znázorňuje okno pro vygenerování prvního klíče. Kdy označení číslo 1 znamená zadání uživatelského jména, číslo 2 žádá zadat cestu k cílovému adresáři soukromého klíče, číslo 3 zobrazuje generování klíče po zadání hesla, číslo 4 zobrazuje spojení se serverem Fio a číslem 5 se vygenerování prvního klíče potvrdí a odešle do banky. Obrázek 6: Vygenerování prvního klíče Zdroj: Manuál aplikace Fio-podpis(java) dostupný z: www.fio.cz 31

Obrázek číslo 7 znázorňuje export veřejného klíče do banky. Pod číslem 1 je znázorněna ikona exportu veřejného klíče do banky a číslo 2 nabízí možnost tisku veřejného klíče a jeho otisk. Obrázek 7: Export veřejného klíče do banky Zdroj: Manuál aplikace Fio-podpis(java) dostupný z: www.fio.cz Při dalších přihlášeních a potvrzeních aktivních operací, server Fio zašle žádost na počítač klienta o spuštění aplikace FioJWS, která zajistí stažení aktuální verze aplikace a její spuštění. FioJWS nalezne v uloženém souboru cestu k soukromému klíči a klient musí zadat heslo chránící tento klíč. Odešle se zašifrovaná žádost na server Fio, který po ověření identity zasílá aktivní pokyny k autorizaci. Poté dochází k nabízení podpisu jednotlivých aktivních pokynů, které byly zadány přes internet banking. 3.1.2 Smartbanking Fio banka klasický GSM banking s aplikací SIM TOOLKIT nenabízí. Jako alternativu nabízí tzv. 3. generaci mobilního bankovnictví a tím je Smartbanking. Klient tedy může operovat se svými prostředky v mobilním telefonu podobným principem jako přes internetové 32

bankovnictví. Smartbanking nabízí přístup k obsluze vlastního telefonu kdekoliv a kdykoliv. Smartbanking podporuje platformy operačních systémů mobilních telefonů iphone ios 4.0 a výše, a operační systém Android 2.0 a výše. Pro používání této aplikace si klient musí stáhnout do svého mobilního telefonu příslušnou bankovní aplikaci přímo z internetového obchodu AppStore anebo Android Market, která zajišťuje informativní část, adresář poboček apod. Pro aktivní operace je nutné vytvoření přístupových údajů přes internetbanking. Je třeba uvést sériové číslo mobilního telefonu jako unikátní kód, zvolit si další bezpečnostní prvky jako je login, heslo, PIN pro potvrzování transakcí. Veškeré změny je pak nutné autorizovat v internetovém bankovnictví pomocí SMS kódu nebo elektronického klíče. Smartbanking je tedy úzce spojený s internet bankingem. Proto aby klient mohl využívat tzv. chytrou banku v mobilu, musí mít zřízené internetové bankovnictví Fio banky. Obrázek číslo 8 zobrazuje náhled Smarbanking Fio banky. 33

Obrázek 8: Náhled Smartbanking Fio banky Zdroj: Náhledy aplikace Smartbanking dostupné z: www.fio.cz 3.1.3 Home banking Fio banka bohužel klasický home banking nenabízí, a tak je podnikatelům k dispozici pouze internet banking. V rámci internetového bankovnictví je ovšem možné načíst a odeslat dávku plateb vytvořenou v účetním systému pomocí ABO importu. Celý proces je velmi jednoduchý a nenáročný na instalaci. V internetovém bankovnictví klient vybere pokyn ABO import a v dalším kroku vloží ABO soubor, který je odeslán do banky. Zabezpečení probíhá na stejném principu jako u Internetbankingu, tedy formou SMS kódů, elektronických klíčů anebo jejich kombinací najednou. Pro podnikatele Fio banka nabízí možnost vícenásobného podpisu. 34

Obrázek číslo 9 a 10 zobrazuje průběh importu ABO souboru, který bude následně odeslán do banky. Obrázek 9: Internetbanking Fio banky - pokyn ABO import Zdroj: Demo verze Internetbanking Fio banky dostupná z: www.fio.cz Obrázek 10: Internetbanking Fio banky - ABO import Zdroj: Demo verze Internetbanking Fio banky dostupná z: www.fio.cz Internetbanking pro podnikatele od Fio banky s možností ABO importu je alternativou ke klasickému home bankingu, navíc bez nutnosti složité instalace či nadstandardních poplatků za zabezpečení. 3.2 GE Money Bank Společnost GE (General electric) byla založena v roce 1892. V České republice začala působit jedna z divizí GE v roce 1997 a to skupina GE Money, která se skládá ze tří společností: GE 35

Money Bank, GE Money Multiservis a GE Money Auto. GE Money Bank je univerzální bankou, což znamená, že se orientuje jak na občany, tak na malé a střední podniky. GE MB patří mezi banky, které jako první v Čechách přinesly např. plnohodnotný elektronický výpis, refinancování hypoték, odměňování klientů penězi za používání platebních karet apod. 3.2.1 Internet banka GE Money Bank pro své klienty nabízí internetové bankovnictví ve formě Internet banka. Klienti GE MB si mohou ověřit identitu webových stránek banky tak, že kliknou na logo společnosti VeriSign, která zabezpečuje správnou certifikaci, a tak si ověří, zdali se hlásí do Internet banky na správných stránkách. Do internetového bankovnictví se klienti mohou přihlásit přes tři zabezpečení: Internet Banka s mobilním klíčem, Internet Banka s certifikáty anebo Internet Banka Mini. Do internetového bankovnictví, které je zabezpečené formou mobilního klíče, se klienti přihlašují přes zadání přihlašovacího jména a hesla a případně mobilního klíče, což je volitelné. Každou aktivní operaci je nutné potvrdit mobilním klíčem, který je zasílaný zdarma na mobilní telefon registrovaný v bance. Přenos dat přes internet je chráněn šifrováním (SSL, 168 bitů). Jako další ochrana se používá nastavení denního limitu pro převádění finančních prostředků pouze do dané výše např. denně. Internet Banka s certifikáty je nejbezpečnější forma přístupu ke svému účtu, který GE Money bank nabízí. Klient si musí vygenerovat digitální certifikát, který slouží k prokázání identity při vstupu do internetového bankovnictví či při podepisování transakcí. Tzn., že všechny aktivní operace musí být podepsány digitálním podpisem neboli podpisovým certifikátem. Přístup je zabezpečen zadáním identifikačního čísla a hesla na počítači s naimportovaným digitálním certifikátem (SSL certifikát). První SSL certifikát se vygeneruje pomocí tzv. registrační autority, což je webová aplikace pro obnovu certifikátu. Opět je možné nastavit si denní limit. Internet Banka Mini slouží pouze k nahlížení na účet, což znamená, že neumožňuje provádět zasílání transakcí. Přístup je možné přes přihlašovací jméno a heslo. GE Money Bank nabízí pro své zákazníky příručku Pravidla bezpečného užívání Internet Banky. Banka informuje klienty, aby nereagovaly na emailové zprávy, které je žádají o zadání jejich osobních dat. Klient by si měl ověřovat, jestli se hlásí na správné stránky 36

Internet Banky. Obrázek číslo 11 znázorňuje náhled na přihlašovací stránku internetového bankovnictví GE MB. Klienti kontrolují nejdříve bod A, jestli se přihlašují na správnou adresu. V novějších internetových prohlížečích bod B zobrazuje ikonu zamčeného visacího zámku, a po kliknutí na ikonu visacího zámku se zobrazí informace o bezpečnostním certifikátu. Bod C znázorňuje logo společnosti VeriSign Security, kdy po kliknutí na toto logo se otevře stránka s informacemi o bezpečnostním certifikátu vystaveného pro doménu GE Mony Bank. Obrázek 11: Náhled na přihlašování stránku GE Money Bank Zdroj: Pravidla bezpečného užívání Internet banky dostupné z: www.gemoney.cz Zásady zabezpečení přes mobilní klíč je také vhodné dodržovat. Je důležité číst danou SMS zprávu, která informuje nejenom o daném kódu, ale popisuje i druh transakce, která bude autorizována pomocí toho kódu. Klienti by dále měli chránit svůj počítač ve formě aktualizace operačního systému, aktualizace internetového prohlížeče, instalace antivirového programu apod. Neměli by svá hesla sdělovat dalším osobám, nepoužívat jednoduchá hesla, nepovolovat v žádném nastavení počítače zapamatování hesla. 37

3.2.2 Banka v mobilu Banka v mobilu umožňuje vyhledání informací o bance, informace o transakcích, či provedení příslušného převodu peněžních prostředků. Nabízí celkem 5 služeb v oblasti Banky v mobilu v závislosti na možnostech mobilního telefonu klienta či jeho požadavku. Jedná se o Internet Banku v mobilu, Mobilní verze internetových stránek, Mobil banku (GSM Banking), SMS servis nebo Odměny za dobití. Internet banka v mobilu je určena pro snadné a pohodlné používání ve webových prohlížečích tzv. chytrých telefonů. Nabízí informace o zůstatku, historie transakcí, odesílání plateb, dobití předplacené karty atd. Nutností je tedy telefon s připojením k internetu a zřízení Internet banky Mini nebo Internet Banky s mobilním klíčem. Pak již stačí zadat příslušnou webovou adresu http://m.gemoney.cz a přihlásit se jako do internetového bankovnictví přes přihlašovací údaje. Jsou podporovány mobilní prohlížeče jako je Android Browser, Series 60 web browser, Safari, Dolfin Browser, Opera Mobile, Internet Expolorer Mobile a Blackberry Browser. Zabezpečení je tedy na stejném principu jako u Internet banky Mini nebo Internet Banky s mobilním klíčem. Mobilní verze internetových stránek je alternativou pro ty, kteří zrovna nejsou u svých počítačů a potřebují vyhledat bankomat či pobočku. Je možné vyhledat bankomaty nebo pobočky, zjistit aktuální kurzy měn, spočítat výši měsíční splátky hypotéky, sjednat si schůzku s bankéřem nebo se přihlásit do své Internet Banky v mobilu. Mobil banka nabízí klasické mobilní bankovnictví pro ty, kteří nejsou vlastníky chytrých telefonů. Jedná se o nahrání bankovní aplikace na SIM kartu mobilního telefonu, která umožní obsluhu účtu pomocí šifrovaných SMS zpráv. Mobil banka umožňuje zjištění zůstatku na účtu, odesílání plateb, zadání nebo zrušení příkazů a dobití předplacených karet. Pro zřízení této služby klient musí mít běžný účet u GE Money Bank, mobilní telefon podporující SIM Toolkit a bankovní SIM kartu aktivní v síti mobilního operátora O2, T-mobile nebo Vodafone. GSM banking se aktivuje pomocí tzv. BPINu, který klient obdržel od operátora při nahrání bankovní aplikace na SIM kartu. Jak si zaktivovat Mobil banku u operátora T-mobile znázorňuje obrázek č. 12. 38

Obrázek 12: Aktivace GSM bankingu u mobilního operátora T-mobile Zdroj: Manuál Mobil Banka T-mobile dostupný z: www.gemoney.cz Přihlášení do GSM bankingu se pak provádí již pouze přes BPIN. Pokud chce klient provést příkaz k úhradě, tak všechny údaje vypisuje postupně do menu bankovní aplikace. Je důležité si pamatovat, že např. oddělení předčíslí čísla bankovního účtu se nahrazuje symbolem *, stejně tak jako desetinná čárka. SMS servis představuje službu, která informuje o každé změně zůstatku na účtu, pravidelně o aktuální výši zůstatku, o pohybu na účtu či upozorňuje na záporný disponibilní zůstatek. Služba Odměny za dobití představuje partnerskou finanční odměnu v rámci tohoto věrnostního programu se společností O2. 3.2.3 BankKlient BankKlient je službou, která představuje home banking. Mezi systémové požadavky patří operační systém Microsoft Windows (Vista, XP, 2003, 2000), Microsoft SQL server verze 8 nebo 9. Klient si může vyzkoušet nejdříve demo verzi BankKlienta a poté se může rozhodnout, zdali bude službu využívat. Pokud se klient rozhodne, že tuto službu bude využívat, musí uzavřít Smlouvu o elektronickém platebním styku prostřednictvím programového produktu BankKlient na 39

příslušné pobočce. Po vyplnění žádosti klient obdrží instalační CD a dle návodu nainstaluje program BankKlient na svůj počítač. Pro GE Money bank není problém, aby instalaci home bankingu provedli školení odborníci. Dojde k vygenerování klíče elektronického podpisu, který se předá přímo bance a klient může využívat služeb programu BankKlient. Systém BankKlient využívá pro zabezpečení přenášených dávek 28 mezi bankou a klientem elektronický podpis, který patří mezi nejmodernější způsoby zabezpečení dat. Používání elektronického podpisu zaručuje integritu zpráv a jejich sekvence, odhalí případnou modifikaci obsahu zpráv přenášené dávky, znemožní zkopírování nějaké zprávy, nedovolí, aby došlo ke ztrátě nějaké zprávy či ke změně pořadí. 29 Společně s elektronickým podpisem se používá tajný a veřejný klíč. Tajný (privátní) klíč slouží pro odesílání dávek opatřených elektronickým podpisem a je přístupný při znalosti přístupového hesla. Veřejný klíč je předáván příjemci dávek zpráv a slouží k ověřování elektronického podpisu přijaté dávky. Pro vyšší bezpečnost proti zneužití je možné libovolně generovat klíče nové. Zabezpečení dat lze zvýšit použitím tzv. hardwarového šifrovacího klíče, který využívá algoritmus DES. 30 BankKlient je určen hlavně pro firemní klientelu, která může propojit svůj účetní systém s touto bankovní aplikací. Převzetí transakcí z účetního systému nabídne nejprve výběr účetního systému, který má být přijat. Dále se zobrazí adresář, ze kterého má být příjem textového souboru. Tento přenos je povolen pouze pro neduplicitní název textového souboru. Tento soubor je kontrolován formálně a logicky. Mezi formální kontrolu patří např. nedodržení správné délky zprávy, která je max. 30 znaků. Logická kontrola představuje např. směrový kód banky, který musí být definován v číselníku banky, částka nesmí být rovna 0 atd. Závěr příjmu textového souboru je uveden do protokolu přenosu. Přijaté transakce tvoří spolu s pořízenými transakcemi a transakcemi z pravidelných plateb vstup uzávěrky, jejímž výstupem je dávka určená k odeslání do banky. Zpracování dávek je v bance prováděno třemi způsoby: dávkové (s odloženým zpracováním), v reálném čase s případným odloženým zpracováním a v reálném čase. Dávkové zpracování se používá, pokud dávky obsahují tuzemské transakce, jejichž počet je vyšší, než limit (aktuálně 400). V reálném čase s případným odloženým zpracováním se provádějí transakce 28 Dávka textový soubor tvořený jednou nebo více zprávami. Jedná se o základní jednotku, která je určená pro přenos informací mezi bankou a klientem. 29 Citace z: BankKlient [online]. GEmoney.cz, 2011 [cit. 2011-10-30]. Dostupné z WWW: < http://www.gemoney.cz/documents/cz/primebankovnictvi/bk-prirucka.pdf >. 30 Algoritmus DES Jedná se o šifrovací algoritmus, který používá dvě základní kryptografické techniky konfúzi a difúzi. 40

s počtem menším než 400, zahraniční platby, odvolání příkazů, povolení k inkasu a trvalých příkazů. V reálném čase se zpracovávají požadavky na aktuální informace, jako jsou zůstatky, blokace, zaúčtované transakce či povolení k inkasu. Obrázek číslo 13 popisuje základní operace služby BankKlient. Obrázek 13: Základní operace BankKlient Zdroj: BankKlient příručka dostupná z: www.gemoney.cz 3.3 Raiffeisenbank Raiffeisenbank a. s. poskytuje od roku 1993 v České republice široké spektrum bankovních služeb soukromé i podnikové klientele. V roce 2006 zahájila společné propojení s ebankou. Integrační proces obě banky dokončily v létě roku 2008. Raiffeisenbank obsluhuje klienty v síti více než 100 poboček a klientských center, poskytuje rovněž služby specializovaných hypotečních center, osobních či firemních poradců. 31 31 Volná citace z: Profil banky [online]. Raiffeisenbank.cz, 2011 [cit. 2011-10-30]. Dostupné z WWW: < http://www.rb.cz/o-bance/o-bance/profil-banky/ > 41

3.3.1 Internetové bankovnictví Internetové bankovnictví Raiffeisenbank nabízí maximální zabezpečení přístupu ke službám osobního účtu díky vícestupňovému přihlášení. Klienti se nejdříve jako u ostatních bank musí autentizovat (přihlašovací jméno a heslo), čím se ověří jejich identita a pro aktivní operace probíhá certifikace, která zajišťuje správnost předávaného pokynu. Banka nabízí způsob výběru zabezpečení jako je mobilní elektronický klíč, mobilní elektronický klíč SMS, osobní elektronický klíč a internetový elektronický klíč. Mobilní elektronický klíč je vhodný pro ty, kteří chtějí svůj mobilní telefon využít pro zabezpečení svých finančních transakcí a přístupu na účet. Mezi technické požadavky tohoto zabezpečení patří SIM karta, která musí podporovat technologie SIM Toolkit a mobilní telefon podporující taktéž tuto technologii. Respektive se jedná o elektronický klíč, který je nahrán na SIM kartě klienta a je přístupný po zadání osobního identifikačního čísla BPIN. Komunikace s bankou probíhá šifrovaně. Mobilní elektronický klíč je závislý na signálu příslušného mobilního operátora. Banka přímo doporučuje chránit svůj BPIN a BPUK před třetí osobou a kontrolovat stav peněz na účtu, aby se k nim nedostala neoprávněná osoba. Mobilní elektronický klíč SMS se používá u telefonů, které nepodporují technologii SIM Toolkit anebo u zahraničních telefonních čísel. Pro přihlášení zvolí klient svůj mobilní telefon a čtyřmístný číselný kód I-PIN (případně T-PIN pro telefonickou komunikaci s klientskou linkou banky), který získá při aktivaci mobilního elektronického klíče SMS přímo na pobočce. Opět se doporučuje nevyzrazovat I-PIN a T-PIN třetím osobám a pravidelná kontrola stavu účtu. Osobní elektronický klíč je univerzálním hardwarovým prostředkem k zabezpečení internetového bankovnictví. Tento klíč je nezávislý na pokrytí mobilní sítě a technickém vybavení používaného počítače. Osobní elektronický klíč je chráněn čtyřmístným PINem. Jedná se o tzv. autentizační kalkulátor. Nedoporučuje se sdílet PIN elektronického klíče třetím osobám. Parametry transakce do osobního elektronického klíče by se měly zadávat přímo z faktury, složenky, jedná se o právoplatné doklady. 3.3.2 GSM bankovnictví Díky mobilnímu telefonu a GSM bankovnictví může mít klient Raiffeisenbank neustálou kontrolu nad svými finančními prostředky. Podmínkou získání je mobilní telefon podporující 42

SIM Toolkit a bankovní SIM karta. Pokud se nejedná o SIM kartu, která podporuje GSM banking, není problém požádat svého operátora, jež SIM kartu vymění. Přístup ke službám na účtu je zabezpečen dvouprvkově. Nejdříve se ověřuje totožnost uživatele pomocí určené SIM karty a pro přístup do bankovní aplikace GSM banking se musí zadat bankovní PIN, který zná pouze uživatel. Přenos zpráv mezi uživatelem a bankou je šifrován prostřednictvím 3DES certifikátu, který je uložen na SIM kartě, což umožňuje čtení zpráv pouze uživateli a bance. Raiffeisenbank opět doporučuje bezpečnostní zásady pro používání služby GSM bankovnictví. Základem bezpečnosti je nikomu nesdílet bankovní PIN, při ztrátě mobilního telefonu se SIM kartou ihned kontaktovat banku a zablokovat službu. 3.3.3 Elektronické bankovnictví Elektronické bankovnictví Raiffeisenbank nabízí propojení účetního systému s firemními účty. K tomuto propojení slouží tzv. ekomunikátor, jedná se o software, který umožňuje jednoduchým rychlým a bezpečným způsobem zasílat prostřednictvím internetu do banky hromadné příkazy vytvořené v účetním systému. Raiffeisenbank má tři technické požadavky na tuto službu. Prvním je to, že ekomunikátor může být nainstalován pouze na počítačích s operačním systémem Windows, což pro některé firmy může být nevýhoda. Počítač musí být připojen k internetu, musí být nainstalován aktualizovaný antivirový program apod. Třetím požadavkem je to, že účetní systém musí podporovat vytváření platebních příkazů a import výpisů do účetního systému v ABO nebo GEMINI formátu. ekomunikátor se skládá ze tří aplikací, které se musí nainstalovat pro spuštění této služby. Nejprve proběhne instalace ekomunikátoru, což je aplikace pro odesílání a příjem dávek. Program Klíče je druhým prvkem instalace, který vytvoří a spravuje Soubor osobních Informací (SOI). Slouží tedy pro generování a správu Soukromého a Veřejného klíče, a ke správě certifikátů banky a Dávkového certifikátu. Funkcí klíčů a certifikátů je elektronické podepisování dávek a ověřování pravosti těchto podpisu při vzájemné komunikaci mezi bankou a firemním klientem. Dále zajišťuje funkci šifrování dávek do nesrozumitelné podoby pro neoprávněné uživatele a manuální zpracování, které slouží pro uživatele, kteří nevlastní 43

účetní systém podporující ABO nebo GEMINI formát. Představuje tedy aplikaci pro tvorbu dávek s platebními příkazy. Jednotlivé dávky do banky a z banky se mohou odesílat nebo přijímat buď prostřednictvím ekomunikátoru anebo přímo z webových stránek. Pokud klient zvolí formu přes ekomunikátor, musí si spustit tento program a příslušnou dávku odešle do banky. Pro podpis mu slouží elektronický podpis uživatele a heslo do SOI. Dále musí být dávka certifikována kódem, který vygeneruje osobní nebo mobilní elektronický klíč. Dávka se šifrovaně odešle do banky po stisku tlačítka Šifrovat/Odeslat a po zadání hesla do SOI. Program ekomunikátor je znázorněn na obrázku 14, který zobrazuje odeslání dávky do banky. Obrázek 14: Odeslání dávky do banky přes ekomunikátor Zdroj: Manuál ekomunikátoru dostupný z: www.rb.cz Druhým způsobem odeslání dávky do banky je přes www stránky. Dávky musí být řádně podepsány a certifikovány prostřednictvím ekomunikátoru a uloženy na harddisk počítače. Dávky musí být ve formátů ABO anebo GEMINI. Klient se pak přihlásí do systému internetového bankovnictví pro firemní klientelu pomocí příslušného zabezpečení. V menu zvolí záložku Dávková komunikace Odeslání dávky a přidá příslušnou dávku, kterou potvrdí a odešle bance. Klientovi se hned zobrazí v bankovní aplikaci přijaté dávky. Přijaté dávky se mohou dodatečně i certifikovat pomocí vygenerovaného kódu přes osobní nebo 44

mobilní elektronický klíč, či se může dávka podepsat elektronickým podpisem. Odeslání dávky do banky a přehled přijatých dávek je vidět na obrázku č. 15. Obrázek 15: Odeslání dávky do banky a přijaté dávky Zdroj: Demo verze internetového bankovnictví dostupná z: www.rb.cz 45