• Kdaj bo izveden prehod na novo spletno banko za pravne osebe Poslovna eSberbank SI? Ali bom o prehodu pravočasno obveščen/a?

    Prehod na novo spletno banko za pravne osebe Poslovna eSberbank SI (v nadaljevanju spletna banka) je predviden v mesecu novembru 2019. O točnem datumu prehoda boste vsi uporabniki obstoječe spletne banke pravočasno obveščeni v obstoječi spletni banki, prek e-poštnega sporočila na e-poštni naslov, ki ste ga navedli kot kontaktni podatek v obstoječi spletni banki. Obvestilo bo objavljeno tudi spletnih straneh Sberbank banke.

  • Kot kontaktna oseba v podjetju sem prejel e-poštno sporočilo, da moramo posodobiti svoje kontaktne podatke v obstoječi spletni banki Sberbank Poslovni splet, vendar nisem uporabnik spletne banke? Kaj to pomeni?

    E-poštno sporočilo ste prejeli, ker ste v naših bazah navedeni kot kontaktna oseba v podjetju. Ni nujno, da ste tudi uporabnik obstoječe spletne banke za pravne osebe. Kot kontaktno osebo, ki je prejela zadevno e-poštno sporočilo, vas prosimo, da pozovete vse (aktivne) uporabnike, ki ste jih v vašem podjetju pooblastili za uporabo spletne banke, naj v obstoječi spletni banki vnesejo kontaktne podatke za uporabo nove spletne banke, če tega še niso storili. Za uporabnike, ki niso več aktivni oz. obstoječe spletne banke več ne uporabljajo, podatkov ni potrebno vpisovati.

  • Kot kontaktna oseba v podjetju sem prejel/a e-poštno sporočilo, da moramo posodobiti kontaktne podatke v obstoječi spletni banki Sberbank Poslovni splet, vendar sem podatke že oddal/a. Zakaj sem prejel/a e-poštno sporočilo oziroma kaj moram narediti?

    E-poštno sporočilo ste prejeli, ker ste navedeni kot kontaktna oseba v podjetju. Če ste kot uporabnik obstoječe spletne banke kontaktne podatke že oddali, je za vas kot uporabnika spletne banke sporočilo brezpredmetno.

    E-poštno sporočilo ste kot kontaktna oseba v podjetju prejeli, ker ostali uporabniki, ki ste jih v vašem podjetju pooblastili za uporabo spletne banke, še niso oddali kontaktnih podatkov. Kot kontaktno osebo, ki je prejela zadevno e-poštno sporočilo, vas prosimo, da pozovete vse (aktivne) uporabnike, ki ste jih v vašem podjetju pooblastili za uporabo spletne banke, naj v obstoječi spletni banki vnesejo kontaktne podatke za uporabo nove spletne banke, če tega še niso storili. Za uporabnike, ki niso več aktivni oz. obstoječe spletne banke več ne uporabljajo, podatkov ni potrebno vpisovati.

  • Kako je nova spletna banka za pravne osebe skladna z Delegirano uredbo Komisije (EU) 2018/389?

    Nova spletna banka za pravne osebe Poslovna eSberbank SI je skladna s tehničnimi standardi po evropski regulativi glede varne avtentikacije strank (SCA - Secure Customer Authentication). To smo dosegli na dveh nivojih:

    Na nivoju prijavnih metod smo uvedli dodatni avtentikacijski faktor (SMS žeton) pri tistih prijavnih metodah, kjer je bil do zdaj zahtevan le en faktor. Primer je denimo prijava s kvalificiranim digitalnim potrdilom (ki ne zahteva še dodatnega odklepa s PIN-om) in vstopnim geslom. Po novem bo prijava s takšnim kvalificiranim potrdilom in vstopnim geslom možna le z dodatnim faktorjem v obliki SMS žetona.

    Na nivoju potrjevanja plačil smo po določilih delegirane uredbe uvedli varnostno nadgrajeni SMS žeton, ki ni več generiran naključno, temveč je ustvarjen na podlagi podatkov o transakciji. Na ta način zagotavlja nedvoumno in enolično povratno povezavo s transakcijo, ki jo potrjuje (t. i. dinamično povezovanje oz. dynamic linking). To pomeni, da takšen SMS žeton lahko potrdi le točno določeno transakcijo in ne morebiti takšne, ki bi bila zaradi napada v brskalniku spremenjena s strani morebitnega spletnega napadalca. 

    S skladnostjo z varnostnimi zahtevami po evropski regulativi je tako uporaba nove spletne banke za pravne osebe veliko bolj varna. Ukinili smo tudi vse metode za potrjevanje plačil, ki ne zagotavljajo dinamične povezljivosti s transakcijo, to je potrjevanje s stalnim geslom za avtorizacije plačil in potrjevanje z naključno generiranim geslom z OTP čitalca. Trenutno je edina metoda za potrjevanje plačil samo dinamični SMS žeton, ki lahko zagotovi dinamično povezljivost enkratnega gesla s transakcijo.

  • Zakaj potrebujem za potrjevanje plačil v spletni banki SMS žeton? Do zdaj sem uporabljal/a stalno geslo ali pa enkratno geslo s kartičnega čitalca.

    Skladno z varnostnimi zahtevami po delegirani uredbi smo v novi spletni banki ukinili tudi vse načine za potrjevanje plačil, ki ne zagotavljajo dinamične povezljivosti s transakcijo. Ti načini so potrjevanje s stalnim geslom za avtorizacije plačil in potrjevanje z naključno generiranim geslom z OTP čitalca. Edini način, ki trenutno zagotavlja dinamično povezljivost enkratnega gesla s transakcijo, je varnostno nadgrajeni dinamični SMS žeton.

  • Zasledil/a sem, da naj SMS žetoni ne bi bili varni, vi pa jih z novo spletno banko uvajate za potrjevanje plačil in vstop v spletno banko. Ali drži, da SMS žetoni niso varen element za prijavo v spletno banko?

    To ne drži oziroma je odvisno od tega, v kakšni funkciji je SMS žeton. Dejstvo je, da vsak avtentikacijski element, ki za vstop ali potrjevanje plačil nastopa kot samostojen element oziroma edini avtentikacijski faktor, ni varen po delegirani uredbi oziroma delegirana uredba takšne rabe ne dovoljuje, saj ta za avtentikacijo predvideva vedno najmanj dva faktorja od treh, ki so: a) element poznavanja, b) element imetništva, c) nekaj, kar uporabnik je.

    Ker pri Sberbank banki SMS žeton za prijavo v spletno banko nastopa vedno v kombinaciji z uporabniškim imenom in vstopnim geslom (oziroma s kvalificiranim digitalnim potrdilom in vstopnim geslom), je takšna implementacija SMS žetona varna in skladna z uredbo. Pri avtorizaciji plačil z SMS žetonom je pa dodatno (prvi korak varne avtentikacije uporabnika do koraka potrditve je zagotovljen že s samo varno prijavo v spletno banko) zagotovljeno še dinamično povezovanje enkratnega SMS žetona s samo transakcijo.

    Primer ne-varne uporabe SMS žetona bi bil denimo prijava v spletno banko z uporabniškim imenom in le SMS žetonom (ali pa kvalificiranim digitalnim potrdilom in le SMS žetonom), brez dodatnega faktorja vstopnega gesla. Podoben primer ne povsem varne uporabe SMS žetona (vendar izven konteksta spletne banke) je denimo potrditev spletnega kartičnega nakupa, kjer uporabnik prejme le enkratni SMS žeton za potrditev transakcije (Sberbank banka takšnega načina avtoriziranja spletnih plačil ne podpira).

  • Kaj pomeni, da je SMS žeton, ki se uporablja za potrjevanje plačil, varnostno nadgrajen?

    Za razliko od navadnega SMS žetona, ki je ustvarjen naključno, varnostno nadgrajeni SMS žeton deluje tako, da je generiran v kombinaciji s točno določeno transakcijo in zneskom te transakcije. Več informacij najdete v točki 5.

  • Po novem zahtevate SMS žetone za potrjevanje plačil, sodelavka, ki tudi uporablja spletno banko, nima službenega mobilnega telefona in tudi ne vidim razloga, zakaj bi ji moral zagotoviti službeni mobilni telefon. Kakšne so opcije?

    Evropska regulativa glede elementa lastništva (v tem primeru mobilni telefon oziroma SIM kartica) ne predpisuje, da bi moral uporabnik plačilnih storitev (PSU - Payment Service User) biti dejansko tudi lastnik mobilnega telefona oziroma SIM kartice, predvsem pa ne predpisuje, da bi se za službene namene moral uporabljati službeni mobilni telefon.

    Uporabnik je kot takšen zgolj dolžan zagotoviti, da ima dostop do naprave, ki jo je prijavil kot element avtentikacije, kar dokaže že s tem, da se s pomočjo tega elementa v postopku dejansko uspešno avtenticira. Poleg tega je uporabnik skladno s pogoji uporabe storitve dolžan zagotoviti varno ravnanje z napravo, ki jo kot dejanski lastnik (ali pa tudi če ni lastnik) uporablja v postopku avtentikacije in kjer ta naprava nastopa kot medij za dostavo enkratnega SMS gesla kot drugi faktor avtentikacije. 

    Sodelavka lahko torej za avtentikacijo uporablja zasebni mobilni telefon, če to ni v izrecnem nasprotju z internimi pravili v podjetju, npr. da politika v podjetju določa, da mora uporabnik pri poslovanju uporabljati opremo, ki jo zagotovi podjetje. V tem primeru lahko podjetje pooblaščenemu uporabniku spletne banke za pravne osebe priskrbi službeni mobilni telefon.

  • V katerih primerih za delo v novi spletni banki za pravne osebe mobilnega telefona oziroma SMS žetona uporabnik ne potrebuje?

    Pri aktivaciji oziroma prvem vstopu v spletno banko SMS žeton ni potreben:

    • le v primeru, ko uporabnik aktivacijo opravi s prvim vstopom v spletno banko s kartico in OTP čitalcem.

    Pri prijavi v spletno banko SMS žeton ni potreben v primerih, kadar se uporabnik prijavlja v spletno banko:

    • s kartico in OTP čitalcem ali
    • s kvalificiranim digitalnim potrdilom na varnem nosilcu, ki je zaklenjeno s PIN (npr. Halcom ključek) in vstopnim geslom.

    Pri delu v spletni banki SMS žeton ni potreben:

    • če uporabnik nima pravic za avtoriziranje plačil oziroma zgolj pripravlja oz. vnaša plačilne naloge (ima vlogo zgolj vnašalca),
    • če ima vlogo podpisnika in avtorizira plačila, pri katerih avtorizacija z SMS žeton ni potrebna:
      • kadar uporabnik potrjuje plačilo iz predhodno shranjene predloge (predhodno avtorizirano plačilo),
      • kadar uporabnik potrjuje plačilo z varčevalnega (e-obrestnega) računa na referenčni račun,
      • kadar je znesek plačila manjši od 30 EUR.
    • če uporabnik ne spreminja osebnih in avtorizacijskih nastavitev v spletni banki.

    Praktičen primer, ko uporabnik spletne banke mobilnega telefona za delo v spletni banki sploh ne potrebuje: kadar je uporabnik spletno banko aktiviral s kartico in OTP čitalcem, to uporablja tudi za vstop v spletno banko, v spletni banki pa plačilne naloge zgolj vnaša, avtorizira pa jih ne (ima le vlogo vnašalca).

  • Zakaj ste v novi spletni banki umaknili možnost potrjevanja plačil z OTP čitalcem oz. zakaj ste umaknili možnost potrjevanja plačil s stalnim geslom?

    Potrjevanje plačil z OTP čitalcem oziroma s stalnim geslom ni v skladu z zahtevami nove evropske regulative, saj ne izpolnjuje novih varnostnih zahtev.

  • Zasledil/a sem, da lahko za aktivacijo in uporabo nove spletne banke oddam zasebni e-poštni naslov in mobilno telefonsko številko. Službenih zadev ne želim mešati z zasebnimi. Ali to pomeni, da moram za uporabo spletne banke pridobiti službeni telefon?

    Za uporabo v spletni banki ni ovir, da kot uporabnik spletne banke ne bi uporabljali zasebne mobilne telefonske številke, saj ta služi zgolj kot varnostni element za dostavo drugega faktorja. Več o tej temi najdete v točki 9.

    Ne glede na to, ali uporabljate službeni ali pa zasebni telefon, morate pri uporabi spletne banke ravnati skladno z varnostnimi priporočili (telefon zaklenjen; do telefona nimajo dostopa nepooblaščene osebe;prikazovanje SMS sporočil na zaklenjenem zaslonu je izključeno). Več o varnostnih priporočilih v točki 24.

  • Ali moram vedno potrditi plačilo z SMS žetonom, ne glede na to, s katero prijavno metodo sem vstopil/a v novo spletno banko? Ali to pomeni, da bo odslej vsa plačila možno potrjevati samo še z SMS žetonom?

    Da. Potrjevanje plačil z SMS žetonom je trenutno edini način za potrjevanje plačil (in je neodvisen od načina prijave) in trenutno edini, ki je skladen z novimi varnostnimi zahtevami po Delegirani uredbi Komisije (EU). V bližnji prihodnosti bomo poleg SMS žetona uporabnikom ponudili tudi druge sodobne in varne načine za potrjevanje transakcij v spletni banki, tako da bo SMS žeton edini način za potrjevanje plačil le kratkoročno.

    Izjema, ko potrjevanje plačila ne zahteva SMS žetona, je kadar ima uporabnik vlogo podpisnika in avtorizira plačila, pri katerih avtorizacija z SMS žeton ni potrebna:

    • kadar uporabnik potrjuje plačilo iz predhodno shranjene predloge (predhodno avtorizirano plačilo),
    • kadar uporabnik potrjuje plačilo z varčevalnega (e-obrestnega) računa na referenčni račun,
    • kadar je znesek plačila manjši od 30 EUR.
  • Ali pri potrjevanju plačil z SMS žetonom pomeni, da bom moral/a vsako posamezno plačilo potrditi z SMS žetonom?

    Ne. Z enim samim SMS žetonom potrdite več transakcij hkrati (npr. paket plačil ali pa poljubno število izbranih plačil v seznamu nepotrjenih plačil), kar skladno z uporabniškimi navodili tudi priporočamo.

    Situacije, ko pri avtorizaciji plačila SMS žeton ni potreben, pa so navedene v točkah 10 in 13.

  • Opazil/a sem, da nekatere banke ne zahtevajo, da poslovni uporabniki oziroma uporabniki spletne banke za pravne osebe oddajo podatek o mobilni telefonski številki za potrjevanje plačil po 14. 9. 2019. Kako, da Sberbank to zahteva?

    Sberbank banka zahteva kontaktne podatke iz dveh razlogov: primarno zato, ker so po 14. septembru 2019  vse banke dolžne zagotoviti skladnost z varnostnimi zahtevami evropske regulative. Drugi razlog je, da je mobilna telefonska številka poleg e-poštnega naslova nujen pogoj za dostavo aktivacijskih podatkov za novo spletno banko, ko bo izveden prehod nanjo.

    Vse rešitve elektronskega bančništva na daljavo, ki za svoje delovanje potrebujejo spletni brskalnik, morajo s 14. 9. 2019 zagotoviti varno avtentikacijo strank (SCA) v postopku prijave oz. potrjevanja plačil. Naša spletna banka deluje v spletnem brskalniku, zato mora biti temu pogoju zadoščeno. Druge rešitve elektronskega bančništva, ki ne delujejo v spletnem brskalniku in pri delovanju uporabljajo lastne komunikacijske protokole (torej ne spletnih), so lahko izjeme glede zahteve po zagotavljanju varne avtentikacije strank.

  • Kot uporabnik obstoječe spletne banke opažam, da ponujate tudi Halcomovo rešitev elektronske banke. Ali bo pri tej rešitvi s 14. 9. 2019 tudi zahtevana uporaba mobilnega telefona?

    Uporaba mobilnega telefona pri Halcomovi rešitvi po tolmačenju regulatorja ni potrebna, saj rešitev ne deluje v spletnem brskalniku in uporablja posebne komunikacijske protokole. Poleg tega prijavo v elektronsko banko omogoča le s kvalificiranimi digitalnim potrdilu na varnem nosilcu, do katerega je možno dostopati le s poznavanjem PIN kode.

  • V spletni banki zgolj vnašam naloge, potrjuje pa jih nekdo drug. Ali potrebujem mobilni telefon za delo v spletni banki?

    Glede na to, da plačil ne potrjujete, mobilnega telefona ne potrebujete. Vseeno vam mora podjetje, pri katerem ste pooblaščeni za uporabo spletne banke, dodeliti oziroma za uporabo prijaviti opremo za vstop v spletno banko, pri kateri ni zahtevan dodatni faktor v obliki SMS žetona.

    Za vstop potrebujete vsaj imetniško plačilno kartico in enkratni generator gesel (OTP čitalec) ali pa kvalificirano digitalno potrdilo na varnem nosilcu, ki je za dostop zaklenjeno s PIN kodo in ob katerem boste za vstop v spletno banko morali navesti le še vstopno geslo za spletno banko (SMS žeton za redno vstopanje v spletno banko ne bo potreben; ne glede na to boste pa mobilno številko potrebovali vsaj za prvo aktivacijo oz. prehod na novo spletno banko).

  • Kako bom lahko izvedel aktivacijo in prijavo v novo spletno banko?

    Aktivacija nove spletne banke bo možna na dva načina:

    a) Ob prehodu na novo spletno banko vam bomo na e-poštni naslov, ki ste ga oddali kot kontakni podatek, posredovali aktivacijsko povezavo z navodili za aktivacijo. Na mobilni telefon boste prejeli enkratno SMS geslo, ki ga vpišete v spletno banko. Nato boste prejeli SMS žeton, ki ga pravtako vpišete v spletno banko. Določili boste stalno geslo in se uspešno vpisali v spletno banko. V e-poštnem sporočilu boste ob aktivacijski povezavi prejeli tudi navodila, ki jim sledite za uspešno aktivacijo.

    b) Če uporabljate prenosni OTP čitalec pametnih kartic, boste v spletno banko vstopili z njim in jo tudi uspešno aktivirali. Še vedno pa boste morali za uspešno potrjevanje plačil uporabljati mobilni telefon, saj potrjevanje plačil z OTP čitalcem ne bo več možen (več v točki 11).

  • Kateri bodo načini vstopanja v novo spletno banko?

    V novo spletno banko se boste lahko prijavljali na naslednje načine:

    • prijava z uporabniškim imenom, vstopnim geslom in SMS enkratnim žetonom,
    • prijava s prenosnim OTP čitalcem pametnih kartic,
    • prijava s kvalificiranim digitalnim potrdilom na varnem nosilcu in vstopnim geslom,
    • prijava s kvalificiranim digitalnim potrdilom, vstopnim geslom in SMS enkratnim žetonom.
  • Kdaj bodo na voljo novi splošni pogoji za novo spletno banko?

    Novi splošni pogoji bodo objavljeni na teh spletnih straneh skladno z zakonsko določenimi roki 15 dni pred uvedbo nove spletne banke.

  • Ali bodo na voljo tudi uporabniška navodila in kdaj?

    Uporabniška navodila bodo na voljo pravočasno ob prehodu na novo spletno banko.

  • Ali bodo v novi spletni banki ostale nastavitve takšne, kot so trenutno v obstoječi spletni banki?

    Uporabniške pravice bodo v novi spletni banki takšne, kot jih imate trenutno v obstoječi spletni banki. Poleg tega bodo prenesene v novo spletno banko vse plačilne predloge iz stare spletne banke.

  • Ali lahko za uporabo v spletni banki navedem mobilno telefonsko številko od nekoga drugega? Ali lahko za uporabo v spletni banki navedem mobilno telefonsko številko, ki jo je za uporabo v spletni bnaki prijavil že nekdo drug?

    To močno odsvetujemo, kljub temu, da dejansko lastništvo mobilne telefonske številke po evropski regulativi ni izrecno zahtevano in je za uporabo mobilnega telefona kot avtentikacijskega faktorja lastništvo "dokazano" že s tem, da uporabnik uporablja določeno napravo oz. SIM kartico (več o tem v točki 9).

    Ob splošni dostopnosti mobilnih telefonov in SIM kartic je torej za uporabnika (in podjetje, ki ga pooblašča) veliko bolj varno, če ima sam nadzor nad napravo in jo skladno z varnostnimi priporočili varuje pred nepooblaščenim dostopom oz. uporabo.

  • Kako lahko poskrbim za maksimalno varnost mobilnega telefona kot avtentikacijskega faktorja?

    Najprej je skladno z razlago iz 23. točke praktično nujno, da ste lastnik (ali pooblaščeni uporabnik s strani podjetja) zasebnega ali službenega mobilnega telefona ali SIM kartice, ki ju uporabljate.

    Priporočila so:

    • do aktivacijskih podatkov za SIM kartico (PIN / PUK) imate dostop le vi;
    • dostop do SIM kartice je zaklenjen s PIN kodo;
    • dostop do mobilne naprave je zaklenjen z zaklepom zaslona in ga lahko odklenete le z geslom oz. PINom oz. vzorcem za odklep naprave;
    • na mobilnem telefonu izključite izpisovanje vsebine SMS sporočil na zaklenjenem zaslonu.
  • Imam pooblastila na različnih transakcijskih računih (pri večjem številu podjetij). S koliko uporabniškimi računi bom dostopal do nove spletne banke?

    Za dostop do nove spletne banke boste uporabljali le en uporabniški račun, z vsemi že obstoječimi pooblastili na različnih transakcijskih računih (pri enem ali večjem številu podjetji).

  • Ali bom lahko uspešno uporabljal novo spletno banko, če do 20. 11. 2019 ne bom oddal zahtevanih kontaktnih podatkov?

    Kontaktna podatka e-poštni naslov in mobilno telefonsko številko po omenjenem datumu potrebujemo za uspešno aktivacijo spletne banke in potrjevanje plačil. Če nam do 20. 11. 2019 ne boste dostavili e-poštnega naslova, vam ne bomo mogli posredovati aktivacijske povezave prek e-poštnega sporočila. Po omenjenem datumu nam boste morali podatke dostaviti.

    Brez mobilne telefonske številke ob prehodu na novo spletno banko ne boste mogli potrjevati plačil. Če boste spletno banko uspešno aktivirali in dostopali do nje, boste mobilno telefonsko številko lahko vpisali v nastavitvah spletne banke.



Postanite uporabnik spletne banke Poslovna eSberbank SI


Telefonu