Security Measures
Effective: March 2024
This document (the Security Measures) sets out mandatory security requirements (as amended from time to time) relating to any E-Channel Profile.
For the avoidance of doubt, the Security Measures will apply in relation to each E-Channel Profile that the Profile Bank provides to the Profile Owner from time to time.
Security Measures | التدابير الأمنية (Arabic) | Անվտանգության Միջոցներ (Armenian) | Langkah-Langkah Pengamanan (Indonesian) | 安全措施 (Chinese - Simplified) | 保安措施 (Chinese Traditional) | Bezpečnostní opatření (Czech) | Mesures de sécurité (French Canadian) | Mesures de sécurité (French France) | 보안 조치 (Korean) | Środki Bezpieczeństwa (Polish) | Medidas de Segurança (Portuguese) | Medidas de seguridad (Spanish - Mexico) | Medidas de seguridad (Spanish – Spain) | Security Measures (Vietnamese)
This document (the Security Measures) sets out mandatory security requirements (as amended from time to time) relating to any E-Channel Profile.
For the avoidance of doubt, the Security Measures will apply in relation to each E-Channel Profile that the Profile Bank provides to the Profile Owner from time to time.
Profile Bank Security Measures
The following paragraphs set out the security measures which the Profile Bank will use.
General
- The Profile Bank may use measures intended to prevent access by unauthorised external parties to the E-Channel infrastructure.
- The Profile Bank can remove or disable any Accessed Service or authentication method at any time without notice if it has any security concerns.
- If the E-Channel Profile has not been accessed by any Users within an 18- month period, the Profile Bank can suspend that E-Channel Profile.
- The Profile Bank may terminate any User’s session in the EChannel Profile for security reasons.
HSBCnet
- The Profile Bank can suspend any HSBCnet User who has not logged into HSBCnet in a 6-month period.
Profile Owner Security Measures
The following paragraphs set out the security measures with which the Profile Owner will comply for the E-Channel Profile to which it has access.
General
- The Profile Owner will, and will ensure that any Third Party will,promptly acquire, maintain, update and install (as relevant) any equipment, software, telecommunications facilities, networks,connections, patches, releases and / or updates which the Profile Bank or relevant provider requires.
- The Profile Owner will, and will ensure that any Third Party will, regularly review its internal security measures and controls to ensure that they are up-to-date, effective, and aligned with regulatory and industry best practice guidance. The internal security measures and controls should include (without limitation) malware protection, network restrictions, hardware and software patching or evergreening, physical and remote access restrictions, computer device settings, monitoring of improper usage, and guidance on acceptable web browsers and email usage, including on how to avoid getting infected by malware.
- The Profile Owner will not, and will ensure that no User or Third Party (as relevant) will, circumvent or attempt to circumvent the Security Measures or any of the Profile Bank’s operating systems used in connection with the Channel.
- The Profile Owner must promptly notify the Profile Bank if it has any concerns with any activity on the E-Channel Profile.
- The Profile Owner will notify the Profile Bank as soon as possible if it becomes aware of any actual or attempted unauthorised access to or use of the E-Channel Profile or any actual or suspected cyber-incident in relation to the E-Channel Profile.
Users and Third Parties
- The Profile Owner will, and will ensure that Users and any Third Parties will, only access the E-Channel Profile using the authentication methods prescribed by the Profile Bank.
- The Profile Owner will ensure that Users and any Third Parties do not share any security credentials or access to the EChannel Profile (as applicable) with any party except as permitted with a Third Party Provider. Except where security credentials are shared with a Third Party Provider, the Profile Owner will ensure that all Users and any Third Parties keep security credentials (including passwords, PINs, encryption keys and security certificates) secret at all times.
- The Profile Owner will review activity and User permissions in relation to the E-Channel Profile on a regular basis, unless it knows or suspects that any User’s security credentials have, or an Authentication Device has, been lost, stolen or compromised, in which case it will:
- carry out an immediate review;
- promptly notify the Profile Bank; and
- ensure that (as relevant) the Authentication Device is immediately deactivated, the security credentials are changed and / or the User is suspended.
- The Profile Owner will have commercially reasonable processes in place to prevent Users and any Third Parties being socially engineered or acting on fraudulent communications. These processes should direct Users and any Third Parties, where communications are received seemingly from known senders (including senior management, suppliers and vendors), to ensure that the authenticity of those communications is independently verified using contact details obtained from an independent source (e.g. public website), before continuing with the action.
Security credentials and authentication
- The Profile Owner will require any User accessing the EChannel Profile to:
- take appropriate steps to prevent unauthorised access to any Authentication Device, or to the E-Channel Profile and any device used to access it; and
- to only access the E-Channel Profile using secure devices.
- The Profile Owner will ensure that Users do not share Authentication Devices.
HSBCnet
HSBCnet Users
- The Profile Owner will promptly:
- remove an HSBCnet User from the HSBCnet Profile if they leave the Profile Owner’s organisation or should no longer have access for any reason; and
- suspend an HSBCnet User’s access to the HSBCnet Profile if they will not be, or have not been, active on the HSBCnet Profile for a prolonged period of time or if there is any concern about the conduct of that HSBCnet User.
- The Profile Owner will ensure that HSBCnet Users:
- provide and maintain correct, up-to-date, full and unabbreviated details whenever they are required by the Group; and
- do not register for access to HSBCnet using a shared email address, mobile phone number or under multiple usernames.
HSBCnet security credentials and authentication
- The Profile Owner will promptly return any security devices supplied by a Group member on request, with a view to aiding any investigations by the Profile Bank into those security devices.
Reactivation
- When reactivating a suspended HSBCnet Profile, the Profile Bank will use reasonable efforts to reinstate original permissions, limits, HSBCnet Users, accounts and services, unless an exception applies. The Profile Bank may also add additional services, products or permissions to the HSBCnet Profile during the suspension period.
Definitions
- Accessed Services means any account, product and / or service (including without limitation a product or service related to an account) that is accessed or used through the E-Channel Profile.
- Authentication Device means any device which can be used for authentication with respect to the E-Channel Profile, including (without limitation) any security device or mobile device registered to the User.
- E-Channel means the relevant digital banking system that the Group provides for access and use (e.g. HSBCnet), and any ancillary services and technical tools.
- E-Channel Profile means the E-Channel to the extent that it is configured for and provided to the Profile Owner.
- Group means HSBC Holdings plc, its subsidiaries, related bodies corporate, associated entities and undertakings and any of their branches from time to time.
- HSBCnet means the E-Channel that is the Group's internet banking platform accessed via the portal at www.hsbcnet.com or any other access point or means including the HSBCnet mobile banking app.
- HSBCnet Profile is an E-Channel Profile and means HSBCnet to the extent that it is configured for and provided to the Profile Owner.
- HSBCnet User means any User who the Profile Owner permits to access or use the HSBCnet Profile.
- Law means any applicable local or foreign statute, law, regulation, ordinance, rule, judgment, decree, voluntary code, directive, sanctions regime, court order, agreement between any Group member and an authority, or agreement or treaty between authorities and applicable to the Profile Bank or a Group member.
- Profile Bank means the Group member that provides the EChannel Profile to the Profile Owner.
- Profile Owner means any customer that has signed an agreement with the Profile Bank for the access and use of one or more E-Channel Profiles.
- Third Party means any party other than a User or a Third Party Provider who acts for the Profile Owner with respect to the E-Channel Profile and / or Accessed Services.
- Third Party Provider means a party permitted to provide account information or payment initiation services in accordance with relevant Law or contractual obligations applicable to accounts linked to the E-Channel Profile.
- User means any person who the Profile Owner permits to access or use the E-Channel Profile on its behalf and on whose authority and / or identity the Profile Bank can rely in accordance with its agreement with the Profile Owner for the E-Channel Profile.
تحدد هذه الوثيقة (التدابير الأمنية) المتطلبات الأمنية الإلزامية (بصيغتها المعدلة من وقت لآخر) المتعلقة بمحفظة أي قناة إلكترونية.
تجنباً للشك، تطبق التدابير الأمنية المتعلقة بمحفظة كل قناة إلكترونية مقدمة من قبل البنك المزود للمحفظة الذي يقوم بتزويدها إلى مالك المحفظة من وقت لآخر.
التدابير الأمنية الخاصة بالبنك المزود للمحفظة
تبين الفقرات التالية التدابير الأمنية التي سيستخدمها البنك المزود للمحفظة.
عام
- قد يستخدم البنك المزود للمحفظة التدابير التي تهدف إلى منع وصول أي أطراف خارجية غير مصرح بها إلى البنية الأساسية للقناة الإلكترونية.
- يمكن للبنك المزود للمحفظة إزالة أو تعطيل أي طريقة خدمة أو مصادقة يتم الوصول إليها في أي وقت من دون إشعار إذا كان لديه أي مخاوف أمنية.
- إذا لم يتم الوصول إلى محفظة القناة الإلكترونية من قبل أي مستخدمين خلال فترة ١٨ شهراً، فإنه يمكن للبنك المزود للمحفظة إيقاف محفظة هذه القناة الإلكترونية.
- يجوز للبنك المزود للمحفظة إنهاء أي جلسة عمل للمستخدم في محفظة القناة الإلكترونية لأسباب أمنية.
HSBCnet
- يمكن للبنك المزود للمحفظة إيقاف أي مستخدم لمنصة HSBCnet لم يقم بتسجيل دخوله إلى منصة HSBCnet خلال فترة ستة أشهر.
التدابير الأمنية الخاصة بمالك المحفظة
تبين الفقرات التالية التدابير الأمنية التي يلتزم بها مالك محفظة القناة الإلكترونية الذي له حق الوصول إليها.
عام
- سيقوم مالك المحفظة، وسيضمن قيام أي طرف ثالث، بالحصول على وصيانة وتحديث وتركيب (حسب الاقتضاء) أي معدات وبرامج ومرافق إتصالات وشبكات واتصالات وملفات تحديث وإصدارات و/ أو تحديثات جديدة يحتاجها البنك المالك للمحفظة أو المزود المعني لها بشكل فوري.
- سيقوم مالك المحفظة، وسيضمن قيام أي طرف ثالث، بمراجعة تدابيره وضوابطه الأمنية الداخلية بانتظام لضمان تحديثها وفعاليتها ومتوائمتها مع إرشادات أفضل الممارسات التنظيمية والمتعلقة بالأعمال. ويجب أن تتضمن التدابير والضوابط الأمنية الداخلية (دون أي قيود) الحماية من البرامج الضارة، وقيود الشبكات، وملفات تحديث الأجهزة والبرامج بشكل دائم، والقيود المادية والبعيدة على الوصول، وإعدادات أجهزة الكمبيوتر، ومراقبة الاستخدام غير السليم، والتوجيهات بشأن برامج تصفح الانترنت المقبولة واستخدام البريد الإلكتروني، بما في ذلك كيفية تجنب الإصابة بمثل هذه البرامج الضارة.
- لا يضمن مالك المحفظة، ولن يقوم أي مستخدم أو طرف ثالث (حسب الاقتضاء) بالالتفاف أو محاولة الالتفاف على التدابير الأمنية أو أي من النظم التشغيلية الخاصة بالبنك المزود للمحفظة المستخدمة في القناة الإلكترونية.
- يجب على مالك المحفظة إخطار البنك المزود للمحفظة فوراً في حالة وجود أي شكاوى متعلقة بأي نشاط على محفظة القناة الإلكترونية.
- يقوم مالك المحفظة بإخطار البنك المزود للمحفظة في أقرب وقت ممكن إذا علم بأي دخول فعلي أو محاولة غير مصرح به إلى محفظة القناة الإلكترونية أو أي حادث إلكتروني فعلي أو مشتبه فيه فيما يتعلق بمحفظة القناة الإلكترونية.
المستخدمون والأطراف الثالثة
- سيضمن مالك المحفظة تمكين المستخدمين وأي أطراف ثالثة من الوصول إلى محفظة القناة الإلكترونية باستخدام طرق المصادقة التي يحددها البنك المزود للمحفظة فقط.
- سيضمن مالك المحفظة عدم قيام المستخدمين وأي طرف ثالث بمشاركة أي بيانات اعتماد أمنية أو الوصول إلى محفظة القناة الإلكترونية (حسب الاقتضاء) مع أي طرف باستثناء ما هو مصرح به مع أي مزود من طرف ثالث. باستثناء الحالات التي تتم فيها مشاركة بيانات الاعتماد الأمنية مع مزود خدمة خارجي، وسيضمن مالك المحفظة قيام جميع المستخدمين وأي أطراف ثالثة بالمحافظة على سرية بيانات الاعتماد الأمنية (بما في ذلك كلمات المرور وأرقام التعريف الشخصية ومفاتيح التشفير والتوثيق الأمنية) في جميع الأوقات.
- يقوم مالك المحفظة بمراجعة النشاط وتصاريح الاستخدم المتعلقة بمحفظة القناة الإلكترونية بشكل منتظم، ما لم يكن يعلم أو يشتبه في أن بيانات الاعتماد الأمنية الخاصة بالمستخدم قد فقدت أو سرقت أو تعرضت للخطر، وفي هذه الحالة سيقوم:
- بإجراء مراجعة فورية؛
- إبلاغ البنك المزود للقناة فوراً؛
- والتأكد من (حسب الاقتضاء) إلغاء تفعيل مصادقة الجهاز فوراً، وتغيير بيانات الاعتماد الأمنية و/أو إيقاف التشغيل من قبل المستخدم.
- وسيكون لدى مالك المحفظة إجراءات معقولة تجارياً لمنع المستخدمين وأي أطراف ثالثة من التخطيط اجتماعياً أو التنصرف وفقاً لأي اتصالات احتيالية. وينبغي لهذه الإجراءات أن توجه المستخدمين وأي أطراف ثالثة، حيث ترد على ما يبدو أنها اتصالات من مرسلين معروفين (بما في ذلك كبار المدراء والموردين والبائعين)، إلى ضمان التحقق من صحة تلك الاتصالات بشكل مستقل باستخدام أرقام الاتصال التي تم الحصول عليها من مصدر مستقل (مثل الموقع العام على شبكة الانترنت)، قبل مواصلة الإجراء.
بيانات الاعتماد الأمنية والمصادقة
- سيطلب مالك محفظة من أي مستخدم يصل إلى محفظة القناة الإلكترونية:
- إتخاذ الخطوات المناسبة لمنع الوصول غير المصرح به إلى أي جهاز مصادقة أو إلى محفظة القناة الإلكترونية وأي جهاز يستخدم للوصول إليها؛
- والوصول إلى محفظة القناة الإلكترونية باستخدام أجهزة آمنة فقط.
- يضمن مالك محفظة عدم مشاركة المستخدمين في أجهزة المصادقة.
HSBCnet
مستخدمي منصة HSBCnet
- سيقوم مالك المحفظة فورا بما يلي:
- إزالة مستخدم HSBCnet من محفظة HSBCnet إذا ترك المؤسسة التابعة لمالك المحفظة أو لم يعد له حق الوصول لأي سبب؛
- وتعليق وصول مستخدم HSBCnet إلى محفظة HSBCnet إذا لن يكون نشطاً أو لم يكن نشطاً على محفظة HSBCnet لفترة طويلة أو إذا كان هناك أي قلق بشأن سلوك هذا المستخدم.
- يضمن مالك المحفظة قيام مستخدمي HSBCnet:
- بتقديم بيانات صحيحة وحديثة وكاملة وغير مختصرة والحفاظ عليها عندما يطلب الفريق ذلك؛
- وعدم تسجيل الدخول إلى منصة HSBCnet باستخدام عنوان بريد إلكتروني مشترك أو رقم هاتف متحرك أو بأسماء متعددة للمستخدمين.
بيانات الاعتماد الأمنية والمصادقة الخاصة بمنصة HSBCnet
- سيقوم مالك المحفظة على الفور بإرجاع أي أدوات أمنية قدمها عضو في المجموعة عند الطلب، بهدف مساعدة أي تحقيقات يجريها البنك المزود للقناة على تلك الأجهزة الأمنية.
إعادة التفعيل
- عند إعادة تفعيل محفظة HSBCnet معلقة، سيستخدم البنك المزود للقناة جهوداً معقولة لإعادة تعيين التصاريح والحدود الأصلية لمستخدمي HSBCnet وحساباتهم وخدماتهم، ما لم يتم تطبيق أي استثناءات. كما يجوز للبنك المزود للقناة إضافة أي خدمات أو منتجات أو تصاريح إضافية إلى محفظة HSBCnet خلال فترة التعليق.
تعريفات
- الخدمة التي يتم الوصول إليها تعني أي حساب أو منتج و/أو خدمة (بما في ذلك على سبيل المثال لا الحصر منتج أو خدمة تتعلق بحساب ما) يتم الوصول إليها أو إستخدامها من خلال محفظة القناة الإلكترونية.
- جهاز المصادقة يعني أي جهاز يمكن إستخدامه للمصادقة فيما يتعلق بمحفظة القناة الإلكترونية، بما في ذلك (دون تقييد) أي جهاز تأمين أو جهاز متحرك مسجل لدى المستخدم.
- القناة الإلكترونية يعني النظام المصرفي الرقمي ذي الصلة الذي ينص عليه الفريق للوصول إليه واستخدامه (مثل HSBCnet)، وأي خدمات إضافية وأدوات تقنية.
- محفظة القناة الإلكترونية يعني القناة الإلكترونية بقدر تكوينها وتقديمها إلى مالك المحفظة.
- المجموعة يعني HSBC Holdings PLC، وفروعها، والهيئات ذات الصلة التابعة للشركات، والكيانات والشركات المرتبطة بها، وأي من فروعها من وقت لآخر.
- HSBCnet يعني القناة الإلكترونية التي هي منصة عمل المجموعة المصرفية عبر الإنترنت التي يمكن الوصول إليها عبر الموقع على العنوان www.hsbcnet.com أو أي نقطة وصول أخرى أو وسائل أخرى بما في ذلك تطبيق HSBCnet المصرفي عبر الهاتف المتحرك.
- محفظة HSBCnet هي محفظة القناة الإلكترونية وهي منصة HSBCnet بالقدر الذي تم تكوينه وتقديمه إلى مالك المحفظة.
- مستخدم HSBCnet يعني أي مستخدم يسمح له مالك محفظة بالوصول إلى محفظة HSBCnet أو إستخدامه.
- القانون يعني أي تشريع محلي أو أجنبي معمول به أو قانون أو لائحة أو مرسوم أو قاعدة أو حكم أو قرار أو مدونة طوعية أو توجيه أو نظام عقوبات أو أمر محكمة أو اتفاق بين أي عضو في المجموعة وأي سلطة ما أو اتفاق أو معاهدة بين السلطات وينطبق على البنك المزود للمحفظة أو أحد أعضاء المجموعة.
- البنك المزود للمفحظة يعني عضو المجموعة الذي يوفر محفظة القناة الإلكترونية لمالك المحفظة.
- مالك المحفظة يعني أي عميل وقع على إتفاقية مع البنك المزود للقناة للوصول إلى واحد أو أكثر من محافظ القنوات الإلكترونية واستخدامها.
- الطرف الثالث يعني أي طرف غير مستخدم أو مزود طرف ثالث يعمل لصالح مالك المحفظة فيما يتعلق بمحفظة القناة الإلكترونية و/أو الخدمات التي يتم الوصول إليها.
- مزود الطرف الثالث يعني الطرف المرخص له بتقديم معلومات الحساب أو خدمات بدء الدفع وفقاً للقانون ذي الصلة أو الالتزامات التعاقدية المنطبقة على الحسابات المرتبطة بمحفظة القناة الإلكترونية.
- المستخدم يعني أي شخص يسمح له مالك محفظة بالوصول إلى محفظة القناة الإلكترونية أو إستخدامه بالنيابة عنه وعن سلطته و/أو هويته يمكن للبنك المزود للقناة الاعتماد عليه وفقاً لإتفاقاته مع مالك محفظة القناة الإلكترونية
Այս փաստաթուղթը (Անվտանգության Միջոցները) պարտադիր անվտանգության պահանջներ (որոնք կարող են պարբերաբար փոփոխվել) է սահմանում, որոնք վերաբերվում են ցանկացած E-Channels Պրոֆիլին
Տարակարծությունից խուսափելու համար, Անվտանգության Միջոցները կկիրառվեն յուրաքանչյուր E-Channels Պրոֆիլի նկատմամբ, որը Հիմնական Բանկը պարբերաբար տրամադրում է Հիմնական Հաճախորդին:
Հիմնական Բանկի Անվտանգության Միջոցները։
Հետևյալ պարբերությունները սահմանում են այն Անվտանգության Միջոցները, որոնք օգտագործում է Հիմնական Բանկը:
Ընդհանուր
- Հիմնական Բանկը կարող է միջոցներ ձեռնարկել, որոնց նպատակն է կանխել այլ անձանց չարտոնված մուտքը E-Channels ենթակառուցվածք:
- Հիմնական Բանկը կարող է ցանկացած պահի, առանց ծանուցելու, հեռացնել կամ ապաակտիվացնել ցանկացած Հասանելի Ծառայություն կամ նույնականացման մեթոդ, եթե դրա հետ կապված որևէ անվտանգության խնդիր է առկա:
- Եթե 18 ամսվա ընթացքում որևէ օգտատեր մուտք չի գործել E-Channels Պրոֆիլ, ապա Հիմնական Բանկը կարող է կասեցնել տվյալ E-Channels Պրոֆիլը:
- Անվտանգության նկատառումներից ելնելով, Հիմնական Բանկը կարող է դադարեցնել ցանկացած Օգտատիրոջ E-Channels Պրոֆիլի օգտագործումը:
HSBCnet
- Հիմնական Բանկը կարող է կասեցնել HSBCnet-ի ցանկացած Օգտատիրոջ հասանելիությունը, ով 6 ամսվա ընթացքում մուտք չի գործել
Հիմնական Հաճախորդի Անվտանգության Միջոցները
Հետևյալ պարբերությունները սահմանում են այն անվտանգության միջոցները, որոնց Հիմնական Հաճախորդը պետք է համապատասխանի իրեն հասանելի E-Channels Պրոֆիլի համար։
Ընդհանուր
- Հիմնական Հաճախորդը պարտավոր է և պետք է ապահովի, որ ցանկացած Երրորդ Անձ պատշաճ կերպով ձեռք բերի, պահպանի, թարմացնի և տեղադրի (անհրաժեշտության դեպքում) ցանկացած սարքավորում, ծրագիր, հեռահաղորդակցության միջոցներ, ցանցեր, միացումներ, պատչեր (patches), թողարկումներ և/կամ թարմացումներ, որոնք պահանջվում են Հիմնական Բանկի կամ համապատասխան պրովայդերի կողմից:
- Հիմնական Հաճախորդը պարտավոր է և պետք է ապահովի, որ ցանկացած Երրորդ Անձ պարբերաբար վերանայի իր ներքին անվտանգության միջոցները ու վերահսկողությունը՝ համոզվելու համար, որ դրանք արդիական են, արդյունավետ և համապատասխանեցված են օրենսդրական և շուկայի լավագույն ուղեցույցներին։ Ներքին անվտանգության միջոցները և վերահսկողությունը պետք է ներառեն (առանց սահմանափակման) պաշտպանություն չարամիտ օգտագործումից, ցանցային սահմանափակումներ, ապարատային և ծրագրային ապահովման պատչինգ (patching) և շարունակականություն, ֆիզիկական և հեռահար հասանելիության սահմանափակումներ, համակարգչային սարքերի կարգավո րումներ, ոչ պատշաճ օգտագործման մոնիտորինգ, ընդունելի վեբ զննարկիչների (web browsers) և էլ. Փոստի օգտագործման ուղեցույց, որ նաև ներառում է չարամիտ ծրագրերից վարակվելուց խուսափելու ցուցումներ։
- Հիմնական Հաճախորդը չպետք է և պետք է ապահովի, որ որևէ Օգտագործող կամ Երրորդ Անձ (անհրաժեշտության դեպքում) չշրջանցի կամ չփորձի շրջանցել Անվտանգության Միջոցները կամ Հիմնական Բանկի որևէ օպերացիոն համակարգ, որոնք օգտագործվում է E-Channels- ի համար:
- Հիմնական Հաճախորդը անհապաղ պետք է տեղեկացնի Հիմնական Բանկին, E-Channels Պրոֆիլում որևէ գործունեության հետ կապված խնդիր առաջանալու դեպքում։
- Հիմնական Հաճախորդը պետք է հնարավորինս շուտ ծանուցի Հիմնական Բանկին, եթե տեղեկանում է E-Channels Պրոֆիլ չթույլատրված որևէ փաստացի մուտքի, օգտագործման կամ E-Channels-ի պրոֆիլի կապակցությամբ կասկածելի կիբեր միջադեպի մասին
Օգտատերեր և Երրորդ Անձինք
- Հիմնական Հաճախորդը պարտավոր է և պետք է ապահովի, որ Օգտատերերը և ցանկացած Երրորդ Անձինք միայն մուտք գործեն E-Channels Պրոֆիլ օգտագործելով Հիմնական Բանկի կողմից սահմանված նույնականացման մեթոդները:
- Հիմնական հաճախորդը պետք է ապահովի, որ Օգտատերերը և Երրորդ Անձինք որևէ կողմի չփոխանցեն որևէ անվտանգության տվյալներ կամ մուտք գործեն E-Channels-ի Պրոֆիլ (եթե կիրառելի է), բացառությամբ այն դեպքերի, երբ այն թույլատրվում է Երրորդ Կողմ Պրովայդերի կողմից: Հիմնական Հաճախորդը պետք է ապահովի, որ բոլոր Օգտատերերը և ցանկացած Երրորդ Անձինք մշտապես գաղտնի պահեն անվտանգության տվյալները (ներառյալ գաղտնաբառերը, PIN-երը, կոդավորման բանալիները և անվտանգության վկայագրերը), բացառությամբ այն դեպքերի, երբ անվտանգության տվյալները փոխանցվում են Երրորդ Կողմ Պրովայդերին։
- Հիմնական Հաճախորդը կանոնավոր կերպով պետք է վերանայի E-Channels-ի պրոֆիլի հետ կապված գործունեությունը և Օգտատիրոջ թույլտվությունները, բացառությամբ այն դեպքերի, երբ վերջինս տեղյակ է կամ կասկածում է, որ որևէ Օգտատիրոջ անվտանգության տվյալները կամ Նույնականացման Սարքը կորել, գողացվել կամ վնասվել է, որի դեպքում պետք է․
- ձեռնարկի անհապաղ վերանայում,
- անմիջապես տեղեկացնի Հիմնական Բանկին, և
- ապահովի (եթե անհրաժեշտ է), որ նույնականացման սարքը անմիջապես ապաակտիվացվի, անվտանգության տվյալները փոխվեն և/կամ Օգտատիրոջ հասանելիությունը կասեցվի:
- Հիմնական Հաճախորդը պետք է ունենա կոմերցիոն առումով ողջամիտ գործընթացներ, որպեսզի կանխի Օգտատերերի և ցանկացած Երրորդ Անձանց սոցիալական ինջինիրինգի զոհ դառնալը կամ կեղծ հաղորդագրություններով գործողություններ կատարելը: Այս գործընթացները պետք է ուղղորդեն Օգտատերերին և ցանկացած Երրորդ Անձանց, երբ հաղորդագրությունները ստացվում են առերեւույթ հայտնի ուղարկողներից (ներառյալ՝ ավագ ղեկավարությունը, մատակարարները և ծառայություն մատուցողները), որպեսզի այդ հաղորդագրությունների իսկությունը ստուգվի անկախ աղբյուրից ստացված կոնտակտային տվյալների միջոցով (օրինակ՝ հանրային կայք), նախքան գործընթացը շարունակելը:
Անվտանգության տվյալներ և նույնականացում
- Հիմնական Հաճախորդը պետք է պահանջի E-Channels-ի Պրոֆիլ մուտք գուծող ցանկացած Օգտատիրոջից, որպեսզի վերջինս
- համապատասխան քայլեր ձեռնարկի ցանկացած Վավերացման Սարքով չլիազորված մուտքը կամ E-Channel-ի Պրոֆիլի և այլցանկացած սարքի օգտագորմամբ մուտքը կանխելու համար, և
- մուտք գործի E-Channels-ի Պրոֆիլ օգտագործելով միայն անվտանգ սարքեր
- Հիմնական Հաճախորդը պետք է ապահովի, որպեսզի Օգտատերերը Նույնականացման Սարքերը չփոխանցեն։
HSBCnet
HSBCnet Օգտատերեր
- Հիմնական Հաճախորդը պետք է անմիջապես ձեռնարկի հետևյալ գործողությունները
- հեռացնի HSBCnet Օգտատիրոջը HSBCnet Պրոֆիլից, եթե վերջինս դադարում է Հինական Հաճախորդ Կազմակերպության աշխատակից լինելուց կամ որևէ այլ պատճառով այլևս չպետք է հասանելիություն ունենա, և
- կասեցնի HSBCnet Օգտատիրոջ մուտքը HSBCnet Պրոֆիլ, եթե վերջինս տևական ժամանակ ակտիվ չի եղել կամ չի լինելու HSBCnet Պրոֆիլում, կամ կա որևէ մտահոգություն HSBCnet Օգտատիրոջ գործողությունների կապակցությամբ:
- Հիմնական Հաճախորդը պետք է ապահովի, որ HSBCnet-ի օգտատերերը՝
- տրամադրեն և պահպանեն ճշգրիտ, արդիական, ամբողջական և ոչ կրճատ տվյալներ, երբ դրանք պահանջվում են Խմբի կողմից, և
- չգրանցվեն HSBCnet մուտք գործելու համար՝ օգտագործելով ընդհանուր օգտագործման էլ․ փոստի հասցե, բջջային հեռախոսահամար կամ մի քանի օգտատերերի անուններով
HSBCnet-ի անվտանգության տվյալները և նույնականացումը
- Հիմնական Հաճախորդը անհապաղ պետք է վերադարձնի Խմբի անդամ ընկերության կողմից տրամադրված ցանկացած անվտանգության սարք այդպիսի պահանջ ստանալու դեպքում՝ Հիմնական Բանկի կողմից անվտանգության սարքերի վերաբերյալ ցանկացած հետաքննությանն աջակցելու նպատակով:
Վերաակտիվացում
- Կասեցված HSBCnet Պրոֆիլի վերակտիվացման ժամանակ, Հիմնական Բանկը ողջամիտ ջանքեր կձեռնարկի սկզբնական թույլտվությունները, սահմանաչափերը, HSBCnet Օգտատերերին, հաշիվները ևծառայությունները վերականգնելու համար, եթե այլ բացառություն սահմանված չէ: Հիմնական Բանկը կարող է նաև հավելյալ ծառայություններ, ապրանքներ կամ թույլտվություններ ավելացնել HSBCnet Պրոֆիլին կասեցման ժամանակահատվածում:
Սահմանումներ
- Հասանելի ծառայություն նշանակում է ցանկացած հաշիվ, ապրանք և/կամ ծառայություն (ներառյալ՝ առանց սահմանափակման հաշվի հետ կապված ապրանք կամ ծառայություն), որը հասանելի կամ օգտագործվում է E-Channels Պրոֆիլի միջոցով:
- Նույնականացման Սարք նշանակում է ցանկացած սարք, որը կարող է օգտագործվել E-Channels Պրոֆիլի հետ կապված նույնականացումն իրականացնելու համար, ներառյալ (առանց սահմանափակման) Օգտատիրոջը տրամադրած ցանկացած անվտանգության սարք կամ բջջային սարք:
- E-Channels նշանակում է համապատասխան թվային բանկային համակարգ, որը Խումբը տրամադրում է մուտքի և օգտագործման համար (օրինակ՝ HSBCnet), և ցանկացած օժանդակ ծառայություններ և տեխնիկական գործիքներ:
- E-Channels Պրոֆիլ նշանակում է E-Channels, որը կազմած է Հիմնական Հաճախորդի համար և տրամադրվում է Հիմնական Հաճախորդին:
- Խումբ նշանակում է Էյչ-Էս-Բի-Սի Հոլդինգս փի-էլ-սի, տվյալ պահին գործող նրա դուստր ընկերությունները, փոխկապակցված ընկերությունները և վերջինիս ենթարկվող կազմակերպությունները և դրանց ցանկացած մասնաճյուղերը։
- HSBCnet նշանակում է E-Channels, որը Խմբի ինտերնետային բանկային հարթակն է, որը հասանելի է www.hsbcnet.com պորտալի կամ մուտքի հնարավորություն տվող ցանկացած այլ կետի կամ միջոցի, ներառյալ HSBCnet բջջային բանկային հավելվածի միջոցով։
- HSBCnet Պրոֆիլը E-Channels Պրոֆիլ է և նշանակում է HSBCnet, որը կազմած է Հիմնական Հաճախորդի համար և տրամադրվում է Հիմնական Հաճախորդին:
- HSBCnet Օգտատեր նշանակում է ցանկացած Օգտատեր, ում Հիմնական Հաճախորդը թույլ է տալիս մուտք գործել կամ օգտագործել HSBCnet Պրոֆիլը:
- Օրենք նշանակում է ցանկացած կիրառելի տեղական կամ օտարերկրյա ստատուտ, օրենք, կանոնակարգ, հրաման, կանոն, վճիռ, հրամանագիր, ներքին կանոնակարգ, հրահանգ, պատժամիջոցների ռեժիմ, դատական
- որոշում, Խմբի որևէ անդամի և պետական մարմնի միջև համաձայնագիր, կամ լիազոր մարմինների միջև համաձայնագիր կամ պայմանագիր, որը կիրառելի է Հիմնական Բանկի կամ Խմբի անդամ ընկերության նկատմամբ:
- Հիմնական Բանկ նշանակում է Խմբի անդամ ընկերություն, որը տրամադրում է E-Channels Պրոֆիլը Հիմնական Հաճախորդին:
- Հիմնական Հաճախորդ նշանակում է ցանկացած հաճախորդ, որը կնքել է պայմանագիր Հիմնական Բանկի հետ մեկ կամ մի քանի E-Channels Պրոֆիլ մուտք գործելու և օգտագործելու համար:
- Երրորդ Անձ նշանակում է ցանկացած այլ անձ, բացի Օգտատերից կամ Երրորդ Անձ Պրովայդերից, որը գործում է Հիմնական Հաճախորդի համար՝ կապված E-Channels Պրոֆիլի և/կամ Հասանելի Ծառայությունների հետ:
- Երրորդ Անձ Պրովայդեր նշանակում է անձ, ում թույլատրված է տրամադրել հաշվի վերաբերյալ տեղեկություններ կամ վճարումների կատարման ծառայություններ՝ համաձայն համապատասխան Օրենքի կամ պայմանագրային պարտավորությունների, որոնք կիրառելի են E-Channels Պրոֆիլին կցված հաշիվների համար:
- Օգտատեր նշանակում է ցանկացած անձ, ում Հիմնական Հաճախորդը թույլ է տալիս մուտք գործել կամ օգտագործել E-Channels Պրոֆիլը իր անունից, և ում լիազորություններին և/կամ ինքնությանը կարող է վստահելի լինել Հիմնական Բանկի կողմից` համաձայն Հիմնական Հաճախորդի հետ կնքած E-Channels Պրոֆիլի վերաբերյալ պայմանագրի:__
Dokumen ini (Tindakan Keamanan) memuat persyaratan keamanan wajib (sebagaimana yang diubah dari waktu ke waktu) yang terkait dengan Profil EChannel.
Untuk menghindari keraguan, Tindakan Keamanan akan berlaku terkait dengan masing-masing Profil E-Channel yang diberikan oleh Bank
Profil kepada Pemilik Profil dari waktu ke waktu. Tindakan Keamanan Bank Profil
Ayat-ayat berikut ini memuat tindakan keamanan yang akan digunakan oleh Bank Profil.
Umum
- Bank Profil dapat menggunakan tindakan yang ditujukan untuk mencegah akses oleh pihak eksternal yang tidak berwenang ke infrastruktur EChannel.
- Bank Profil dapat menghapus atau menonaktifkan Layanan yang Diakses atau metode autentikasi kapan saja tanpa pemberitahuan jika terdapat kekhawatiran keamanan.
- Jika Profil E-Channel tidak pernah diakses oleh Pengguna dalam jangka waktu 18 bulan, Bank Profil dapat menangguhkan Profil E-Channel tersebut.
- Bank Profil dapat mengakhiri sesi Pengguna dalam Profil E- Channel karena alasan keamanan.
HSBCnet
- Bank Profil dapat menangguhkan Pengguna HSBCnet yang tidak pernah login ke HSBCnet dalam jangka waktu 6 bulan.
Tindakan Keamanan Pemilik Profil
Ayat-ayat berikut ini memuat tindakan keamanan yang akan dipatuhi oleh Pemilik Profil terkait dengan Profil E-Channel yang dapat diaksesnya.
Umum
- Pemilik Profil akan, dan akan memastikan bahwa Pihak Ketiga akan, segera memperoleh, memelihara, memperbarui, dan memasang (sebagaimana yang relevan) peralatan, perangkat lunak, fasilitas telekomunikasi, jaringan, koneksi, patch, rilis, dan/atau pembaruan yang diperlukan oleh Bank Profil atau penyedia terkait.
- Pemilik Profil akan, dan akan memastikan bahwa Pihak Ketiga akan,meninjau tindakan dan kontrol keamanan internalnya secara rutin untuk memastikan bahwa tindakan dan kontrol tersebut terkini, efektif, dan sesuai dengan panduan peraturan dan panduan praktik terbaik industri. Tindakan dan kontrol keamanan internal harus mencakup (tetapi tidak terbatas pada) perlindungan malware, pembatasan jaringan, patching atau evergreening perangkat keras atau perangkat lunak, pembatasan akses fisik dan jarak jauh, pengaturan perangkat komputer, pemantauan penggunaan yang tidak tepat, dan panduan browser web dan penggunaan email yang dapat diterima, termasuk cara menghindari terinfeksi oleh malware.
- Pemilik Profil tidak akan, dan akan memastikan bahwa Pengguna atau Pihak Ketiga (sebagaimana yang relevan) tidak akan, mengelak dari atau mencoba mengelak dari Tindakan Keamanan atau sistem operasi Bank Profil yang digunakan sehubungan dengan E-Channel.
- Pemilik Profil harus segera memberi tahu Bank Profil jika memiliki kekhawatiran dengan aktivitas apa pun dalam Profil E- Channel.
- Pemilik Profil akan memberi tahu Bank Profil sesegera mungkin jika mengetahui adanya tindakan atau percobaan akses atau penggunaan Profil E-Channel secara tidak sah atau insiden siber aktual atau dugaan insiden siber terkait dengan Profil E- Channel.
Pengguna dan Pihak Ketiga
- Pemilik Profil akan, dan akan memastikan bahwa Pengguna dan Pihak Ketiga akan, hanya mengakses Profil E-Channel menggunakan metode autentikasi yang ditentukan oleh Bank Profil.
- Pemilik Profil akan memastikan bahwa Pengguna dan Pihak Ketiga tidak membagikan kredensial keamanan atau akses ke Profil E-Channel (sebagaimana yang berlaku) kepada pihak mana pun kecuali sebagaimana yang diizinkan dengan Penyedia Pihak Ketiga. Kecuali jika kredensial keamanan dibagikan kepada Penyedia Pihak Ketiga, Pemilik Profil akan memastikan bahwa semua Pengguna dan Pihak Ketiga selalu merahasiakan kredensial keamanan (termasuk kata sandi, PIN, kunci enkripsi, dan sertifikat keamanan).
- Pemilik Profil akan meninjau aktivitas dan izin Pengguna terkait dengan Profil E-Channel secara rutin, kecuali jika Pemilik Profil mengetahui atau menduga bahwa kredensial keamanan atau perangkat autentikasi Pengguna telah hilang, dicuri, atau dibobol, dan dalam keadaan tersebut Pemilik Profil akan:
- segera melakukan peninjauan;
- segera memberi tahu Bank Profil; dan
- memastikan bahwa (sebagaimana yang relevan) perangkat tersebut segera dinonaktifkan, kredensial keamanan diubah, dan/atau Pengguna ditangguhkan.
- Pemilik Profil akan menerapkan proses yang wajar secara komersial untuk mencegah Pengguna dan Pihak Ketiga mengalami rekayasa sosial atau bertindak berdasarkan komunikasi yang menipu. Proses tersebut harus mengarahkan Pengguna dan Pihak Ketiga, jika komunikasi sepertinya diterima dari pengirim yang dikenal (termasuk manajemen senior, pemasok, dan vendor), untuk memastikan bahwa keaslian komunikasi tersebut diverifikasi secara independen menggunakan detail kontak yang diperoleh dari sumber independen (mis. situs web publik), sebelum melakukan tindakan.
Kredensial keamanan dan autentikasi
- Pemilik Profil akan mewajibkan Pengguna yang mengakses Profil EChannel untuk:
- mengambil langkah-langkah yang tepat untuk mencegah akses yang tidak sah ke Perangkat Autentikasi apa pun, atau Profil E-Channel dan perangkat apa pun yang digunakan untuk mengaksesnya; dan
- hanya mengakses Profil E-Channel menggunakan perangkat yang aman
- Pemilik Profil akan memastikan bahwa Pengguna tidak berbagi Perangkat Autentikasi.
HSBCnet
Pengguna HSBCnet
- Pemilik Profil akan segera:
- menghapus Pengguna HSBCnet dari Profil HSBCnet jika Pengguna meninggalkan organisasi Pemilik Profil atau tidak lagi memiliki akses karena alasan apa pun; dan
- menangguhkan akses Pengguna HSBCnet ke Profil HSBCnet jika mereka tidak akan, atau tidak pernah, aktif di Profil HSBCnet dalam jangka waktu lama atau jika ada kekhawatiran tentang cara berperilaku Pengguna HSBCnet tersebut.
- Pemilik Profil akan memastikan bahwa Pengguna HSBCnet:
- memberikan dan menyimpan detail yang benar, terkini, lengkap, dan tidak disingkat setiap kali diwajibkan oleh Grup; dan
- tidak mendaftar untuk akses ke HSBCnet menggunakan alamat email bersama, nomor telepon seluler, atau menggunakan beberapa nama pengguna.
Kredensial keamanan dan autentikasi HSBCnet
- Pemilik Profil akan segera mengembalikan perangkat keamanan yang disediakan oleh anggota Grup atas permintaan, dengan maksud untuk membantu penyelidikan oleh Bank Profil terhadap perangkat keamanan tersebut.
Aktivasi ulang
- Saat mengaktifkan ulang Profil HSBCnet yang telah ditangguhkan, Bank Profil akan melakukan upaya yang wajar untuk memulihkan izin, batas, Pengguna HSBCnet, rekening, dan layanan awal, kecuali jika pengecualian berlaku. Bank Profil juga dapat menambahkan layanan, produk, atau izin tambahan ke Profil HSBCnet selama periode penangguhan.
Definisi
- Layanan yang Diakses berarti rekening, produk, dan/atau layanan (termasuk tetapi tidak terbatas pada produk atau layanan yang terkait dengan suatu rekening) yang diakses atau digunakan melalui Profil EChannel.
- Perangkat Autentikasi berarti perangkat apa pun yang dapat digunakan untuk autentikasi sehubungan dengan Profil E-Channel, termasuk (namun tidak terbatas pada) perangkat keamanan atau perangkat seluler apa pun yang terdaftar atas nama Pengguna.
- E-Channel berarti sistem perbankan digital relevan yang disediakan oleh Grup untuk akses dan penggunaan (mis. HSBCnet), serta setiap layanan tambahan dan alat teknis
- Profil E-Channel berarti E-Channel sepanjang dikonfigurasikan untuk dan disediakan kepada Pemilik Profil.
- Grup berarti HSBC Holdings plc, anak perusahaannya, badan korporat terkait, entitas dan badan usaha terkait, serta cabang-cabang mereka, dari waktu ke waktu.
- HSBCnet berarti E-Channel yang merupakan platform internet banking Grup yang diakses melalui portal di www.hsbcnet.com atau titik akses atau sarana lainnya termasuk aplikasi mobile banking HSBCnet.
- Profil HSBCnet adalah Profil E-Channel dan berarti HSBCnet sepanjang dikonfigurasikan untuk dan disediakan kepada Pemilik Profil.
- Pengguna HSBCnet berarti Pengguna yang diizinkan oleh Pemilik Profil untuk mengakses atau menggunakan Profil HSBCnet.
- Hukum berarti statuta, undang-undang, peraturan, ordonansi, aturan, putusan, dekrit, pedoman sukarela, arahan, rezim sanksi, perintah pengadilan lokal atau asing yang berlaku, perjanjian antara anggota Grup dan otoritas, atau kesepakatan atau perjanjian di antara beberapa otoritas dan yang berlaku untuk Bank atau anggota Grup.
- Bank Profil berarti anggota Grup yang memberikan Profil E-Channel kepada Pemilik Profil.
- Pemilik Profil berarti nasabah yang telah menandatangani perjanjian dengan Bank Profil untuk akses dan penggunaan satu atau beberapa Profil E-Channel.
- Pihak Ketiga berarti pihak selain Pengguna atau Penyedia Pihak Ketiga yang bertindak untuk Pemilik Profil sehubungan dengan Profil E-Channel dan/atau Layanan yang Diakses.
- Penyedia Pihak Ketiga berarti pihak yang diizinkan untuk memberikan informasi rekening atau layanan inisiasi pembayaran sesuai dengan kewajiban Hukum atau kontraktual yang relevan yang berlaku untuk rekening yang tertaut ke Profil E-Channel.
- Pengguna berarti orang yang diizinkan oleh Pemilik Profil untuk mengakses atau menggunakan Profil E-Channel atas namanya dan yang wewenang dan/atau identitasnya dapat diandalkan oleh Bank Profil sesuai dengan perjanjiannya dengan Pemilik Profil untuk E-Channel Profil.
本文档(安全措施)列出了与任何E-Channel Profile相关的强制性安全要求(经不时修订)。
为免生疑问,安全措施将针对配置文件银行不时提供给配置文件所有者的每个E-Channel 配置文件生效。
银行安全措施简介
以下段落列出Profile Bank将使用的安全措施。
一般
- Profile Bank可以使用旨在防止未经授权的外部方访问E-Channel基础设施的措施。
- 如果存在任何安全问题,配置文件库可以随时删除或禁用任何已访问的服务或身份验证方法,无需通知。
- 如果在18个月期间内没有用户访问E-Channel配置文件,配置文件库可以暂停该E-Channel配置文件。
- 出于安全原因,配置文件银行可以终止E-Channel配置文件中的任何用户会话。
HSBCnet
- Profile Bank可以暂停任何在6个月内未登录HSBCnet的HSBCnet用户。
配置文件所有者安全措施
以下段落列出了配置文件所有者对其有权访问的E-Channel Profile应遵守的安全措施。
一般
- 简介所有者将并将确保任何第三方迅速获得、维护、更新和安装(相关的)简介银行或相关提供商要求的任何设备、软件、电信设施、网络、连接、补丁、版本和/或更新。
- 简介所有人将定期审查其内部安全措施和控制,以确保这些措施最新、有效并且符合监管和行业最佳实践指南。内部安全措施和控制应包括(但不限于)恶意软件保护、网络限制、硬件和软件修补或永久、物理和远程访问限制、计算机设备设置、对不当使用的监控,以及关于可接受的网页浏览器和电子邮件的使用指南(包括如何避免被恶意软件感染)。
- 配置式所有者不会而且将确保任何用户或第三方(视情况而定)不会规避或图规避安全措施或配置式银行与 E-Channel有关的任何操作系统。
- 如果个人资料所有者对E-Channel Profile上的任何活动有任何疑虑,则必须立即通知个人资料银行。
- 如果发现任何实际或企图未经授权访问或使用E-Channel Profile或与EChannel Profile有关的任何实际或可疑网络事件,Profile Owner将尽快通知资料银行。
用户和第三方
- Profile Owner将(并将确保)用户及任何第三方将仅使用Profile Bank规定的验证方法访问E-Channel Profile。
- 配置文件所有者将确保用户及任何第三方不会与任何一方共享任何安全证书或访问E-Channel配置文件(如果适用),除非第三方提供商允许这样做。 除非安全凭据与第三方提供商共享,否则配置文件所有者将确保所有用户和任何第三方始终对安全凭据(包括密码、PIN、加密密钥和安全证书)保密。
- 配置文件所有者将定期审核与E-Channel配置文件相关的活动和用户权限,除非它知道或怀疑任何用户的安全证书或身份验证设备已丢失、被盗或受损,在这种情况下,它将:
- 立即进行审查;
- 及时通知Profile Bank;以及
- 确保(相关)身份验证设备立即被停用、安全凭据被更改和/或用户被挂起。
- 档案拥有者将制定商业上合理的程序,以防止用户及任何第三方被社会策划或针对欺诈性通信采取行动。这些程序应指导用户和任何第三方,如果通信似乎是从已知的发送方(包括高级管理层、供应商和供应商)收到的,在继续采取行动之前,确保这些通信的真实性使用从独立来源(例如公共网站)获得的联系详情进行独立核实。
安全凭据和身份验证
- 配置文件所有者要求任何访问E-Channel配置文件的用户执行以下操作:
- 采取适当的措施,防止未经授权而访问任何身份验证设备,或访问电子渠道业务关系及用于访问它的任何设备;并且
- 仅使用安全设备访问E-Channel配置文件。
- 业务关系所有人将确保用户不共享身份验证设备。
HSBCnet
HSBCnet用户
- 配置文件所有者将立即:
- 如果某个HSBCnet用户离开了该配置文件所有者的组织,或者由于任何原因而不再具有访问权限,则将其从HSBCnet配置文件中删除;以及
- 如果HSBCnet用户在HSBCnet配置文件中不会或已经长期处于活动状态,或者对HSBCnet用户的行为有任何疑虑,则挂起该用户对HSBCnet配置文件的访问权限。
- 配置文件所有者将确保HSBCnet用户:
- 于本集团有需要时,提供及维持正确、最新、完整及未缩减详情;及
- 不要使用共享的电子邮件地址、移动电话号码或多个用户名注册
HSBCnet安全凭据和身份验证
- 档案拥有人将迅速退回经要求由一名小组成员提供的任何安全装置,以便协助档案银行对这些安全装置进行调查。
重新激活
- 在重新激活已暂停的HSBCnet配置文件时,配置文件银行将采取合理措施恢复原始权限、限制、HSBCnet用户、帐户和服务,除非有例外情况适用。 在暂停期间,配置文件银行也可以将其他服务、产品或权限添加到HSBCnet配置文件中。
定义
- 访问的服务是指通过E-Channel配置文件访问或使用的任何帐户、产品和/或服务(包括但不限于与帐户相关的产品或服务)。
- 验证设备是指可用于针对电子渠道业务关系进行认证的任何设备,包括(但不限于)任何向用户注册的安全设备或移动设备。
- 电子渠道指本集团提供接入及使用的相关数码银行系统(如汇丰网)以及任何辅助服务及技术工具。
- E-Channel Profile指为配置文件所有者配置并提供给配置文件所有者的EChannel。
- 集团指汇丰控股有限公司、其附属公司、相关法团、企业、联营公司及事业单位,以及彼等不时之任何分行。
- HSBCnet指本集团的网上银行平台E-Channel,它可通过门户网站 www.hsbcnet.com 或任何其他接入点或方式进行访问,包括HSBCnet移动银行应用程序。
- HSBCnet是E-Channel Profile,它表示为配置文件所有者配置并提供给HSBCnet。
- HSBCnet用户指配置文件所有者允许访问或使用HSBCnet配置文件的任何用户。
- 法律是指任何适用的本地或外国法规、法律、法规、条例、规则、判决、法令、自愿法典、指令、制裁制度、法院命令、任何集团成员与一个当局之间的协议,或当局之间以及适用于Profile Bank或集团成员的协议或条约。
- 配置文件库是指向配置文件所有者提供E-Channel配置文件的组成员。
- Profile Owner是指与Profile Bank签署有关访问和使用一个或多个EChannel Profile的任何客户。
- 第三方是指除用户或第三方提供商之外的任何一方,这些第三方提供商在与 E-Channel Profile和/或Accessed Services有关的方面为Profile Owner提供服务。
- 第三方提供商是指根据适用于与E-Channel Profile关联的帐户的相关法律或合同义务,允许提供帐户信息或支付启动服务的方。
- 用户是指个人资料所有者允许代表其访问或使用E-Channel Profile的任何人员,Profile Bank可以依据其与Profile Owner就E-Channel Profile达成的协议确定其权限和/或身份。
本文件(安控措施)係訂定當使用任何電子平台(E-Channel)進行檔案設定(Profile)時,所應遵守之相關安控要求(將不定時修訂之)。
為免疑義,本安控措施適用於檔案銀行(Profile Bank)不時提供予檔案持有人(Profile Owner)之所有電子平台檔案(E-Channel profile). 。
檔案設定銀行(Profile Bank)安控措施
下列為檔案設定銀行(Profile Bank)應使用之安控措施。
一般設定
- 檔案設定銀行(Profile Bank)得採取防止未經授權之外部人員存取電子平台(E-Channel)基礎設施之措施。
- 如有任何安全疑慮,檔案設定銀行(Profile Bank)得隨時移除或停用任何已存取的服務或驗證方法,且無須另行通知。
- 如一電子平台檔案 (E-Channel Profile)於 18 個月內未有任何使用者)登入,則檔案設定銀行(Profile Bank)有權停用其相關電子平台之檔案(E-Channel Profile)之設定。
- 基於安全理由,檔案設定銀行(Profile Bank)得終止客戶於電子平台檔案(E-Channel Profile)設定中之任何使用者之作業。
滙豐財資網 (HSBCnet)
- 檔案設定銀行(Profile Bank)得停止任何 6 個月內未有登入滙豐財資網(HSBCnet)之使用者之權限。
檔案持有人(Profile Owner)之安控措施
下列規範檔案持有人 (profile owner)所須遵守之安控措施,適用於其所有有權存取之電子平台檔案(E-channelprofile) 。
一般設定
- 檔案持有人(Profile Owner)須根據檔案設定銀行(Profile Bank)或相關供應商之要求,即時取得、維護、更新及安裝(視情況而定)任何設備、軟體系統、電訊設施、網絡、連接、修補程式、發佈和/或更新版本,且須確保任何第三方亦將同時遵守上述規定。
- 檔案持有人(Profile Owner)須定期審查其內部安控措施和控制措施,以確保相關措施為最新、有效,並符合監管及業界最佳做法指引,且確保任何第三方同時遵守上述規定。內部安控措施和控制措施包括(但不限於)惡意軟體防範程式、網絡限制、硬體和軟體修補程式或備援、實際及遙端存取限制、電腦裝置設定、監管不當使用情況,並就可接納的網絡瀏覽器和電郵使用方式提供相關指引,包括如何避免受惡意程式攻擊。
- 檔案持有人(Profile Owner)不得規避或試圖規避安控措施,或與電子平台相連之任何檔案設定銀行(Profile Bank)操作系統,且確保使用者和第三方(如相關)遵守上述規定。
- 當檔案持有人(Profile Owner)對電子平台檔案(E-Channel Profile)上的活動有任何疑慮,須立即通知檔案設定銀行(Profile Bank)。
- 一旦發現任何實際發生或可能發生電子平台檔案(E-Channel Profile)未經授權存取或使用事件,或任何實際或疑似發生的電子平台檔案(E-Channel Profile)網絡攻擊事件,設定檔案持有人(Profile Owner)須儘快通知檔案設定銀行(Profile Bank)。
使用者和第三方
- 檔案設定銀行(Profile Bank)只能使用檔案設定銀行(Profile Bank)規定之驗證方法存取電子平台檔案(E-Channel Profile),且確保使用者和任何第三方同時遵守上述規定。
- 檔案持有人(Profile Owner)應確認其使用者和任何第三方將不與其他方共享任何安全憑證或存取電子平台檔案(E-Channel Profile)權限(如適用)。除非與第三方共用安全憑證,檔案持有人(Profile Owner)須確保所有使用者和任何第三方保持對安全憑證(包括密碼、PIN、加密金鑰和安全憑證)機密性。
- 檔案持有人(Profile Owner)須定期審查與電子平台檔案(E-Channel Profile)相關的活動和使用者權限,如檔案持有人(Profile Owner)知悉或懷疑任何使用者的安全憑證或驗證裝置經已遺失、被盜或洩露,則於此情況下,檔案持有人(Profile Owner)必須:
- 立即進行審查;
- 立即通知檔案設定銀行(Profile Bank);及
- 確保(視情況而定)立即停用驗證裝置、變更安全憑證及/或停用使用者權限。
- 檔案持有人(Profile Owner)須制定商業上合理的流程,以防使用者和任何第三方受社交工程或詐騙通訊影響。相關流程應提供指引,要求即使通訊看似係由已知寄件人(包括高級管理層、供應商和經銷商)所發出,使用者和任何第三方仍應使用經獨立來源(例如公開網站)取得的聯絡方式個別驗證有關通訊是否為真。
安全憑證和驗證
- 檔案持有人(Profile Owner)應要求任何存取電子平台檔案(E-Channel Profile)的使用者:
- 採取適當步驟,防止他人於未經授權下存取任何驗證裝置、電子檔案持有人(Profile Owner),或用作存取檔案(Profile)的任何裝置;及
- 僅使用安全裝置存取電子平台檔案(E-Channel Profile)。
- 檔案持有人(Profile Owner)須確保使用者不會共享驗證裝置。
滙豐財資網
滙豐財資網使用者
- 檔案持有人(Profile Owner)應立即採取下列行為:
- 如果滙豐財資網使用者已從檔案持有人(Profile Owner)之機構離職,或因任何原因而不再具有存取權限,則檔案持有人(Profile Owner)應自滙豐財資網檔案(Profile)移除該使用者;及
- 如果滙豐財資網使用者已長時間未有活動,或滙豐財資網使用者的行為有任何可疑之處,則檔案持有人(Profile Owner)應停用該使用者的滙豐財資網檔案(Profile)之存取權限。
- 檔案持有人(Profile Owner)應確保滙豐財資網使用者:
- 依集團要求,適時提供及維護準確、最新、完整且未精簡之資訊;及
- 不得使用共用電郵地址、手機號碼或以多個使用者名稱登記存取滙豐財資網。
滙豐財資網安全憑證和驗證
- 檔案持有人(Profile Owner)應依要求立即歸還任何提供使用者之安全裝置,以協助檔案設定銀行(Profile Bank)對安全裝置採取調查。
重新啟用
- 除例外情況,當重新啟動已停用之滙豐財資網檔案(Profile)時,檔案設定銀行(Profile Bank)將於合理範圍內盡力恢復使用者原來的權限、限制、滙豐財資網使用者、帳戶和服務。在停用期間內,檔案設定銀行(Profile Bank)亦得為滙豐財資網檔案加入其他服務、產品或權限。
定義
- 已存取的服務指透過電子平台檔案存取或使用的任何帳戶、產品和/或服務(包括但不限於與帳戶相關的產品或服務)。
- 驗證裝置指可用於在電子平台檔案進行驗證的任何裝置,包括(但不限於)使用者已登記的任何安全裝置或移動裝置。
- 電子平台指本集團提供作存取及使用的相關電子銀行系統(例如滙豐財資網),以及任何輔助服務和技術工具。
- 電子平台檔案指為檔案持有人配置及提供的電子平台。
- 集團指滙豐控股有限公司、其子公司、相關法人團體、聯行和企業及任何上述組織的旗下分行。
- 滙豐財資網指電子平台,即集團之電子銀行平台,可透過 www.hsbcnet.com 入口網站或任何其他存取點或方式存取,包括滙豐財資網之行動銀行應用程式。
- 滙豐財資網檔案為電子平台檔案,如配置及提供予檔案持有人於電子平台檔案範圍使用,
- 滙豐財資網使用者指檔案持有人允許存取或使用滙豐財資網設檔案的任何使用者。
- 法律指任何適用的本地或海外法令、法律、法規、條例、規則、判決、裁定、自願守則、指令、制裁制度、法院命令、任何集團成員與主管機關之間的協議,或不同主管機關之間的協議或條約,且適用於檔案設定銀行或集團成員。
- 檔案設定銀行指向檔案持有人提供電子平台檔案之集團成員。
- 檔案持有人指與檔案設定銀行簽署協議,以存取及使用一個或多個電子平台檔案之任何客戶。
- 第三方指除使用者或第三方供應商外,就電子平台檔案和/或已存取的服務代表檔案持有人行事的任何一方。
- 第三方供應商指依據相關法律或適用於與電子平台檔案關聯的帳戶之合約義務,而獲准提供帳戶資訊或發起付款服務的一方。
- 使用者指檔案持有人允許代表其存取或使用電子平台檔案的任何人士,且檔案設定銀行得根據其與電子平台檔案持有人的協議而依賴其權限和/或身分。
Tento dokument (dále jen „bezpečnostní opatření“) stanoví povinné bezpečnostní požadavky (v platném znění) vztahující se k jakémukoli profilu echannel.
Aby se předešlo pochybnostem, bezpečnostní opatření se budou uplatňovat ve vztahu ke každému profilu e-channel, který banka vedoucí profil čas od času poskytuje vlastníkovi profilu.
Profil bankovní bezpečnostní opatření
V následujících odstavcích jsou uvedena bezpečnostní opatření, která banka vedoucí profil použije.
Obecné
- Banka vedoucí profil může použít opatření, jejichž cílem je zabránit neoprávněným externím stranám v přístupu k infrastruktuře E-Channel.
- Banka vedoucí profil může kdykoli bez upozornění odstranit nebo zakázat jakoukoli službu nebo metodu ověřování, pokud má nějaké bezpečnostní problémy.
- Pokud k profilu E-Channel nepřistupuje žádný uživatel během 18měsíčního období, může banka vedoucí profil tento profil E-Channel pozastavit.
- Banka vedoucí profil může z bezpečnostních důvodů ukončit jakoukoli relaci uživatele v profilu E-Channel.
HSBCnet
- Banka vedoucí profil může pozastavit jakéhokoli uživatele HSBCnet, který se do HSBCnet nepřihlásil po dobu 6 měsíců.
Opatření zabezpečení vlastníka profilu
V následujících odstavcích jsou uvedena bezpečnostní opatření, která bude vlastník profilu dodržovat u profilu E-Channel, k němuž má přístup.
Obecné
- Vlastník profilu neprodleně získá, udržuje, aktualizuje a instaluje (podle potřeby) jakékoli zařízení, software, telekomunikační zařízení, sítě, připojení, opravy, vydání a / nebo aktualizace, které vyžaduje banka vedoucí profil nebo příslušný poskytovatel, a zajistí, aby je všechny třetí strany získaly.
- Vlastník profilu bude pravidelně přezkoumávat svá vnitřní bezpečnostní opatření a kontroly a zajistí, aby byly aktuální, účinné a v souladu s pokyny pro osvědčené postupy v oblasti regulace a průmyslu. Vnitřní bezpečnostní opatření a kontroly by měly zahrnovat (bez omezení) ochranu před malwarem, síťová omezení, opravy hardwaru a softwaru nebo ekologizaci, omezení fyzického a vzdáleného přístupu, nastavení počítačových zařízení, sledování nesprávného používání a pokyny k přijatelnému používání webových prohlížečů a e-mailů, včetně pokynů, jak zabránit nakažení malwarem.
- Vlastník profilu neobejde bezpečnostní opatření ani žádný z operačních systémů banky vedoucí profil používaných v souvislosti s e-channelem ani se o obcházení nepokusí ani se nepokusí.
- Vlastník profilu musí neprodleně informovat banku vedoucí profil, pokud má jakékoli obavy ohledně jakékoli činnosti v profilu E-Channel.
- Vlastník profilu informuje banku vedoucí profil co nejdříve, pokud se dozví o jakémkoli uskutečněném nebo pokusu o neoprávněný přístup k profilu EChannel nebo o použití tohoto profilu nebo o jakémkoli skutečném nebo domnělém kybernetickém incidentu v souvislosti s profilem E-Channel.
Uživatelé a třetí strany
- Vlastník profilu získá a zajistí, aby uživatelé a jakékoli třetí strany měli přístup pouze k profilu E-Channel pomocí metod ověřování předepsaných bankou vedoucí profil.
- Vlastník profilu zajistí, aby uživatelé a jakékoli třetí strany nesdíleli žádná bezpečnostní pověření nebo přístup k profilu E-Channel (podle potřeby) s žádnou stranou, s výjimkou případů povolených u poskytovatele třetí strany. S výjimkou případů, kdy jsou bezpečnostní pověření sdílena s poskytovatelem třetí strany, vlastník profilu zajistí, aby všichni uživatelé a všechny třetí strany měli bezpečnostní pověření (včetně hesel, kódů PIN, šifrovacích klíčů a certifikátů zabezpečení) vždy v tajnosti.
- Vlastník profilu pravidelně kontroluje činnost a oprávnění uživatele ve vztahu k profilu E-Channel, ledaže ví nebo má podezření, že došlo ke ztrátě, odcizení nebo ohrožení bezpečnostních údajů uživatele nebo ověřovacího zařízení, a v takovém případě:
- provést okamžitý přezkum;
- neprodleně informuje banku vedoucí profil a
- zajistit (podle potřeby) okamžitou deaktivaci ověřovacího zařízení, změnu bezpečnostních údajů a pozastavení činnosti uživatele.
- Vlastník profilu bude mít zavedeny obchodně přiměřené postupy, aby zabránil uživatelům a třetím stranám v sociálním inženýrství nebo v jednání s podvodnými komunikacemi. Tyto postupy by měly uživatele a třetí strany, pokud jsou sdělení přijímána zdánlivě od známých odesílatelů (včetně vrcholného vedení, dodavatelů a prodejců), nasměrovat, aby před pokračováním akce zajistily nezávislé ověření pravosti těchto sdělení pomocí kontaktních údajů získaných z nezávislého zdroje (např. Z veřejných internetových stránek).
Zabezpečovací pověření a ověřování
- Vlastník profilu bude vyžadovat, aby každý uživatel přistupující k profilu EChannel:
- přijmout vhodná opatření, aby se zabránilo neoprávněnému přístupu k jakémukoli ověřovacímu zařízení nebo k profilu E-Channel a jakémukoli zařízení používanému pro přístup k němu, a
- přistupovat k profilu E-Channel pouze pomocí zabezpečených zařízení.
- Vlastník profilu zajistí, aby uživatelé nesdíleli ověřovací zařízení.
HSBCnet
Uživatelé HSBCnet
- Vlastník profilu neprodleně:
- vyjmout uživatele HSBCnet z profilu HSBCnet, pokud opustí organizaci vlastníka profilu nebo by již z jakéhokoli důvodu neměl mít přístup; a
- pozastavit uživateli HSBCnet přístup k profilu HSBCnet, pokud na profilu HSBCnet nebude nebo nebyl po delší dobu aktivní nebo pokud existují obavy ohledně chování tohoto uživatele HSBCnet.
- Vlastník profilu zajistí, aby uživatelé HSBCnet:
- poskytovat a udržovat správné, aktuální, úplné a nezkrácené údaje, kdykoli je skupina požaduje; a
- nezaregistrujte se pro přístup k HSBCnet pomocí sdílené e-mailové adresy, čísla mobilního telefonu nebo pod více uživatelskými jmény.
Zabezpečovací pověření a ověřování HSBCnet
- Vlastník profilu na požádání neprodleně vrátí všechna zabezpečovací zařízení dodaná členem skupiny, aby napomohl případnému vyšetřování těchto zabezpečovacích zařízení ze strany banky vedoucí profil.
Reaktivace
- Při opětovné aktivaci pozastaveného profilu HSBCnet vyvine banka profilu přiměřené úsilí k obnovení původních oprávnění, limitů, uživatelů, účtů a služeb HSBCnet, pokud se neuplatní výjimka. Banka vedoucí profil může také během období pozastavení přidat do profilu HSBCnet další služby, produkty nebo oprávnění.
Definice
- Dostupnou službou se rozumí jakýkoli účet, produkt a / nebo služba (včetně, bez omezení, produktu nebo služby související s účtem), ke kterým je přistupováno nebo které jsou využívány prostřednictvím profilu E-Channel.
- Authentication Device means any device which can be used for authentication with respect to the E-Channel Profile, including (without limitation) any security device or mobile device registered to the User.
- E-Channel znamená příslušný digitální bankovní systém, který skupina poskytuje pro přístup a používání (např. HSBCnet), a veškeré doplňkové služby a technické nástroje.
- Profilem E-Channel se rozumí E-Channel v rozsahu, v jakém je nakonfigurován a poskytnut majiteli profilu.
- Skupinou se rozumí společnost HSBC Holdings plc, její dceřiné polečnosti, spřízněné subjekty, podniky a přidružené subjekty a případně i jejich pobočky.
- HSBCnet znamená E-Channel, což je platforma internetového bankovnictví skupiny přístupná prostřednictvím portálu na adrese www.hsbcnet.com, nebo jakýkoli jiný přístupový bod nebo prostředek včetně aplikace pro mobilní bankovnictví HSBCnet.
- Profil HSBCnet je profil E-Channel a znamená HSBCnet v rozsahu, v jakém je nakonfigurován a poskytnut vlastníkovi profilu.
- Uživatel HSBCnet znamená libovolného uživatele, kterému vlastník profilu povolí přístup k profilu HSBCnet nebo jeho používání.
- Zákonem se rozumí jakýkoli platný místní nebo zahraniční statut, zákon, nařízení, vyhláška, pravidlo, rozsudek, výnos, dobrovolný zákoník, směrnice, režim sankcí, soudní příkaz, dohoda mezi kterýmkoli členem skupiny a orgánem nebo dohoda či smlouva mezi orgány, která se vztahuje na banku profilu nebo člena skupiny.
- Bankou vedoucí profil se rozumí člen skupiny, který poskytuje profil EChannel vlastníkovi profilu.
- Vlastníkem profilu se rozumí každý zákazník, který podepsal smlouvu s bankou profilů o přístupu k jednomu nebo více profilům E-Channel a o jejich používání.
- Třetí stranou se rozumí jakákoli strana jiná než uživatel nebo poskytovatel třetí strany, která jedná za vlastníka profilu s ohledem na profil E-Channel a / nebo služby s přístupem.
Le présent document (les mesures de sécurité) énonce les exigences de sécurité obligatoires (telles qu’elles sont modifiées de temps à autre) se rapportant à tout profil du canal électronique.
Pour éviter toute ambiguïté, les mesures de sécurité s’appliqueront à chaque profil du canal électronique que la banque du profil fournit de temps à autre au responsable du profil.
Mesures de sécurité de la banque du profil
Les paragraphes suivants décrivent les mesures de sécurité que la banque du profil utilisera.
Généralités
- La banque du profil peut utiliser des mesures visant à empêcher l’accès à l’infrastructure du canal électronique par des parties externes non autorisées.
- La banque du profil peut retirer ou désactiver tout service accessible ou tout mode d’authentification à tout moment, sans préavis, si elle a des préoccupations en matière de sécurité.
- Si aucun utilisateur n’a accédé au profil du canal électronique au cours d’une période de 18 mois, la banque du profil peut suspendre ce profil.
- La banque du profil peut mettre fin à une session d’un utilisateur dans le profil du canal électronique pour des raisons de sécurité.
HSBCnet
- La banque du profil peut suspendre tout utilisateur de HSBCnet qui n’a pas ouvert de session dans HSBCnet au cours d’une période de six mois.
Mesures de sécurité du responsable du profil
Les paragraphes suivants décrivent les mesures de sécurité auxquelles le responsable du profil se conformera pour le profil du canal électronique auquel il a accès.
Généralités
- Le responsable du profil doit sans tarder acquérir, maintenir, mettre à jour et installer (s’il y a lieu) l’équipement, les logiciels, les installations de télécommunications, les réseaux, les connexions, les correctifs, les versions ou les mises à jour que la banque du profil ou le fournisseur concerné exige, et doit veiller à ce que tout tiers fasse de même.
- Le responsable du profil doit examiner régulièrement et veiller à ce que tout tiers examine régulièrement ses mesures de sécurité et ses contrôles internes pour s’assurer qu’ils sont à jour, efficaces et conformes aux directives réglementaires et aux pratiques exemplaires de l’industrie. Les mesures de sécurité et les contrôles internes doivent comprendre (sans s’y limiter) une protection contre les logiciels malveillants, des restrictions relatives aux réseaux, des mises à niveau ou des correctifs matériels et logiciels, des restrictions d’accès physique et à distance, les paramètres des dispositifs informatiques, la surveillance de l’utilisation inadéquate et des directives sur l’utilisation acceptable des navigateurs Web et des courriels, y compris sur les mesures à prendre pour prévenir toute infection par des logiciels malveillants.
- Le responsable du profil ne doit pas contourner ou tenter de contourner les mesures de sécurité ou les systèmes d’exploitation de la banque du profil qui sont utilisés dans le cadre du canal électronique, et doit veiller à ce que tout utilisateur ou tiers (selon le cas) fasse de même.
- Le responsable du profil doit aviser sans tarder la banque du profil s’il a des préoccupations concernant toute activité dans le profil du canal électronique.
- Le responsable du profil avisera la banque du profil dès que possible s’il prend connaissance de tout accès non autorisé au profil du canal électronique, de toute utilisation non autorisée de celui-ci ou de toute tentative à cet égard ou encore de tout cyberincident réel ou présumé relativement au profil du canal électronique.
Utilisateurs et tiers
- Le responsable du profil doit accéder au profil du canal électronique uniquement par les méthodes d’authentification prescrites par la banque du profil, et doit veiller à ce que les utilisateurs et les tiers fassent de même.
- Le responsable du profil doit s’assurer que les utilisateurs et les tiers ne communiquent pas leurs identifiants de sécurité à une partie et n’accèdent pas au profil du canal électronique (selon le cas) avec une partie, sauf un fournisseur tiers, dans la mesure permise. Sauf si les identifiants de sécurité sont communiqués à un fournisseur externe, le responsable du profil doit s’assurer que tous les utilisateurs et les tiers préservent en tout temps la confidentialité de leurs identifiants de sécurité (y compris les mots de passe, les NIP, les clés de chiffrement et les certificats de sécurité).
- Le responsable du profil doit examiner régulièrement les activités et les autorisations des utilisateurs relativement au profil du canal électronique, sauf s’il sait ou soupçonne que les identifiants de sécurité ou le dispositif d’authentification d’un utilisateur a été perdu, volé ou compromis, auquel cas il doit :
- effectuer immédiatement un examen;
- aviser rapidement la banque du profil;
- s’assurer (selon le cas) que le dispositif d’authentification est immédiatement désactivé, que les identifiants de sécurité sont modifiés ou que l’utilisateur est suspendu.
- Le responsable du profil doit mettre en place des processus commercialement raisonnables pour éviter que les utilisateurs et les tiers soient victimes de piratage psychologique ou agissent par suite de communications frauduleuses. Ces processus doivent inviter les utilisateurs et les tiers, lorsque les communications semblent provenir d’expéditeurs connus (y compris les membres de la haute direction et les fournisseurs), à faire en sorte que l’authenticité de ces communications soit vérifiée de façon indépendante au moyen des coordonnées obtenues d’une source indépendante (p. ex., un site Web public) avant de poursuivre.
Identifiants de sécurité et authentification
- Le responsable du profil exigera que tout utilisateur qui accède au profil du canal électronique :
- prenne les mesures appropriées pour empêcher tout accès non autorisé à tout dispositif d’authentification, ou au profil du canal électronique et à tout dispositif utilisé pour y accéder;
- accède au profil du canal électronique seulement au moyen de dispositifs d’accès sécurisé.
- Le responsable du profil veillera à ce que les utilisateurs ne partagent pas les dispositifs d’authentification.
HSBCnet
Utilisateurs de HSBCnet
- Le responsable du profil doit rapidement :
- retirer un utilisateur de HSBCnet du profil HSBCnet s’il quitte l’entreprise du responsable du profil ou ne devrait plus y avoir accès pour quelque raison que ce soit;
- suspendre l’accès d’un utilisateur de HSBCnet au profil HSBCnet s’il n’est pas actif ou s’il n’a pas été actif dans le profil HSBCnet pendant une période prolongée ou en cas de doute au sujet du comportement de cet utilisateur de HSBCnet.
- Le responsable du profil doit s’assurer que les utilisateurs de HSBCnet :
- fournissent et maintiennent des renseignements exacts, à jour, complets et non abrégés chaque fois que le Groupe l’exige;
- ne s’inscrivent pas à HSBCnet au moyen d’une adresse de courriel partagée, d’un numéro de téléphone cellulaire ou de plusieurs noms d’utilisateur.
Identifiants de sécurité et authentification de HSBCnet
- Le responsable du profil retournera sans tarder tout dispositif d’accès sécurisé fourni par un membre du Groupe sur demande afin d’aider la banque du profil à mener toute enquête sur ces dispositifs d’accès sécurisé.
Réactivation
- Lorsqu’elle réactive un profil HSBCnet suspendu, la banque du profil déploiera des efforts raisonnables pour rétablir les autorisations, les limites, les utilisateurs de HSBCnet, les comptes et les services d’origine, sauf si une exception s’applique. La banque du profil peut aussi ajouter des services, des produits ou des autorisations supplémentaires au profil HSBCnet pendant la période de suspension.
Définitions
- banque du profil désigne le membre du Groupe qui fournit le profil du canal électronique au responsable du profil.
- canal électronique désigne le système de services bancaires numériques dont le Groupe prévoit l’accès et l’utilisation (p. ex., HSBCnet), ainsi que les outils techniques et les services connexes.
- dispositif d’authentification désigne tout dispositif qui peut être utilisé aux fins d’authentification relativement au profil du canal électronique, y compris (mais sans s’y limiter) tout dispositif d’accès sécurisé ou appareil mobile enregistré au nom de l’utilisateur.
- fournisseur tiers désigne une partie autorisée à fournir des renseignements sur le compte ou des services de paiement, conformément aux lois en vigueur ou aux obligations contractuelles applicables, aux comptes liés au profil du canal électronique.
- Groupe désigne HSBC Holdings plc, ses filiales, personnes morales apparentées, entités et entreprises associées et leurs succursales, s’il y a lieu.
- HSBCnet désigne le canal électronique qui est la plateforme de services bancaires par Internet du Groupe, laquelle est accessible par le portail situé à l’adresse www.hsbcnet.com ou par tout autre point d’accès ou moyen, y compris l’application des services bancaires mobiles HSBCnet.
- loi désigne tout acte législatif, loi, règlement, ordonnance, règle, jugement, décret, code volontaire, directive, régime de sanctions, ordonnance d’un tribunal, accord entre un membre du Groupe et une autorité, ou accord ou convention entre des autorités applicable à la banque du profil ou à un membre du Groupe, émanant d’une instance locale ou étrangère.
- profil du canal électronique désigne le canal électronique dans la mesure où il est configuré pour le responsable du profil et fourni à celui-ci.
- profil HSBCnet désigne un profil du canal électronique et correspond à HSBCnet dans la mesure où il est configuré pour le responsable du profil et fourni à celui-ci.
- responsable du profil désigne un client qui a signé une convention avec la banque du profil afin d’accéder à un ou plusieurs profils du canal électronique et de les utiliser.
- services accessibles désigne tout compte, produit ou service (y compris, sans s’y limiter, un produit ou service lié à un compte) accessible ou utilisé au moyen du profil du canal électronique.
- tiers désigne une partie autre qu’un utilisateur ou un fournisseur tiers qui agit au nom du responsable du profil en ce qui concerne le profil du canal électronique ou les services accessibles.
- utilisateur de HSBCnet désigne un utilisateur autorisé par le responsable du profil à accéder au profil HSBCnet ou à l’utiliser.
- utilisateur désigne toute personne autorisée par le responsable du profil à accéder au profil du canal électronique ou à l’utiliser et dont l’autorisation ou l’identité est jugée digne de foi par la banque du profil conformément à la convention relative au profil du canal électronique qu’il a conclue avec le responsable du profil.
Ce document (intitulé les « Mesures de Sécurité ») établit les exigences obligatoires applicables en matière de sécurité (telles que pouvant être ponctuellement modifiée) à tout Profil E-Channel.
À titre de précision, les Mesures de Sécurité s’appliqueront pour chaque Profil E-Channel que la Banque Principale fournit au Client Titulaire.
Mesures de Sécurité de la Banque Principale
Les paragraphes suivants décrivent les mesures de sécurité applicables par la Banque Principale.
Stipulations générales
- La Banque Principale pourra mettre en place et recourir à des mesures destinées à prévenir l’accès, par des tiers non autorisés, à l’infrastructure du Canal Electronique.
- La Banque Principale peut, si elle redoute la survenance d’un incident affectant, ou pouvant affecter la sécurité des Services Disponibles supprimer ou désactiver tout ou partie d’un Service Disponible, ou une méthode d’authentification, à tout moment et sans préavis.
- Si aucun Utilisateur n’a accédé au Profil E-Channel au cours d’une période de 18 mois, la Banque Principale pourra suspendre ce Profil E-Channel.
- La Banque Principale pourra mettre fin à la session d’un Utilisateur sur le Profil E-Channel pour des raisons de sécurité.
HSBCnet
- La Banque Principale pourra suspendre tout accès d’un Utilisateur HSBCnet, lorsque ce dernier ne s’est pas connecté à HSBCnet durant une période de 6 mois.
Mesures de Sécurité applicables au Client Titulaire
Les paragraphes suivants décrivent les mesures de sécurité auxquelles le Client Titulaire sera tenu de se conformer dans le cadre du Profil E-Channel.
Stipulations générales
- Le Client Titulaire s’engage à acquérir, entretenir, mettre à jour et installer (le cas échéant), et ce dans les plus brefs délais, tout équipement, logiciel, installation de télécommunication, réseau, connexion, correctif, version et/ou mise à jour requis par la Banque Principale ou un fournisseur, et à s’assurer que tout Tiers en fasse de même.
- Le Client Titulaire procèdera à l’examen régulier de ses mesures et contrôles de sécurité internes, et veillera à ce que tout Tiers procède également à de tels contrôles, afin, notamment, de s’assurer qu’ils sont à jour, efficaces et conformes à la réglementation et aux meilleures pratiques sectorielles. Les mesures et contrôles de sécurité internes devront inclure, notamment, une protection contre les logiciels malveillants, les restrictions de réseau, les correctifs, ou la mise à jour permanente du matériel et des logiciels, les restrictions d’accès physique et à distance, les paramétrages des appareils informatiques, la surveillance des utilisations inappropriées et des conseils sur l’utilisation acceptable des navigateurs web et du courrier électronique, notamment sur la manière d’éviter les compromissions et virus par des logiciels malveillants.
- Le Client Titulaire ne contournera pas, et veillera à ce qu’aucun Utilisateur ou Tiers (selon le cas) ne contourne ou ne tente de contourner les Mesures de Sécurité, ou tout système d’exploitation de la Banque Principale utilisé dans le cadre du Canal Electronique.
- Le Client Titulaire sera tenu d’informer dans les plus brefs délais la Banque Principale en cas de suspicions ayant trait à une activité sur le Profil E-Channel.
- Le Client Titulaire informera la Banque Principale dans les meilleurs délais s’il a connaissance d’un accès ou d’une utilisation non autorisé(e), réel(le) ou tenté(e), au Profil E-Channel, ou d’un cyber incident réel ou suspecté y ayant trait.
Utilisateurs et Tiers
- Le Client Titulaire n’accèdera au Profil E-Channel qu’au moyen des méthodes d’authentification prescrites par la Banque Principale, et veillera à ce que les Utilisateurs et les Tiers y procèdent dans des conditions similaires.
- Le Client Titulaire s’assurera que les Utilisateurs et les Tiers ne partagent pas les identifiants de sécurité ou d’accès au Profil E-Channel (le cas échéant) avec d’autres parties, sauf dans le cas autorisé avec un Prestataire Tiers. Sauf dans les cas où les identifiants de sécurité sont partagés avec un Prestataire Tiers, le Client Titulaire veillera à ce que tous les Utilisateurs et Tiers préservent à tout moment la confidentialité des identifiants de sécurité (y compris des mots de passe, codes PIN, clés de chiffrement et certificats de sécurité).
- L13. Le Client Titulaire procèdera à l’examen régulier des activités et des autorisations accordées aux Utilisateurs en relation avec le Profil E-Channel, sauf si le Client Titulaire sait ou suspecte que les identifiants de sécurité ou le Dispositif d’Authentification d’un Utilisateur a/ont été perdus, volés ou compromis, auquel cas le Client Titulaire s’engage à :
- procéder à un examen immédiat des activités ou autorisations en cause ;
- en notifier sans délai la Banque Principale ; et
- le cas échéant, veiller à ce que le Dispositif d’Authentification en question soit immédiatement désactivé, que les identifiants de sécurité soient modifiés et/ou que l’accès de l’Utilisateur objet de la compromission soit suspendu.
- Le Client Titulaire mettra en place des procédures raisonnables afin d’empêcher les Utilisateurs et les Tiers de faire l'objet d’attaques d’ingénierie sociale (« social engineering »), ou d'agir sur la base de communications frauduleuses. Ces processus doivent inciter les Utilisateurs et les Tiers, lorsque les communications dont ils font l’objet semblent provenir d'expéditeurs qui leur sont familiers (y compris des cadres supérieurs, fournisseurs et vendeurs), à s'assurer au préalable que l'authenticité de ces communications est vérifiée au préalable, notamment à l'aide de coordonnées obtenues auprès de sources indépendantes (par exemple un site web public), avant de poursuivre la démarche envisagée.
Identifiants de sécurité et authentification
- 15. Le Client Titulaire exigera de tout Utilisateur d’un Profil E-Channel :
- qu’il prenne les mesures qui s’imposent afin d’empêcher tout accès non autorisé à tout Dispositif d’Authentification ou au Profil E-Channel, et à tout appareil utilisé pour y accéder ou à des fins d’authentification ; et
- n’accéder au Profil E-Channel qu’au moyen d’appareils sécurisés
- 16. Le Client Titulaire s’assurera que les Utilisateurs ne partagent pas les Dispositifs d’Authentification.
HSBCnet
Utilisateurs HSBCnet
- Le Client Titulaire s’engage dans les plus brefs délais à :
- supprimer l’accès à un Utilisateur HSBCnet au Profil HSBCnet, si celui-ci n’appartient plus à son organisation, si l’Utilisateur HSBCnet ne doit plus avoir accès au Profil HSBCnet, pour quelque raison que ce soit ; et
- suspendre l’accès d’un Utilisateur HSBCnet au Profil HSBCnet, s’il n’est pas, ou n’a pas été, actif sur ledit Profil pendant une période prolongée, ou si la conduite de cet Utilisateur HSBCnet le requiert, notamment si ce comportement est jugé suspicieux ou préoccupant.
- Le Client Titulaire s’assurera que les Utilisateurs HSBCnet :
- fournissent et maintiennent des informations correctes, à jour, complètes et sans abréviations, chaque fois qu'elles sont demandées par le Groupe ; et
- ne souscrivent pas à HSBCnet au moyen d’une adresse électronique partagée ou d’un numéro de téléphone mobile partagé, ou sous plusieurs noms d’utilisateur.
Identifiants de sécurité et authentification sur HSBCnet
- Le Client Titulaire restituera dans les meilleurs délais, et sur demande, tout dispositif de sécurité délivré par un membre du Groupe, en vue de faciliter tout contrôle de la Banque Principale sur lesdits dispositifs de sécurité.
Réactivation
- Sauf exception, après réactivation d’un Profil HSBCnet suspendu, la Banque Principale mettra en œuvre des efforts raisonnables pour rétablir les restrictions, accès des Utilisateurs HSBCnet, comptes et services originellement souscrits et/ou mis en place. La Banque Principale pourra également ajouter des services, produits ou autorisations supplémentaires au Profil HSBCnet au cours de la période de suspension.
Définitions
- Banque Principale désigne le membre du Groupe qui fournit un Profil E-Channel au Client Titulaire.
- « Canal(aux) Electronique(s) » (E-Channel) désigne l’infrastructure numérique bancaire du Groupe, mise à disposition (par exemple, HSBCnet), ainsi que tous les services connexes et les outils techniques qui y sont reliés.
- Client Titulaire désigne tout Client qui a signé une convention avec la Banque Principale portant sur l’accès et l’utilisation d’un ou de plusieurs Profil(s) E-Channel.
- Dispositif d’Authentification désigne tout dispositif pouvant être utilisé pour l'authentification relatif au Profil E-Channel, y compris (sans limitation) tout dispositif de sécurité ou appareil mobile enregistré par l'Utilisateur.
- Groupe désigne HSBC Holdings PLC et ses filiales, ses sociétés et organismes associés ainsi que leurs succursales.
- HSBCnet désigne le Canal Electronique qui est la plateforme bancaire digitale dont le Groupe permet l’accès et l’utilisation, et accessible via l’adresse www.hsbcnet.com, ou via tout autre moyen notamment via l’application bancaire mobile HSBCnet.
- Loi désigne les ordonnances, lois, décrets, leurs textes d’applications, normes interprétatives et régimes de sanctions, décisions judiciaires applicables localement ou à l’étranger ainsi que les accords entre une entité du Groupe HSBC et une Autorité, ou tous accords ou traités entre plusieurs Autorités qui seraient applicables à la Banque Principale ou à une entité du Groupe HSBC.
- Prestataire Tiers désigne une partie autorisée à fournir des services d’information sur les comptes ou d’initiation de paiement, conformément à la Loi applicable ou aux obligations contractuelles applicables aux comptes accessibles via le Profil E-Channel.
- Profil E-Channel désigne le Canal Electronique tel qu’il est configuré pour le Client Titulaire, et mis à sa disposition.
- Profil HSBCnet désigne un Canal Electronique et désigne HSBCnet tel qu’il est configuré pour le Client Titulaire et mis à sa disposition.
- Services Disponibles désigne tout compte, produit et/ou service (y compris, notamment, un produit ou un service lié à un compte) accessible via le Profil E-Channel.
- Tiers désigne une partie autre qu’un Utilisateur ou un Prestataire Tiers qui intervient pour le compte du Client Titulaire dans le cadre du Profil E-Channel et/ou les Services Disponibles.
- Utilisateur HSBCnet désigne tout Utilisateur qui a été dûment et valablement autorisé par le Client Titulaire pour accéder ou utiliser le Profil HSBCnet.
- Utilisateur désigne toute personne à laquelle le Client Titulaire autorise l’accès au Profil E-Channel ou son utilisation en son nom et pour son compte. La Banque Principale pourra légitimement se fonder sur l’autorité et/ou l’identité de cette personne conformément à la convention signée avec le Client Titulaire concernant le Profil E-Channel.
이 문서(Security Measures)는 E-Channel 프로파일과 관련된 필수 보안 요구 사항(수시로 수정)을 설정합니다.
의심의 여지 없이, 프로파일 은행이 프로파일 소유자에게 제공하는 각 E-Channel프로파일과 관련하여 보안 조치가 적용됩니다.
프로파일 은행 보안 측정값
다음 단락에서는 프로파일 은행이 사용할 보안 조치를 설정합니다.
일반
- 프로파일 은행에서는 E-Channel 인프라스트럭처에 대한 권한이 없는 외부 당사자의 액세스를 방지하기 위한 조치를 사용할 수 있습니다.
- 프로파일 은행은 언제든지 보안 문제가 있을 경우 통지 없이 액세스 서비스 또는 인증 방법을 제거하거나 비활성화할 수 있습니다.
- 18개월 동안 사용자가 E-Channel 프로파일에 액세스하지 않은 경우 프로파일 은행은 해당 E-Channel 프로파일을 일시 중지할 수 있습니다.
- 프로파일 은행은 보안상의 이유로 E-Channel 프로파일의 사용자 세션을 종료할 수 있습니다.
HSBCnet
- 프로파일 은행은 6개월 동안 HSBCnet에 로그인하지 않은 HSBCnet 사용자를 일시 중지할 수 있습니다.
프로파일 소유자 보안 측정값
다음 단락에서는 프로파일 소유자가 액세스 권한이 있는 E-Channel 프로파일에 대해 준수하도록 하는 보안 조치를 설정합니다.
일반
- 프로파일 소유자는 Profile Bank 또는 관련 공급업체에서 필요로 하는 장비, 소프트웨어, 통신 시설, 네트워크, 연결, 패치, 릴리즈 및 / 또는 업데이트를 즉시 구입, 유지, 업데이트 및 설치(관련)할 수 있도록 합니다.
- 프로파일 소유자는 모든 제3자가 정기적으로 내부 보안 조치 및 제어를 검토 하여 규정 및 업계 Best Practice 지침에 따라 최신, 유효 및 적합한지 확인합니다. 내부 보안 조치 및 제어에는 맬웨어 보호, 네트워크 제한, 하드웨어 및 소프트웨어 패치 또는 상습, 물리적 및 원격 액세스 제한, 컴퓨터 장치 설정, 부적절한 사용 모니터링, 맬웨어에 감염되지 않는 방법을 포함한 허용 가능한 웹 브라우저 및 전자 메일 사용에 대한 지침 등이 포함되어야 합니다.
- 프로파일 소유자는 E-Channel과 관련하여 사용자 또는 제3자가 보안 조치 또는 프로파일 은행의 운영 체제를 회피하거나 회피할 수 없도록 할 것이며, 그와 관련된 경우 E-Channel과 관련하여 사용되는 프로파일 은행의 운영 체제를 사용하지 않을 것입니다.
- 프로파일 소유자는 E-Channel Profile의 활동에 문제가 있는 경우 즉시 프로파일 은행에 알려야 합니다.
- 프로파일 소유자는 E-Channel 프로파일과 관련하여 E-Channel 프로파일과 실제 또는 의심되는 사이버 인시던트에 대한 실제 또는 시도된 무단 액세스 또는 사용을 알게 되면 가능한 한 빨리 프로파일 은행에 통지합니다.
사용자 및 타사
- 프로파일 소유자는 사용자 및 모든 제3자가 프로파일 은행에서 지정한 인증 방법을 사용하여 E-Channel 프로파일에 액세스하도록 하고 이를 보장합니다.
- 프로파일 소유자는 사용자 및 모든 타사에서 제3자 공급자와 허용된 경우를 제외하고 모든 당사자와 보안 자격 증명 또는 E-Channel 프로파일(해당되는 경우)에 대한 액세스를 공유하지 않도록 합니다. 보안 자격 증명이 타사 공급 자와 공유되는 경우를 제외하고 프로파일 소유자는 모든 사용자 및 모든 타사에서 항상 보안 자격 증명(암호, PIN, 암호화 키 및 보안 인증서 포함)을 유지하도록 보장합니다.
- 프로파일 소유자는 E-Channel 프로파일과 관련된 활동 및 사용자 권한을 정기적으로 검토합니다. 단, 사용자의 보안 자격 증명 또는 인증 장치가 분실, 도난 또는 손상되었음을 알고 있거나 의심하는 경우를 제외하고는
- 즉각적인 검토를 실시
- 즉시 프로파일 은행에 통지및
- 인증 장치가 즉시 비활성화되고 보안 자격 증명이 변경되며 / 또는 사용 자가 일시 중지되었는지 확인합니다.
- 프로파일 소유자는 사용자 및 타사가 사회적으로 조작되거나 부정 커뮤니케이션에 영향을 받지 않도록 하기 위해 상업적으로 합리적인 프로세스를 사용할 수 있습니다 이러한 프로세스에서는 사용자 및 기타 타사에 전달해야 합 니다. 이 경우 알려진 보낸 사람(고위 관리, 공급업체 및 공급업체 포함)으로부터 통신이 수신되어 독립 소스(예: 공용 웹 사이트)에서 얻은 연락처 정보를 사용하여 이러한 통신의 신뢰성을 독립적으로 검증해야 합니다.
보안 자격 증명 및 인증
- 프로파일 소유자는 E-Channel 프로파일에 액세스하는 모든 사용자가 다음 작업을 수행해야 합니다:
- 인증 장치 또는 E-Channel 프로파일 및 액세스 시 사용되는 모든 장치에 대한 무단 액세스를 방지하기 위한 적절한 조치를 취합니다. 그리고
- 보안 장치를 사용하여 E-Channel 프로파일에만 액세스합니다.
- 프로파일 소유자는 사용자가 인증 장치를 공유하지 않도록 합니다.
HSBCnet
HSBCnet 사용자
- 프로파일 소유자는 다음 작업을 신속하게 수행합니다:
- 프로파일 소유자의 조직을 떠나거나 어떤 이유로든 더 이상 액세스할 수 없는 경우 HSBCnet 프로파일에서 HSBCnet 사용자를 제거합니다.
- HSBCnet 프로파일에 대한 HSBCnet 사용자 액세스를 장기간 또는 HSBCnet 프로파일에서 적극적으로 사용하지 않거나 아직 사용하지 않은 경우 HSBCnet 프로파일에 대한 HSBCnet 사용자 액세스를 중단합니다.
- 프로파일 소유자는 HSBCnet 사용자를 확인합니다.
- 그룹에서 필요할 때마다 정확한 최신 정보를 제공하고, 전체 및 약어 없는 정보를 제공하고 유지 관리합니다.
- 공유 전자 메일 주소, 휴대폰 번호 또는 여러 사용자 이름으로 HSBCnet 액세스를 위해 등록하지 마십시오.
HSBCnet 보안 자격 증명 및 인증
- 프로파일 소유자는 프로파일 은행의 보안 장치에 대한 조사를 지원하기 위해 그룹 구성원이 제공한 모든 보안 장치를 요청 시 즉시 반환합니다.
다시 활성화
- 일시 중단된 HSBCnet 프로파일을 재활성화할 때 Profile Bank는 예외가 적용되지 않는 한 원래 사용 권한, 제한, HSBCnet 사용자, 계정 및 서비스를 복원하기 위해 합리적인 노력을 사용할 것입니다. 또한 프로파일 은행은 일시 중지 기간 동안 HSBCnet 프로파일에 추가 서비스, 제품 또는 사용 권한을 추가할 수도 있습니다.
정의
- 액세스 서비스는 E-Channel 프로파일을 통해 액세스하거나 사용되는 모든 계정, 제품 및/또는 서비스(계정과 관련된 제품 또는 서비스 포함)를 의미합니다.
- 인증 장치는 사용자에게 등록된 모든 보안 장치 또는 모바일 장치를 포함하되 이에 국한되지 않고 E-Channel 프로파일과 관련하여 인증에 사용할 수 모든 장치를 의미합니다.
- E-Channel 은 Group이 액세스 및 사용(예: HSBCnet)을 위해 제공하는 관련 디지털 뱅킹 시스템과 기타 보조 서비스 및 기술 도구를 의미합니다.
- E-Channel 프로파일은 E-Channel이 구성되어 프로파일 소유자에게 제공되는 범위를 의미합니다.
- 그룹은 HSBC 홀딩스 plc, 자회사, 관련 기관, 관련 기관, 관련 업체 및 언더테이킹 및 해당 지점을 의미합니다.
- HSBCnet은 www.hsbcnet.com 또는 HSBCnet 모바일 뱅킹 앱을 포함한 기타 액세스 포인트 또는 수단을 통해 액세스하는 E-Channel을 의미합니다.
- HSBCnet 프로파일은 E-Channel 프로파일이며, HSBCnet을 의미하며, 프로파일 소유자에 대해 구성되고 제공되는 범위입니다.
- HSBCnet User 는 프로파일 소유자가 HSBCnet 프로파일에 액세스하거나 사용할 수 있도록 허용하는 모든 사용자를 의미합니다.
- 법률이란 해당 지역 또는 외국 법령, 법률, 규정, 조례, 규칙, 판결, 법령, 자발적 코드, 지시어, 제재 제도, 법원 명령, 단체 회원과 권한 간의 합의 또는 프로파일 은행이나 그룹 구성원 간의 계약 또는 조약을 의미합니다.
- 프로파일 은행은 프로파일 소유자에게 전자 채널 프로파일을 제공하는 그룹 구성원을 의미합니다.
- 프로파일 소유자는 하나 이상의 E-Channel 프로파일을 액세스하고 사용하기 위해 프로파일 은행과 계약을 체결한 고객을 의미합니다.
- 타사는 E-Channel 프로파일 및 / 또는 액세스된 서비스와 관련하여 프로파일 소유자 역할을 하는 사용자 또는 제3자 공급자 이외의 당사자를 의미합니다.
- 타사 제공자는 관련 법률 또는 E-Channel 프로파일에 연결된 계정에 적용되는 계약상의 의무에 따라 계좌 정보 또는 지불 개시 서비스를 제공할 수 있는 당사자를 의미합니다.
- 사용자는 프로파일 소유자가 E-Channel 프로파일을 대신하여 E-Channel 프로파일에 액세스하거나 사용할 수 있도록 허용하고 프로파일 은행이 EChannel 프로파일의 프로파일 소유자와 계약에 따라 사용할 수 있는 권한 및/또는 ID를 의미합니다.
Niniejszy dokument (Środki Bezpieczeństwa) określa obowiązkowe wymogi bezpieczeństwa (wraz z późniejszymi zmianami) odnoszące się do każdego Profilu E-Channel.
W celu uniknięcia wątpliwości Środki Bezpieczeństwa będą stosowane w odniesieniu do każdego Profilu E-Channel udostępnianego przez Bank Profilu Właścicielowi Profilu od czasu do czasu.
Środki Bezpieczeństwa Banku Profilu
Poniższe ustępy określają środki bezpieczeństwa, które Bank Profilu będzie stosował.
Ogólne
- Bank Profilu może stosować środki mające na celu uniemożliwienie nieuprawnionym zewnętrznym podmiotom dostępu do infrastruktury E-Channel.
- Bank Profilu może w dowolnym momencie usunąć lub wyłączyć dowolną metodę Usługi Dostępnej lub uwierzytelniania bez powiadomienia, jeśli ma jakiekolwiek obawy dotyczące bezpieczeństwa.
- Jeśli żaden Użytkownik nie uzyska dostępu do Profilu E-Channel w ciągu 18 miesięcy, Bank Profilu może zawiesić dostęp do Profilu E-Channel.
- Bank Profilu może zakończyć dowolną sesję Użytkownika w Profilu E-Channel ze względów bezpieczeństwa.
HSBCnet
- Bank Profilu może zawiesić każdego Użytkownika HSBCnet, który nie zalogował się do HSBCnet w okresie 6 miesięcy.
Środki Bezpieczeństwa Właściciela Profilu
Poniższe ustępy określają środki bezpieczeństwa, jakie stosuje Właściciel Profilu dla Profilu E-Channel, do którego ma dostęp.
Ogólne
- Właściciel Profilu zapewni i dołoży starań, żeby każda Strona Trzecia bezwłocznie nabyła, utrzymywała, aktualizowała i instalowała (w stosownych przypadkach) wszelkie urządzenia, oprogramowania, urządzenia telekomunikacyjne, sieci, połączenia, poprawki, wydania i / lub aktualizacje, których wymaga Bank Profilu lub odpowiedni dostawca.
- Właściciel Profilu zapewni i dołoży starań, żeby każda Strona Trzecia regularnie dokonywała przeglądu swoich wewnętrznych środków bezpieczeństwa i kontroli w celu zapewnienia ich aktualności, skuteczności i zgodności z wytycznymi dotyczącymi najlepszych praktyk w zakresie regulacji i przemysłu. Wewnętrzne środki i mechanizmy kontroli bezpieczeństwa powinny obejmować (bez ograniczeń) ochronę przed złośliwym oprogramowaniem, ograniczenia sieciowe, poprawianie lub ukrywanie sprzętu i oprogramowania, ograniczenia dostępu fizycznego i zdalnego, ustawienia urządzeń komputerowych, monitorowanie niewłaściwego użycia oraz wskazówki dotyczące akceptowalnych przeglądarek internetowych i korzystania z poczty e-mail, w tym sposobów unikania zainfekowania przez złośliwe oprogramowanie.
- Właściciel Profilu nie będzie i zapewni, że żaden Użytkownik ani Strona Trzecia (stosownie do przypadku) nie obejmie lub nie będzie usiłował obejść Środków Bezpieczeństwa lub systemów operacyjnych Banku Profilu wykorzystywanych w związku z kanałem E-Channel.
- Właściciel Profilu musi niezwłocznie powiadomić Bank Profilu o wszelkich wątpliwościach dotyczących działania w ramach Profilu E-Channel.
- Właściciel Profilu jak najszybciej powiadomi Bank Profilu, jeśli zostanie powiadomiony o jakimkolwiek faktycznym lub usiłowanym nieuprawnionym dostępie do Profilu E-Channel lub o jakimkolwiek faktycznym lub podejrzewanym incydencie cybernetycznym związanym z Profilem EChannel.
Użytkownicy i Strony Trzecie
- Właściciel Profilu zapewni i dołoży starań, żeby Użytkownicy i inne Strony Trzecie miały dostęp do Profilu E-Channel tylko przy użyciu metod uwierzytelniania zalecanych przez Bank Profilu.
- Właściciel Profilu zapewni, że Użytkownicy i inne Strony Trzecie nie będą udostępniać żadnych poświadczeń zabezpieczeń ani dostępu do Profilu EChannel (w stosownych przypadkach) żadnej stronie, z wyjątkiem sytuacji, gdy zezwala na to Dostawca Zewnętrzny. Z wyjątkiem sytuacji, gdy poświadczenia zabezpieczeń są udostępniane Dostawcy Zewnętrznemu, Właściciel Profilu zapewni, aby wszyscy Użytkownicy i Strony Trzecie zawsze zachowywali tajne poświadczenia zabezpieczeń (w tym hasła, numery PIN, klucze szyfrowania i certyfikaty zabezpieczeń).
- Właściciel Profilu będzie regularnie przeglądał działania i uprawnienia Użytkownika w odniesieniu do Profilu
E-Channel, chyba że wie lub podejrzewa, że poświadczenia zabezpieczeń Użytkownika lub urządzenie uwierzytelniające zostały utracone, skradzione lub naruszone, w takim przypadku:
- przeprowadzi natychmiastowy przegląd;
- niezwłocznie powiadomi Bank Profilu; i
- upewni się, że (w stosownych przypadkach) urządzenie uwierzytelniające jest natychmiast dezaktywowane, poświadczenia zabezpieczeń są zmieniane i / lub Użytkownik jest zawieszony.
- Właściciel Profilu będzie dysponował rozsądnymi biznesowymi procesami, które uniemożliwią Użytkownikom i Stronom Trzecim opracowanie rozwiązań społecznych lub działań dotyczących nieuczciwej komunikacji. Procesy te powinny nakazywać Użytkownikom i Stronom Trzecim, w przypadku gdy komunikaty są odbierane najwyraźniej od znanych nadawców (w tym kierownictwa wyższego szczebla, dostawców i sprzedawców), aby przed kontynuowaniem działań zapewnić, że autentyczność tych komunikatów jest niezależnie weryfikowana przy użyciu danych kontaktowych uzyskanych z niezależnego źródła (np. Publicznej strony internetowej).
Poświadczenia zabezpieczeń i uwierzytelnianie
- Właściciel Profilu będzie wymagał od każdego Użytkownika uzyskującego dostęp do Profilu E-Channel:
- podjęcia odpowiednich kroków w celu uniemożliwienia nieuprawnionego dostępu do Urządzenia Uwierzytelniającego lub do Profilu E-Channel i wszelkich urządzeń służących do uzyskiwania do niego dostępu; i
- dostępu do Profilu E-Channel tylko za pomocą bezpiecznych urządzeń.
- Właściciel Profilu zapewni, że Użytkownicy nie będą nikomu udostępniać Urządzeń Uwierzytelniania.
HSBCnet
Użytkownicy HSBCnet
- Właściciel Profilu niezwłocznie:
- usunie Użytkownika HSBCnet z Profilu HSBCnet, jeśli opuści on organizację Właściciela Profilu lub nie będzie już uprawniony do dostępu z jakiegokolwiek powodu; i
- zawiesza dostęp Użytkownika HSBCnet do Profilu HSBCnet, jeśli nie będzie aktywny w Profilu HSBCnet przez dłuższy czas lub jeśli istnieją jakiekolwiek obawy dotyczące zachowania tego Użytkownika HSBCnet.
- Właściciel Profilu zapewni, że Użytkownicy HSBCnet:
- dostarczą i utrzymają prawidłowe, aktualne, pełne i nieskrócone dane, zawsze gdy są one wymagane przez Grupę; i
- nie zarejestrują się do sieci HSBCnet przy użyciu wspólnego adresu email, numeru telefonu komórkowego lub pod wieloma nazwami Użytkowników.
Poświadczenia zabezpieczeń i uwierzytelnianie HSBCnet
- Właściciel Profilu niezwłocznie zwróci na żądanie wszelkie urządzenia zabezpieczające dostarczone przez członka Grupy w celu ułatwienia wszelkich dochodzeń prowadzonych przez Bank Profilu w tych urządzeniach zabezpieczających.
Ponowna aktywacja
- Podczas ponownego uaktywniania zawieszonego Profilu HSBCnet, Bank Profilu podejmie rozsądne wysiłki w celu przywrócenia oryginalnych uprawnień, limitów, Użytkowników HSBCnet, kont i usług, chyba że zostanie zastosowany wyjątek. Bank Profilu może również dodawać do Profilu HSBCnet dodatkowe usługi, produkty lub uprawnienia w okresie zawieszenia.
Definicje
- Usługa Dostępna oznacza każde konto, produkt i/lub usługę (w tym bez ograniczeń produkt lub usługę związaną z kontem), które są dostępne lub używane przez Profil E-Channel.
- Urządzenie uwierzytelniające oznacza każde urządzenie, które może być używane do uwierzytelniania w odniesieniu do Profilu E-Channel, w tym (bez ograniczeń) jakiekolwiek urządzenie zabezpieczające lub urządzenie przenośne zarejestrowane dla Użytkownika.
- E-Channel oznacza odpowiedni system bankowości cyfrowej, za pomocą którego Grupa zapewnia dostęp i wykorzystanie (np. HSBCnet) oraz wszelkie usługi pomocnicze i narzędzia techniczne.
- Profil E-Channel oznacza E-Channel w zakresie, w jakim jest on skonfigurowany i udostępniany Właścicielowi Profilu.
- Grupa oznacza HSBC Holdings plc, jej spółki zależne, podmioty powiązane, podmioty stowarzyszone i przedsiębiorstwa oraz wszelkie ich oddziały.
- HSBCnet oznacza E-Channel, który jest internetową platformą bankową Grupy, dostępną za pośrednictwem portalu www.hsbcnet.com lub jakiegokolwiek innego punktu lub środków dostępu, w tym aplikacji bankowości mobilnej HSBCnet.
- Profil HSBCnet to Profil E-Channel i oznacza HSBCnet w zakresie, w jakim jest on skonfigurowany i udostępniany Właścicielowi Profilu.
- Użytkownik HSBCnet oznacza każdego Użytkownika, któremu Właściciel Profilu zezwala na dostęp do Profilu HSBCnet lub korzystanie z niego.
- Prawo oznacza każdy mający zastosowanie statut lokalny lub zagraniczny, ustawę, rozporządzenie, ordynację, zasadę, wyrok, dekret, kodeks dobrowolny, dyrektywę, system sankcji, nakaz sądowy, umowę między członkiem Grupy a organem lub umowę lub traktat między organami i mające zastosowanie do Banku Profilu lub członka grupy.
- Bank Profilu oznacza członka Grupy, który udostępnia Profil E-Channel Właścicielowi Profilu.
- Właściciel Profilu oznacza każdego klienta, który podpisał umowę z Bankiem Profilu dotyczącą dostępu do jednego lub większej liczby Profili E-Channel i korzystania z nich.
- Strona Trzecia oznacza każdą osobę inną niż Użytkownik lub Dostawca Zewnętrzny, która działa na rzecz Właściciela Profilu w odniesieniu do Profilu E-Channel i / lub Usług Dostępnych.
- Dostawca Zewnętrzny oznacza stronę uprawnioną do dostarczania nformacji o rachunku lub usług inicjowania płatności zgodnie z odpowiednimi przepisami Prawa lub zobowiązaniami umownymi mającymi zastosowanie do rachunków związanych z Profilem EChannel.
- Użytkownik oznacza każdą osobę, której Właściciel Profilu zezwala na dostęp do Profilu E-Channel lub korzystanie z niego w jego imieniu i na której autorytecie i/lub tożsamości Bank Profilu może polegać zgodnie z umową zawartą z Właścicielem Profilu dla Profilu E-Channel.
Este documento (as medidas de segurança) estabelece requisitos de segurança obrigatórios (conforme alterados periodicamente) relativos a qualquer Perfil de Canal E.
Para evitar dúvidas, as Medidas de Segurança aplicar-se-ão a cada Perfil de Canal E que o Banco de Perfis fornece ao Proprietário de Perfis de vez em quando.
Medidas de segurança do banco de perfis
Os parágrafos seguintes estabelecem as medidas de segurança que o Banco de Perfis utilizará.
Geral
- O Banco de Perfis pode utilizar medidas destinadas a impedir o acesso de partes externas não autorizadas à infraestrutura do Canal E.
- O Banco de perfis pode remover ou desativar qualquer método de autenticação ou serviço acessado a qualquer momento, sem aviso prévio, se tiver quaisquer problemas de segurança.
- Se o Perfil de Canal E não tiver sido acessado por nenhum Utilizador num período de 18 meses, o Banco de Perfis poderá suspender esse Perfil de Can al E.
- O Banco de Perfis pode encerrar qualquer sessão do Utilizador no Perfil do Canal E por razões de segurança.
HSBCnet
- O Banco de Perfis pode suspender qualquer Usuário HSBCnet que não tenha feito login no HSBCnet em um período de 6 meses.
Medidas de segurança do proprietário do perfil
Os parágrafos seguintes estabelecem as medidas de segurança que o Proprietário do Perfil cumprirá para o Perfil do Canal E a que tem acesso.
Geral
- O Proprietário do Perfil e assegurará que qualquer terceiro adquira, mantenha, atualize e instale prontamente (conforme relevante) qualquer equipamento, software, instalações de telecomunicações, redes, conexões, patches, versões e/ou atualizações que o Banco do Perfil ou o fornecedor relevante requeira.
- O Proprietário do Perfil irá, e garantirá que qualquer terceiro fará, uma revisão periódica das suas medidas e controlos internos de segurança para garantir que estejam atualizados, eficazes e alinhados com as orientações de práticas recomendadas regulamentares e do setor. As medidas e controles de segurança interna devem incluir (sem limitação) proteção contra malware, restrições de rede, patches ou ecologização de hardware e software, restrições de acesso físico e remoto, configurações de dispositivos de computador, monitoramento de uso incorreto e orientação sobre navegadores da Web e uso de e-mail aceitáveis, inclusive sobre como evitar a infecção por malware.
- O Proprietário do Perfil não contornará nem tentará contornar as Medidas de Segurança ou qualquer dos sistemas operacionais do Banco de Perfis utilizados no âmbito do Canal da Mancha Eletrônica, nem assegurará que nenhum Utilizador ou Terceiro (conforme relevante) o contorne.
- O Proprietário do Perfil deve notificar imediatamente o Banco do Perfil se tiver alguma preocupação com qualquer atividade no Perfil do Canal E.
- O Proprietário do Perfil notificará o Banco do Perfil o mais rápidamente possível se tiver conhecimento de qualquer acesso real ou tentado não autorizado ao Perfil do Canal E ou de qualquer incidente cibernético real ou suspeito em relação ao Perfil do Canal E.
Usuários e terceiros
- O Proprietário do Perfil e garantirá que os Usuários e quaisquer terceiros acessem o Perfil do Canal E somente usando os métodos de autenticação prescritos pelo Banco de Perfis.
- O Proprietário do Perfil garantirá que Usuários e terceiros não compartilhem quaisquer credenciais de segurança ou acesso ao Perfil do Canal E (conforme aplicável) com qualquer pessoa, exceto se permitido em um Provedor de Terceiros. Exceto quando as credenciais de segurança são compartilhadas com um Provedor de Terceiros, o Proprietário do Perfil garantirá que todos os Usuários e quaisquer Terceiros mantenham as credenciais de segurança (incluindo senhas, PINs, chaves de criptografia e certificados de segurança) em segredo o tempo todo.
- O Proprietário do Perfil irá rever as permissões de atividade e de Utilizador em relação ao Perfil de Canal Eletrônico numa base regular, a menos que saiba ou suspeite que as credenciais de segurança de qualquer Utilizador foram perdidas, roubadas ou comprometidas, ou que um Dispositivo de Autenticação foi perdido, roubado ou comprometido, caso em que:
- proceder a uma revisão imediata;
- Notificar prontamente o Banco de Perfis; e
- verifique se (conforme relevante) o dispositivo de autenticação está imediatamente desativado, se as credenciais de segurança foram alteradas e/ou se o usuário está suspenso.
- O Proprietário do Perfil disporá de processos comercialmente razoáveis para impedir que os Usuários e quaisquer terceiros sejam objeto de engenharia social ou atuem em comunicações fraudulentas. Estes processos devem orientar os utilizadores e quaisquer terceiros, nos casos em que as comunicações são recebidas aparentemente de remetentes conhecidos (incluindo quadros superiores, fornecedores e vendedores), a fim de garantir que a autenticidade dessas comunicações seja verificada de forma independente, utilizando os dados de contato obtidos de uma fonte independente (por exemplo, sítio Web público), antes de prosseguir a ação.
Credenciais de segurança e autenticação
- O Proprietário do Perfil exigirá que qualquer Usuário que acesse o Perfil do Canal E:
- tomar as medidas adequadas para impedir o acesso não autorizado a qualquer dispositivo de autenticação, ao Perfil do Canal E e a qualquer dispositivo utilizado para o acesso; e
- acesse apenas o Perfil de canal eletrônico usando dispositivos seguros.
- O Proprietário do Perfil garantirá que os Usuários não compartilhem Dispositivos de Autenticação.
HSBCnet
Usuários HSBCnet
- O Proprietário do Perfil imediatamente:
- remover um Utilizador HSBCnet do Perfil HSBCnet, caso deixem a organização do Proprietário do Perfil ou deixem de ter acesso por qualquer motivo; e
- suspender o acesso de um Utilizador HSBCnet ao Perfil HSBCnet se este não estiver ou não estiver ativo no Perfil HSBCnet durante um longo período de tempo ou se houver alguma preocupação quanto à conduta desse Utilizador HSBCnet.
- O proprietário do perfil garantirá que os usuários do HSBCnet:
- fornecer e manter dados corretos, atualizados, completos e não abreviados, sempre que tal seja exigido pelo grupo; e
- não se registre para acessar a HSBCnet usando um endereço de email compartilhado, um número de telefone celular ou vários nomes de usuário.
Credenciais e autenticação de segurança HSBCnet
- O Proprietário do Perfil devolverá prontamente todos os dispositivos de segurança fornecidos por um membro do Grupo, a pedido, com vista a auxiliar quaisquer investigações do Banco de Perfis sobre esses dispositivos de segurança.
Reativação
- Ao reativar um Perfil HSBCnet suspenso, o Banco de Perfis userá esforços razoáveis para restabelecer permissões originais, limites, Usuários HSBCnet, contas e serviços, a menos que seja aplicável uma exceção. O Banco de Perfis também pode adicionar serviços, produtos ou permissões adicionais ao perfil HSBCnet durante o período de suspensão.
Definições
- Serviço Acessado significa qualquer conta, produto e/ou serviço (incluindo, sem limitação, um produto ou serviço relacionado a uma conta) acessado ou usado através do Perfil do Canal E.
- Dispositivo de autenticação, qualquer dispositivo que possa ser utilizado para autenticação no que diz respeito ao Perfil do Canal E, incluindo (sem limitação) qualquer dispositivo de segurança ou dispositivo móvel registrado ao usuário.
- E-Channel, o sistema de banca digital relevante que o Grupo fornece para acesso e utilização (por exemplo, HSBCnet), bem como quaisquer serviços auxiliares e ferramentas técnicas.
- Perfil E-Channel significa o E-Channel na medida em que ele é configurado e fornecido ao Proprietário do Perfil.
- Grupo: a HSBC Holdings plc, as suas filiais, os seus organismos relacionados, as empresas, as entidades associadas e as empresas, bem como qualquer das suas sucursais, de tempos a tempos.
- HSBCnet significa o canal eletrônico que é a plataforma de banca via Internet do grupo, acessível através do portal em www.hsbcnet.com ou de qualquer outro ponto de acesso ou meios, incluindo a aplicação de serviços bancários móveis HSBCnet.
- Perfil HSBCnet é um Perfil de Canal E e significa HSBCnet na medida em que é configurado e fornecido ao Proprietário do Perfil.
- Usuário HSBCnet significa qualquer Usuário que o Proprietário do Perfil permite acessar ou usar o Perfil HSBCnet.
- Lei significa qualquer estatuto local ou estrangeiro aplicável, lei, regulamento, decreto, regra, sentença, decreto, código voluntário, diretiva, regime de sanções, decisão judicial, acordo entre qualquer membro do Grupo e uma autoridade, ou acordo ou tratado entre autoridades e aplicável ao Banco de Perfil ou a um membro do Grupo.
- Banco de perfis significa o membro do grupo que fornece o Perfil de canal eletrônico ao Proprietário do perfil.
- Proprietário do perfil significa qualquer cliente que tenha assinado um acordo com o Banco de perfis para o acesso e uso de um ou mais perfis de canal eletrônico.
- Terceiros significa qualquer parte que não seja um Usuário ou um Provedor de Terceiros que atue para o Proprietário do Perfil no que diz respeito ao Perfil do Canal E e/ou Serviços Acessados.
- Fornecedor de terceiros, uma parte autorizada a prestar informações sobre contas ou serviços de iniciação de pagamentos em conformidade com a lei ou obrigações contratuais aplicáveis às contas ligadas ao Perfil do Canal E.
- Utilizador, qualquer pessoa que o Proprietário do Perfil permita aceder ou utilizar o Perfil do Canal E em seu nome e em cuja autoridade e/ou identidade o Banco do Perfil pode confiar de acordo com o seu acordo com o Proprietário do Perfil para o Perfil do Canal E.
En este documento (las Medidas de seguridad), se establecen los requisitos de seguridad obligatorios (según se modifiquen periódicamente) relacionados con cualquier perfil de canal electrónico.
Para evitar cualquier duda, las medidas de seguridad se aplicarán en relación con cada perfil de canal electrónico que el Profile Bank proporcione al Profile Owner cada cierto tiempo.
Medidas de seguridad de Profile Bank
En los siguientes párrafos se establecen las medidas de seguridad que utilizará el Profile Bank.
General
- El Profile Bank podrá utilizar medidas destinadas a prevenir el acceso de terceros no autorizados a la infraestructura del canal electrónico.
- El Profile Bank puede eliminar o desactivar cualquier servicio accedido o método de autenticación en cualquier momento sin previo aviso si tiene alguna preocupación por la seguridad.
- Si ningún usuario ha accedido al perfil del canal electrónico en un período de 18 meses, el Profile Bank puede suspender dicho perfil.
- El Profile Bank puede terminar la sesión de cualquier usuario en el perfil del canal electrónico por razones de seguridad.
HSBCnet
- El Profile Bank puede suspender a cualquier usuario de HSBCnet que no se haya conectado a HSBCnet en un período de seis meses.
Medidas de seguridad de Profile Owner
Los siguientes párrafos establecen las medidas de seguridad que el Profile Owner cumplirá para el perfil del canal electrónico al que tenga acceso.
General
- El Profile Owner adquirirá, y se asegurará de que cualquier tercero adquiera, mantenga, actualice e instale (según corresponda) cualquier equipo, software, servicios de telecomunicaciones, redes, conexiones, parches, versiones o actualizaciones que el Profile Bank o el proveedor correspondiente requieran.
- El Profile Owner revisará periódicamente sus medidas y controles internos de seguridad y se asegurará de que cualquier tercero lo haga para garantizar que estén actualizados, sean eficaces y estén alineados con la regulación y las directrices de mejores prácticas de la industria. Las medidas y controles internos de seguridad deben incluir (sin limitación) protección contra malware, restricciones de red, parcheado o actualización permanente de hardware y software, restricciones de acceso físico y remoto, configuración de dispositivos informáticos, supervisión del uso inadecuado y orientación sobre navegadores web y uso del correo electrónico aceptables, incluido cómo evitar ser infectado por malware.
- El Profile Owner no eludirá y se asegurará de que ningún usuario o tercero (según corresponda) eluda o intente eludir las medidas de seguridad o cualquiera de los sistemas operativos del Profile Bank utilizados en relación con el canal.
- El Profile Owner debe notificar inmediatamente al Profile Bank si tiene alguna inquietud con respecto a cualquier actividad en el perfil del canal electrónico.
- El Profile Owner notificará al Profile Bank tan pronto como sea posible si tiene conocimiento de cualquier acceso no autorizado o intento de acceso o uso del perfil del canal electrónico o cualquier incidente cibernético real o sospechado en relación con el perfil del canal electrónico.
Usuarios y terceros
- El Profile Owner accederá, y se asegurará de que los usuarios y cualquier tercero lo hagan, solamente al perfil del canal electrónico utilizando los métodos de autenticación prescritos por el Profile Bank.
- El Profile Owner se asegurará de que los usuarios y cualquier tercero no compartan ninguna credencial de seguridad ni el acceso al perfil del canal electrónico (según corresponda) con ninguna parte, excepto si se permite con un proveedor externo. Excepto cuando las credenciales de seguridad sean compartidas con un proveedor externo, el Profile Owner se asegurará de que todos los usuarios y cualquier tercero mantengan en secreto las credenciales de seguridad (incluidos contraseñas, PIN, claves de cifrado y certificados de seguridad) en todo momento.
- El Profile Owner revisará la actividad y los permisos del usuario en relación con el perfil del canal electrónico de forma periódica, a menos que sepa o sospeche que las credenciales de seguridad de cualquier usuario se han perdido, han sido robadas o se han visto comprometidas, en cuyo caso deberá hacer lo siguiente:
- realizará una revisión inmediata;
- notificará de inmediato al Profile Bank; y
- se asegurará de que (según corresponda) se desactive inmediatamente el dispositivo de autenticación, se cambien las credenciales de seguridad o se suspenda al usuario.
- El Profile Owner tendrá procesos comercialmente razonables para evitar que los usuarios y cualquier tercero sean víctimas de ingeniería social o tomen acciones a partir de comunicaciones fraudulentas. Estos procesos deben dirigir a los usuarios y a cualquier tercero, cuando se reciban comunicaciones que parezcan proceder de remitentes conocidos (incluidos la dirección de alto rango, los proveedores y los distribuidores) a asegurarse de que la autenticidad de dichas comunicaciones se verifique de forma independiente utilizando datos de contacto obtenidos de una fuente independiente (p. ej., un sitio web público), antes de continuar con la acción.
Credenciales de seguridad y autenticación
- El Profile Owner requerirá que cualquier usuario que acceda al perfil del canal electrónico realice lo siguiente:
- tome las medidas adecuadas para impedir el acceso no autorizado a cualquier dispositivo de autenticación, o al perfil del canal electrónico y a cualquier dispositivo utilizado para acceder a él, y
- solo acceda al perfil del canal electrónico mediante dispositivos seguros.
- El Profile Owner se asegurará de que los usuarios no compartan dispositivos de autenticación.
HSBCnet
Usuarios de HSBCnet
- El Profile Owner deberá:
- eliminar a un usuario de HSBCnet del perfil de HSBCnet si abandona la organización del Profile Owner o si ya no debe tener acceso por cualquier motivo, y
- suspenderá el acceso de un usuario de HSBCnet al perfil de HSBCnet si no va a estar o no ha estado activo en el perfil de HSBCnet durante un largo período o si existe alguna inquietud acerca de la conducta de dicho usuario de HSBCnet.
- El Profile Owner se asegurará de que los usuarios de HSBCnet:
- proporcionen y mantengan datos correctos, actualizados, completos y no abreviados siempre que el Grupo se los solicite, y
- no se registren para acceder a HSBCnet utilizando una dirección de correo electrónico, un número de teléfono celular o varios nombres de usuario compartidos.
Credenciales de seguridad y autenticación de HSBCnet
- El Profile Owner devolverá rápidamente cualquier dispositivo de seguridad suministrado por un miembro del Grupo que lo solicite, con el fin de ayudar a cualquier investigación del Profile Bank sobre dichos dispositivos de seguridad.
Reactivación
- Cuando se reactive un perfil de HSBCnet suspendido, el Profile Bank hará todos los esfuerzos razonables para restablecer los permisos, los límites, los usuarios de HSBCnet, las cuentas y los servicios originales, a menos que se aplique una excepción. El Profile Bank también podrá agregar servicios, productos o permisos adicionales al perfil de HSBCnet durante el período de suspensión.
Definiciones
- Servicios accedidos significa cualquier cuenta, producto o servicio (incluidos, sin limitación, un producto o servicio relacionado con una cuenta) al que se accede o que se utiliza a través del perfil del canal electrónico.
- Dispositivo de autenticación significa cualquier dispositivo que pueda utilizarse para la autenticación con respecto al perfil del canal electrónico, incluido (sin limitación) cualquier dispositivo de seguridad o dispositivo móvil registrado por el usuario.
- Canal electrónico se refiere al sistema de banca digital pertinente al que el Grupo proporciona acceso y uso (p. ej., HSBCnet), así como a cualquier servicio auxiliar y herramienta técnica.
- Perfil del canal electrónico hace referencia al canal electrónico en la medida en que esté configurado para el Profile Owner y se le haya proporcionado.
- Grupo significa HSBC Holdings plc, sus filiales, entidades corporativas relacionadas, entidades y empresas asociadas y cualquiera de sus sucursales en cada momento.
- HSBCnet se refiere al canal electrónico que es la plataforma de banca por internet del Grupo a la que se accede a través del portal en www.hsbcnet.com o cualquier otro punto de acceso o medio, incluida la aplicación de banca móvil de HSBCnet.
- El Perfil de HSBCnet es un perfil de canal electrónico y se refiere a HSBCnet en la medida en que esté configurado para el Profile Owner y se le haya proporcionado.
- Usuario de HSBCnet es cualquier usuario al que el Profile Owner le permite acceder o utilizar el perfil de HSBCnet.
- Ley significa cualquier estatuto, ley, reglamento, ordenanza, norma, sentencia, decreto, código voluntario, directiva, régimen de sanciones, orden judicial, acuerdo entre cualquier miembro del Grupo y una autoridad, o acuerdo o tratado entre autoridades y aplicable al Profile Bank o a un miembro del Grupo, que sean aplicables a nivel local o en el extranjero.
- Profile Bank es el miembro del Grupo que proporciona el perfil de canal electrónico al Profile Owner.
- Profile Owner significa cualquier cliente que haya firmado un acuerdo con el Profile Bank para el acceso y uso de uno o más perfiles del canal electrónico.
- Tercero significa cualquier parte que no sea un usuario o un proveedor externo que actúe en nombre del Profile Owner con respecto al perfil del canal electrónico o los servicios a los que se accede.
- Proveedor externo significa una parte permitida para proporcionar información sobre cuentas o servicios de iniciación de pagos de conformidad con la ley pertinente o las obligaciones contractuales aplicables a las cuentas vinculadas al perfil del canal electrónico.
- Usuario significa cualquier persona a la que el Profile Owner permite acceder o utilizar el perfil del canal electrónico en su nombre y en cuya autoridad e identidad el Profile Bank puede confiar de conformidad con su acuerdo con el Profile Owner para el perfil del canal electrónico.
Este documento (las Medidas de Seguridad) establece los requisitos de seguridad obligatorios (con las modificaciones que se hacen de vez en cuando) en relación con cualquier perfil del canal electrónico.
Para evitar dudas, las Medidas de seguridad se aplicarán en relación con cada perfil de canal electrónico que el banco de perfiles proporcione al propietario de perfil de vez en cuando.
Medidas de seguridad bancaria de perfil
En los párrafos siguientes se establecen las medidas de seguridad que utilizará el banco del perfil.
General
- El banco de perfiles puede utilizar medidas destinadas a impedir el accesode partes externas no autorizadas a la infraestructura del canal electrónico.
- El banco de perfiles puede eliminar o deshabilitar cualquier servicio accedido o método de autenticación en cualquier momento sin previo aviso si tiene algún problema de seguridad.
- Si ningún usuario no ha accedido al Perfil de E-Channel dentro de un período de 18 meses, el Banco de Perfil puede suspender ese Perfil de EChannel.
- El banco de perfiles puede cancelar cualquier sesión del usuario en el perfil del canal electrónico por razones de seguridad.
HSBCnet
- El banco de perfiles puede suspender a cualquier usuario de HSBCnet que no haya iniciado sesión en HSBCnet en un período de 6 meses.
Medidas de seguridad del propietario del perfil
En los párrafos siguientes se establecen las medidas de seguridad con las que el Titular del perfil cumplirá el perfil del canal electrónico al que tiene acceso.
General
- El Titular del Perfil adquirirá, mantendrá, actualizará e instalará sin demora (según corresponda) cualquier equipo, software, instalaciones de telecomunicaciones, redes, conexiones, parches, versiones y/o actualizaciones que el Banco del Perfil o el proveedor pertinente requiera.
- El Titular del Perfil revisará regularmente sus medidas y controles de seguridad interna y se asegurará de que éstos estén actualizados, sean eficaces y estén alineados con la orientación normativa y de mejores prácticas de la industria. Las medidas y controles de seguridad interna deben incluir (sin limitación) la protección contra malware, las restricciones de red, la aplicación de parches de hardware y software o el enverdecimiento, las restricciones de acceso físico y remoto, la configuración de los dispositivos informáticos, la supervisión del uso indebido y la orientación sobre los navegadores web aceptables y el uso del correo electrónico, incluida la forma de evitar la infección por malware.
- El Titular del Perfil no podrá, y asegurará que ningún Usuario o Tercero (según corresponda) eluda o intente eludir las Medidas de Seguridad o cualquiera de los sistemas operativos del Banco del Perfil utilizados en relación con el Canal Electrónico.
- El Titular del Perfil debe notificar rápidamente al Banco del Perfil si tiene alguna inquietud con alguna actividad en el Perfil del Canal Electrónico.
- El Titular del Perfil lo notificará al Banco de Perfil lo antes posible si tiene conocimiento de cualquier acceso o intento de uso no autorizado del Perfil del Canal Electrónico o de cualquier incidente cibernético real o sospechoso en relación con el Perfil del Canal Electrónico.
Usuarios y terceros
- El Titular del Perfil sólo tendrá acceso al Perfil del Canal Electrónico mediante los métodos de autenticación prescritos por el Banco de Perfil, y se asegurará de que los Usuarios y los Terceros accederán a él.
- El Titular del Perfil se asegurará de que los Usuarios y los Terceros no compartan ninguna credencial de seguridad ni acceso al Perfil del Canal Electrónico (según corresponda) con ninguna parte, excepto en lo permitido con un Proveedor de Terceros. Excepto cuando las credenciales de seguridad se compartan con un proveedor de terceros, el propietario del perfil se asegurará de que todos los usuarios y cualquier tercero mantengan en secreto las credenciales de seguridad (incluidas contraseñas, PIN, claves de cifrado y certificados de seguridad) en todo momento.
- El Titular del Perfil revisará periódicamente la actividad y los permisos del Usuario en relación con el Perfil del Canal Electrónico, a menos que sepa o sospeche que las credenciales de seguridad o que un Dispositivo de Autenticación de cualquier Usuario han sido perdidas, robadas o comprometidas, entonces deberá:
- realizar un examen inmediato;
- notificar sin demora al banco del perfil; y
- asegurarse de que (según corresponda) el Dispositivo de autenticación se desactiva inmediatamente, se cambian las credenciales de seguridad y/o se suspende al Usuario.
- El Titular del Perfil dispondrá de procesos comercialmente razonables para impedir que los Usuarios y los Terceros sean manipulados socialmente o actúen en comunicaciones fraudulentas. Estos procesos deben dirigir a los Usuarios y a los Terceros, cuando las comunicaciones se reciban aparentemente de los remitentes conocidos (incluidos los directivos superiores, los proveedores y los proveedores), a fin de asegurar que la autenticidad de esas comunicaciones se verifique independientemente utilizando los datos de contacto obtenidos de una fuente independiente (por ejemplo, el sitio web público), antes de continuar con la acción.
Credenciales de seguridad y autenticación
- El propietario del perfil requerirá que cualquier usuario que acceda al perfil del canal electrónico:
- que tome las medidas apropiadas para impedir el acceso no autorizado a cualquier Dispositivo de Autenticación, o al Perfil del Canal Electrónico y a cualquier dispositivo que se utilice para acceder a él; y
- solo acceda al perfil de E-Channel mediante dispositivos seguros.
- El propietario del perfil se asegurará de que los usuarios no compartan los dispositivos de autenticación Página de
HSBCnet
Usuarios de HSBCnet
- El Titular del Perfil lo hará sin demora:
- eliminar un usuario de HSBCnet del perfil de HSBCnet si abandonan la organización del propietario del perfil o ya no deberían tener acceso por ningún motivo; y
- suspender el acceso de un usuario de HSBCnet al Perfil de HSBCnet si no estará activo en el Perfil de HSBCnet durante un período prolongado o si existe alguna preocupación sobre la conducta de ese usuario de HSBCnet.
- El Titular del Perfil asegurará que los Usuarios de HSBCnet:
- proporcionen y mantengan datos correctos, actualizados, completos y sin abreviar cuando el Grupo los requiera; y
- no se registre para acceder a HSBCnet utilizando una dirección de correo electrónico compartida, número de teléfono móvil o bajo varios nombres de usuario.
Autenticación y credenciales de seguridad de HSBCnet
- El Titular del Perfil devolverá sin demora cualquier dispositivo de seguridad suministrado por un miembro del Grupo que lo solicite, con miras a ayudar a que el Banco del Perfil investigue esos dispositivos de seguridad.
Reactivación
- Al reactivar un Perfil de HSBCnet suspendido, el Banco de Perfil hará un esfuerzo razonable para restablecer los permisos, límites originales, usuarios de HSBCnet, cuentas y servicios, a menos que se aplique una excepción. El banco de perfiles también puede agregar servicios, productos o permisos adicionales al perfil de HSBCnet durante el período de suspensión.
Definiciones
- Servicio Accedido significa cualquier cuenta, producto y/o servicio (incluido, entre otros, un producto o servicio relacionado con una cuenta) al que se accede o se utiliza a través del Perfil de E-Channel.
- Dispositivo de autenticación significa cualquier dispositivo que se puede utilizar para la autenticación con respecto al Perfil de Canal Electrónico, incluyendo (sin limitación) cualquier dispositivo de seguridad o dispositivo móvil registrado al Usuario.
- Canal Electrónico significa el sistema bancario digital pertinente que el Grupo proporciona para el acceso y uso (por ejemplo, HSBCnet), y cualquier servicio auxiliar y herramientas técnicas.
- Perfil de Canal Electrónico significa el Canal Electrónico en la medida en que esté configurado para el Titular del Perfil y se proporcione al Titular del Perfil.
- Grupo: HSBC Holdings plc, sus filiales, organismos relacionados, sociedades, entidades asociadas y empresas y cualquiera de sus sucursales de vez en cuando.
- HSBCnet significa el Canal Electónico que es la plataforma de banca por Internet del Grupo a la que se accede a través del portal en www.hsbcnet.com o cualquier otro punto de acceso o medio, incluyendo la aplicación de banca móvil HSBCnet.
- Perfil HSBCnet es un Perfil de Canal Electrónico y significa HSBCnet en la medida en que esté configurado para el Propietario del Perfil y se lo proporcione.
- Usuario de HSBCnet significa cualquier Usuario que el Titular del Perfil permita acceder o utilizar el Perfil de HSBCnet.
- Por ley se entiende todo estatuto, ley, reglamento, ordenanza, regla, sentencia, decreto, código voluntario, directiva, régimen de sanciones, orden judicial, acuerdo entre cualquier miembro del Grupo y una autoridad, o acuerdo o tratado entre las autoridades y aplicable al Banco Perfil o a un miembro del Grupo.
- Banco del perfil significa el miembro del grupo que proporciona el perfil de canal electrónico al propietario del perfil.
- Titular del perfil significa cualquier cliente que haya firmado un acuerdo con el banco Profile para el acceso y uso de uno o más perfiles de Canal Electrónico.
- Tercero significa cualquier persona que no sea un Usuario o un Proveedor de Terceros que actúe para el Titular del Perfil con respecto al Perfil de Canal Electrónico y/o los Servicios Accedidos.
- Proveedor de terceros significa una parte autorizada a proporcionar información de la cuenta o servicios de iniciación de pagos de acuerdo con la ley pertinente u obligaciones contractuales aplicables a las cuentas vinculadas al perfil del canal electrónico.
- Usuario: toda persona que el Titular del Perfil permita acceder o utilizar el Perfil del Canal Electrónico en su nombre y en cuya autoridad y/o identidad pueda confiar el Banco del Perfil de acuerdo con su acuerdo con el Titular del Perfil para el Perfil del Canal Electrónico.
Tài liệu này (Các Biện Pháp Bảo Mật) quy định các yêu cầu bảo mật bắt buộc (được sửa đổi tùy từng thời điểm) liên quan đến bất kỳ Hồ Sơ Kênh Điện Tử nào.
Để tránh hiểu lầm, Các Biện Pháp Bảo Mật sẽ được áp dụng đối với từng Hồ Sơ Kênh Điện Tử mà Ngân Hàng Tạo Hồ Sơ cung cấp cho Chủ Hồ Sơ tùy từng thời điểm.
Các Biện Pháp Bảo Mật của Ngân Hàng Tạo Hồ Sơ
Các điều khoản sau đây quy định các biện pháp bảo mật mà Ngân Hàng Tạo Hồ Sơ sẽ sử dụng.
Điều khoản chung
- Ngân Hàng Tạo Hồ Sơ có thể sử dụng các biện pháp nhằm ngăn chặn quyền truy cập của các bên không có thẩm quyền vào cơ sở hạ tầng Kênh Điện Tử.
- Ngân Hàng Tạo Hồ Sơ có thể gỡ bỏ hoặc vô hiệu hóa bất kỳ Dịch Vụ Được Truy Cập hoặc phương thức xác thực nào tại bất kỳ thời điểm nào mà không cần thông báo nếu có mối quan ngại nào về bảo mật.
- Nếu không có bất kỳ Người Dùng nào truy cập Hồ Sơ Kênh Điện Tử trong vòng 18 tháng, Ngân Hàng Tạo Hồ Sơ có thể tạm khóa Hồ Sơ Kênh Điện Tử đó.
- Ngân Hàng Tạo Hồ Sơ có thể chấm dứt bất kỳ phiên giao dịch nào của Người Dùng trong Hồ Sơ Kênh Điện Tử vì lý do bảo mật.
HSBCnet
- Ngân Hàng Tạo Hồ Sơ có thể tạm khóa bất kỳ Người Dùng HSBCnet nào không đăng nhập vào HSBCnet trong khoảng thời gian 6 tháng.
Các Biện Pháp Bảo Mật Của Chủ Hồ Sơ
Các đoạn sau đây quy định các biện pháp bảo mật mà Chủ Hồ Sơ phải tuân thủ đối với Hồ Sơ Kênh Điện Tử mà họ có quyền truy cập.
Điều khoản chung
- Chủ Hồ Sơ phải ngay lập tức chấp nhận, duy trì, cập nhật và cài đặt (nếu có) mọi thiết bị, phần mềm, trang thiết bị viễn thông, mạng, kết nối, các bản vá lỗi, bản phát hành và/hoặc bản cập nhật mà Ngân Hàng Tạo Hồ Sơ hoặc nhà cung cấp liên quan yêu cầu và đảm bảo rằng bất kỳ Bên Thứ Ba nào cũng phải tuân thủ quy định này.
- Chủ Hồ Sơ phải thường xuyên rà soát các biện pháp bảo mật và biện pháp kiểm soát nội bộ để đảm bảo rằng những biện pháp này đều là cập nhật nhất, hiệu quả và phù hợp với các quy định pháp luật và tiêu chuẩn tốt nhất của ngành, và đảm bảo rằng bất kỳ Bên Thứ Ba nào cũng phải tuân thủ quy định này. Các biện pháp bảo mật và biện pháp kiểm soát nội bộ phải bao gồm (nhưng không giới hạn) biện pháp bảo vệ khỏi phần mềm độc hại, hạn chế mạng, bản vá lỗi hoặc phục hồi phần cứng và phần mềm, hạn chế truy cập thực tế và từ xa, cài đặt thiết bị máy tính, giám sát việc sử dụng không đúng cách và hướng dẫn về trình duyệt web được chấp nhận cũng như cách sử dụng email, bao gồm cách tránh bị nhiễm phần mềm độc hại.
- Chủ Hồ Sơ không được tấn công hoặc âm mưu tấn công Các Biện Pháp Bảo Mật hoặc bất kỳ hệ điều hành nào của Ngân Hàng Tạo Hồ Sơ được sử dụng trong kết nối với Kênh Điện Tử và đảm bảo rằng bất kỳ Người Dùng hoặc Bên Thứ Ba nào (nếu có) không được vi phạm quy định này.
- Chủ Hồ Sơ phải thông báo ngay cho Ngân Hàng Tạo Hồ Sơ nếu có bất kỳ lo ngại nào liên quan đến bất kỳ hoạt động nào trong Hồ Sơ Kênh Điện Tử.
- Chủ Hồ Sơ phải thông báo cho Ngân Hàng Tạo Hồ Sơ càng sớm càng tốt nếu biết được bất kỳ hành vi truy cập hoặc sử dụng trái phép thực tế hoặc tìm cách truy cập hoặc sử dụng trái phép Hồ Sơ Kênh Điện Tử hoặc bất kỳ sự cố mạng thực tế hay đáng ngờ nào liên quan đến Hồ Sơ Kênh Điện Tử.
Người dùng và Bên thứ ba
- Chủ Hồ Sơ chỉ truy cập Hồ Sơ Kênh Điện Tử bằng phương thức xác thực do Ngân Hàng tạo Hồ Sơ chỉ định và đảm bảo rằng bất kỳ Người Dùng và Bên Thứ Ba nào cũng phải tuân thủ quy định này.
- 1Chủ Hồ Sơ phải đảm bảo rằng Người Dùng và bất kỳ Bên Thứ Ba nào không chia sẻ bất kỳ thông tin đăng nhập bảo mật hoặc quyền truy cập vào Hồ Sơ Kênh Điện Tử (nếu có) với bất kỳ bên nào trừ trường hợp được cho phép chia sẻ với Nhà Cung Cấp Bên Thứ Ba. Ngoại trừ trường hợp chia sẻ thông tin đăng nhập bảo mật với Nhà Cung Cấp Bên Thứ Ba, Chủ Hồ Sơ phải đảm bảo tất cả Người Dùng và Bên Thứ Ba đều giữ bí mật thông tin đăng nhập bảo mật (bao gồm mật khẩu, PIN, khóa mã hóa và chứng chỉ bảo mật) tại mọi thời điểm.
- Chủ Hồ Sơ phải thường xuyên rà soát lại hoạt động và quyền của Người Dùng liên quan đến Hồ Sơ Kênh Điện Tử, trừ trường hợp biết hoặc nghi ngờ rằng thông tin đăng nhập bảo mật hoặc thiết bị xác thực của Người Dùng đã bị mất, bị đánh cắp hoặc bị xâm phạm. Trong trường hợp đó, Chủ Hồ Sơ phải:
- tiến hành rà soát ngay lập tức;
- thông báo ngay cho Ngân Hàng Tạo Hồ Sơ; và
- đảm bảo rằng (nếu có) thiết bị được hủy kích hoạt ngay lập tức, thông tin đăng nhập bảo mật được thay đổi và/hoặc Người Dùng bị đình chỉ.
- Chủ Hồ Sơ phải tiến hành các quy trình hợp lý về mặt thương mại nhằm ngăn ngừa Người Dùng và bất kỳ Bên Thứ Ba nào bị lừa đảo bằng phương thức tấn công phi kỹ thuật hoặc thông qua truyền thông. Những quy trình này yêu cầu Người Dùng và bất kỳ Bên Thứ Ba nào đảm bảo việc xác minh độc lập các thông tin trao đổi có vẻ gửi đến từ những người quen biết (bao gồm quản lý cấp cao, nhà cung cấp và các bên bán hàng) bằng cách sử dụng thông tin liên hệ từ một nguồn độc lập (ví dụ như trang web công khai) trước khi tiếp tục hành động.
Thông tin đăng nhập và xác thực bảo mật
- Chủ Hồ Sơ phải yêu cầu bất kỳ Người Dùng nào truy cập Hồ Sơ Kênh Điện Tử:
- thực hiện các bước thích hợp để ngăn chặn việc truy cập trái phép vào bất kỳ Thiết Bị Xác Thực nào hoặc vào Hồ Sơ Kênh Điện Tử và bất kỳ thiết bị nào được sử dụng để truy cập vào Hồ Sơ Kênh Điện Tử; và
- chỉ truy cập Hồ Sơ Kênh Điện Tử bằng cách sử dụng các thiết bị bảo mật.
- Chủ Hồ Sơ phải đảm bảo Người Dùng không chia sẻ Thiết Bị Xác Thực.
HSBCnet
Người dùng HSBCnet
- Chủ Hồ Sơ phải ngay lập tức:
- xóa Người Dùng HSBCnet khỏi Hồ Sơ HSBCnet nếu họ rời khỏi tổ chức của Chủ Hồ Sơ hoặc không còn quyền truy cập vì bất kỳ lý do gì; và
- tạm khóa quyền truy cập của Người Dùng HSBCnet nếu họ không hoặc đã không hoạt động trên Hồ Sơ HSBCnet trong một thời gian dài hoặc nếu có bất kỳ quan ngại nào về hành vi của Người Dùng HSBCnet đó.
- Chủ Hồ Sơ phải đảm bảo rằng Người Dùng HSBCnet:
- cung cấp và duy trì các thông tin chi tiết chính xác, cập nhật, đầy đủ và không viết tắt bất cứ khi nào Tập Đoàn yêu cầu; và
- không đăng ký truy cập vào HSBCnet bằng địa chỉ email, số điện thoại di động được chia sẻ, hoặc dưới nhiều tên người dùng.
Thông tin đăng nhập và xác thực bảo mật của HSBCnet
- Chủ Hồ Sơ phải lập tức hoàn trả mọi thiết bị bảo mật do thành viên Tập Đoàn cung cấp khi được yêu cầu, nhằm hỗ trợ bất kỳ cuộc điều tra nào của Ngân Hàng Tạo Hồ Sơ về các thiết bị bảo mật đó.
Kích hoạt lại
- Khi kích hoạt lại Hồ Sơ HSBCnet bị tạm khóa, Ngân Hàng Tạo Hồ Sơ sẽ nỗ lực hợp lý để khôi phục lại các quyền, hạn mức, Người Dùng, tài khoản và các dịch vụ HSBCnet ban đầu trừ khi có ngoại lệ. Ngân Hàng Tạo Hồ Sơ cũng có thể thêm các dịch vụ, sản phẩm hoặc bổ sung quyền vào Hồ Sơ HSBCnet trong thời gian đình chỉ.
Định nghĩa
- Dịch Vụ Được Truy Cập là bất kỳ tài khoản, sản phẩm và/hoặc dịch vụ nào (bao gồm nhưng không giới hạn ở một sản phẩm hoặc dịch vụ liên quan đến một tài khoản) được truy cập hoặc sử dụng thông qua Hồ Sơ Kênh Điện Tử.
- Thiết Bị Xác Thực nghĩa là bất kỳ thiết bị nào có thể được sử dụng để xác thực đối với Hồ Sơ Kênh Điện Tử, bao gồm (nhưng không giới hạn) mọi thiết bị bảo mật hoặc thiết bị di động đã đăng ký cho Người Dùng.
- Kênh Điện Tử là hệ thống ngân hàng kỹ thuật số liên quan mà Tập Đoàn cung cấp để truy cập và sử dụng (ví dụ: HSBCnet) cũng như bất kỳ dịch vụ và công cụ kỹ thuật phụ trợ nào.
- Hồ Sơ Kênh Điện Tử là Kênh Điện Tử được cấu hình và cung cấp cho Chủ Hồ Sơ.
- Tập Đoàn là HSBC Holdings plc, các công ty con, các công ty liên quan, các pháp nhân và công ty liên kết cũng như bất kỳ chi nhánh nào của Tập Đoàn tùy từng thời điểm.
- HSBCnet là Kênh Điện Tử mà nền tảng ngân hàng điện tử của Tập Đoàn có thể truy cập qua cổng thông tin tại địa chỉ www.hsbcnet.com hoặc bất kỳ điểm truy cập hoặc phương tiện nào khác bao gồm ứng dụng ngân hàng trên điện thoại di động HSBCnet.
- Hồ Sơ HSBCnet là Hồ sơ Kênh Điện Tử và là HSBCnet được cấu hình và cung cấp cho Chủ Hồ Sơ.
- Người Dùng HSBCnet là bất kỳ Người Dùng nào mà Chủ Hồ Sơ cho phép truy cập hoặc sử dụng Hồ Sơ HSBCnet.
- Luật là bất kỳ quy chế, luật pháp, quy định, pháp lệnh, quy tắc, phán quyết, nghị định, quy tắc tự nguyện, chỉ thị, chế độ xử phạt, lệnh của tòa án địa phương hoặc nước ngoài hiện hành nào, thỏa thuận giữa bất kỳ thành viên nào của Tập Đoàn và một cơ quan có thẩm quyền, hoặc thỏa thuận hay hiệp ước giữa các cơ quan chức năng và áp dụng cho Ngân Hàng Tạo Hồ Sơ hoặc thành viên của Tập Đoàn.
- Ngân Hàng Tạo Hồ Sơ là thành viên Tập Đoàn, cung cấp Hồ Sơ Kênh Điện Tử cho Chủ Hồ Sơ.
- Chủ Hồ Sơ là bất kỳ khách hàng nào đã ký thỏa thuận với Ngân Hàng Tạo Hồ Sơ để truy cập và sử dụng một hoặc nhiều Hồ Sơ Kênh Điện Tử.
- Bên Thứ Ba là bất kỳ bên nào khác ngoài Người Dùng hoặc Nhà Cung Cấp Bên Thứ Ba đại diện cho Chủ Hồ Sơ liên quan đến Hồ Sơ Kênh Điện Tử và/hoặc Dịch Vụ Được Truy Cập.
- Nhà Cung Cấp Bên Thứ Ba là bên được phép để cung cấp thông tin tài khoản hoặc các dịch vụ khởi tạo thanh toán theo Luật liên quan hoặc nghĩa vụ hợp đồng áp dụng cho các tài khoản liên kết với Hồ Sơ Kênh Điện Tử.
- Người Dùng là bất kỳ người nào được Chủ Hồ Sơ cho phép truy cập hoặc sử dụng Hồ Sơ Kênh Điện Tử thay mặt mình và Ngân Hàng Tạo Hồ Sơ có thể tin tưởng vào thẩm quyền và/hoặc danh tính của người đó theo thỏa thuận với Chủ Hồ Sơ của Hồ Sơ Kênh Điện Tử.