hsbc e-channels security measures...customers (the “profile owner”). profile bank security...


Published: May 2020 2


This document sets out the security measures (as may be revised or updated by the HSBC Group from time to time) for any electronic banking systems (“E-Channels”) provided by any member of the HSBC group (the “Profile Bank”) to its customers (the “Profile Owner”).

Profile Bank Security Measures

1 The Profile Bank shall employ measures to deny access by unauthorised external parties to the environment in which its internet service operates.

2 The Profile Bank shall ensure that its systems are strictly controlled including having business continuity plans.

3 As part of the Profile Bank’s security measures, users authorised by the Profile Owner (“Users”) who access the HSBCnet E-Channel may be subject to automatic suspension when they have not logged into HSBCnet within a 6-month period. If an HSBCnet profile is not accessed by any Users within an 18-month period, the HSBCnet profile may also be suspended.

4 If biometric authentication methods (for example, fingerprint scan or facial recognition) are used to access an E-Channel from a mobile device, the Profile Bank and associated HSBC entity that provides applications to the mobile device, reserve the right to remove the biometric authentication feature at any time and, if necessary, without notice if there are concerns relating to the security of a device. In normal circumstances, it will still be possible to authenticate via the mobile device using other existing methods.

Profile Owner Security Measures

1 The Profile Owner shall only access E-Channels using the authentication methods prescribed by the Profile Bank.

2 The Profile Owner shall ensure that all Users keep their security credentials (password, memorable answer, security answers, Security Device PIN, mobile device password/PIN or any other security credential required to access E-Channels, as applicable)

secure and secret at all times and not facilitate any unauthorised use of these credentials. In particular, the Profile Owner shall not share any security credentials or access of an E-Channel with any third partyother than to a regulated third party service provider that the Profile Owner has authorised.

3 The Profile Owner is responsible for the careful selection of its Users, noting such Users are provided with access to a wide range of capabilities including assigning entitlements to accounts or other services and sending instructions in relation to those accounts or services.

4 The Profile Owner shall notify the Profile Bank promptly if any Security Devices are lost or stolen.

5 The Profile Owner shall:

(a) promptly take appropriate action to protect any User’s profile if it has any suspicion that such User’s credentials have been in full or part compromised in any way;

(b) review recent activity on its accounts and User profiles if it suspects any User’s credentials have been compromised and inform the Profile Bank promptly of any discrepancies; and

(c) regularly review its account and Users’profile activity to ensure that there are no irregularities and report any discrepancies promptly to the Profile Bank.

6 The Profile Owner shall promptly remove a User from its E Channel profile in the event that any such User leaves the Profile Owner’sorganisation. The Profile Owner shall promptly suspend the use of the E-Channels by any User where there is any concern about the conduct of that User or their entitlements. The Profile Owner shall ensure that security credentials or devices are only used by the specific individual User that they are assigned to other than to a regulated third party service provider that the Profile Owner has authorised.

7 The Profile Owner shall ensure that its users provide correct, full and unabbreviated details whenever they are required by the HSBC Group. The Profile Owner shall further



ensure that their Users regularly review such information and update their details whenever there is a change to their details and do not maintain more than one username or set of security credentials at any time.

8 The Profile Owner shall inform the Profile Bank within seven days of dispatch of a Security Device by the Profile Bank that it has not received the package sent, provided that the Profile Owner is made aware of the dispatch.

9 The Profile Owner shall return any Security Devices to the Profile Bank promptly if requested by the Profile Bank.

10 The Profile Owner shall adopt and review its internal security measures on a regular basis to ensure protection remains up to date and in line with regulatory and industry best practice guidance. These should include, but not be limited to, malware protection, network restrictions, physical access restrictions, remote access restrictions, computer security settings, monitoring of improper usage, guidance on acceptable web browsers and email usage including how to avoid acquiring malware.

11 The Profile Owner shall have processes in place to prevent Users being socially engineered or acting on fraudulent communications. This is to prevent business email compromise and similar schemes where a fraudster sends an email impersonating someone known to the authorised User for an E-Channel and seeking to change an address or bank account number where payments are to be sent. Such processes should include, for example, where communications are received by Users seemingly from known senders (including, but not limited to, senior management, suppliers and vendors) to ensure the authenticity of those communications are independently verified (through a means other than email).

12 If any E-Channel is accessed by a User via a mobile device, the Profile Owner shall require that the User:

(a) does not leave the mobile deviceunattended after logging on to any E-Channels;

(b) clicks the ‘Logout’ button when the User is finished accessing any E-Channels;

(c) enables the mobile device’s automatic pass code lock feature;

(d) does not share mobile devices being used to access E-Channels with others;

(e) is the only person registered for biometrics (for example, face, fingerprint, voice, retina) etc.) on the device;

(f) takes steps to de-register devices that should no longer be used as an authentication method as envisaged in clause 15; and

(g) does not access the E-Channel via a mobile device that has been jailbroken, rooted or otherwise compromised.

13 The Profile Owner acknowledges and agrees that in the event that its E-Channel is suspended for any reason, any subsequentreactivation of that E-Channel will automatically reinstate all original entitlements, limits, User access and access to the same accounts and services as prior to such suspension.

14 The Profile Owner should be aware that Users accessing an E-Channel via a mobile device can carry out a wide range of activities using the device. This includes utilising the mobile device (for instance, in place of a Security Device) to authenticate activities carried out on a separate E-Channel session conducted via a desktop computer.

15 Where Users access E-Channels via biometric authentication measures available on certain mobile devices (for example, fingerprint scan or facial recognition), the Profile Owner acknowledges that such methods of authentication still pose a risk of being compromised or permitting unauthorised access (for instance where close family members are involved).



Sicherheitsmaßnahmen für E-Kanäle

In diesem Dokument werden die Sicherheitsmaßnahmen (mit Aktualisierungen und Überarbeitungen durch die HSBC Group) für alle elektronischen Banksysteme („E-Kanäle“) aufgeführt, die von einem Mitglied der HSBC Group (der „Profilbank“) für ihren Kunden (den „Profilinhaber“) bereitgestellt werden.

Sicherheitsmaßnahmen für die Profilbank

1 Die Profilbank ergreift Maßnahmen, um nicht autorisierten externen Parteien den Zugriff auf die Umgebung zu verweigern, in der ihr Internetdienst betrieben wird.

2 Die Profilbank stellt sicher, dass ihre Systeme streng kontrolliert werden, einschließlich der Erstellung von Plänen zur Geschäftskontinuität.

3 Im Rahmen der Sicherheitsmaßnahmen der Profilbank können Benutzer, die vom Profilinhaber autorisiert wurden („User“) und welcher Zugang zum HSBCnet - E-Kanal hat, automatisch gesperrt werden, wenn sie sich innerhalb von 6 Monaten nicht bei HSBCnetangemeldet haben. Wenn User innerhalb von 18 Monaten nicht auf ihr HSBCnet-Profil zugreifen, kann es ebenfalls gesperrt werden.

4 Wenn biometrische Authentifizierungsdaten (z. B. Fingerabdruck-Scan oder Gesichtserkennung) verwendet werden, um von einem Mobilgerät aus auf einen E-Kanal zuzugreifen, behalten sich die Profilbank und die zugehörige HSBC-Einrichtung, die Anwendungen für das Mobilgerät bereitstellt, das Recht vor, die biometrische Authentifizierung jederzeit zu entfernen. Dies kann, falls erforderlich, ohne Vorankündigung erfolgen, sollte es Bedenken hinsichtlich der Sicherheit eines Geräts geben. Unter normalen Umständen ist es weiterhin möglich, sich über das Mobilgerät mit anderen vorhandenen Methoden zu authentifizieren.

Sicherheitsmaßnahmen für Profilinhaber

1 Der Profilinhaber darf nur mit den von der Profilbank vorgeschriebenen Authentifizierungsmethoden auf E-Kanäle zugreifen.

2 Der Profilinhaber sorgt dafür, dass alle Sicherheitsdaten der User (Kennwort, einprägsame Antwort, Sicherheitsantworten, PIN des Tokens, Kennwort/PIN für Mobilgeräte oder andere Sicherheitsdaten, die für den Zugriff auf E-Kanälen erforderlich sind) geheim gehalten und vor unerlaubtem Zugriff geschützt werden. Insbesondere darf der Profilinhaber keine Sicherheitsdaten oder den Zugriff auf einen E-Kanal an Dritte weitergeben, außer an einen regulierten Drittanbieter, den der Profilinhaber autorisiert hat.

3 Der Profilinhaber ist für die sorgfältige Auswahl der User verantwortlich. Denn diese erhalten Zugriff auf eine Vielzahl von Funktionen, einschließlich der Zuweisung von Berechtigungen für Konten oder andere Dienste sowie des Sendens von Anweisungen in Bezug auf diese Konten oder Dienste.

4 Der Profilinhaber benachrichtigt die Profilbank unverzüglich, wenn Token verloren gehen oder gestohlen werden.

5 Der Profilinhaber muss:

(a) umgehend geeignete Maßnahmen ergreifen, um das Profil eines Users zu schützen, wenn der Verdacht besteht, dass die Anmeldedaten des betreffenden Users vollständig oder teilweise kompromittiert sind;

(b) die aktuellen Aktivitäten auf den Konten und Userprofilen überprüfen, wenn vermutet wird, dass die Anmeldedaten eines Users kompromittiert sind, und die Profilbank umgehend über etwaige Unstimmigkeiten informieren; und

(c) regelmäßig die Aktivitäten des Kontos und des Userprofils überprüfen, um sicherzustellen, dass es keine Unregelmäßigkeiten gibt, und Abweichungen umgehend der Profilbank melden.

6 Der Profilinhaber entfernt einen User unverzüglich aus dem E-Kanal-Profil, wenn dieser die Organisation des Profilinhabersverlässt. Der Profilinhaber sperrt die Nutzung des E-Kanals für einen User umgehend, wenn Bedenken hinsichtlich der Aktivitäten dieses Users oder seiner Berechtigungen bestehen. Der Profilinhaber stellt sicher, dass



Sicherheitsdaten oder Token nur von einem regulierten Drittanbieter, den der Profilinhaber autorisiert hat, oder dem jeweiligen User, dem sie zugewiesen sind, verwendet werden können.

7 Der Profilinhaber stellt sicher, dass die User korrekte, vollständige und ungekürzte Daten angeben, wann immer sie von der HSBC Group dazu aufgefordert werden. Der Profilinhaber muss außerdem sicherstellen, dass die User ihre Daten regelmäßig überprüfen und aktualisieren, wenn eine Änderung an ihren Daten vorgenommen wird und nicht mehr als einen Usernamen oder einen Satz Sicherheitsdaten verwalten.

8 Der Profilinhaber informiert die Profilbank innerhalb von sieben Tagen nach Versand eines Tokens, falls das gesendete Paket nicht erhalten wurde, vorausgesetzt, der Profilinhaber wurde über den Versand in Kenntnis gesetzt.

9 Der Profilinhaber sendet alle Token unverzüglich an die Profilbank zurück, wenn er von der Profilbank dazu aufgefordert wird.

10 Der Profilinhaber überprüft und wendet die internen Sicherheitsmaßnahmen regelmäßig an, um sicherzustellen, dass stets der bestmögliche Schutz gewährleistet ist und den Richtlinien der regulatorischen und branchenüblichen Best Practices entspricht. Dazu gehören u. a. Malware-Schutz, Netzwerkeinschränkungen, physische Zugriffseinschränkungen, RAS-Einschränkungen, Computersicherheitseinstellungen, Überwachung von unerlaubten Zugriffen, Anweisungen hinsichtlich akzeptabler Webbrowser und E-Mail-Nutzung sowie Anweisungen zum Schutz gegen Malware.

11 Der Profilinhaber setzt Prozesse ein, die verhindern, dass die User Opfer eines Betrugs werden oder betrügerischen Aufforderungen nachkommen. Dies dient dem Schutz vor geschäftlichem E-Mail-Betrug und anderen Angriffen, bei denen ein Betrüger eine E-Mail sendet und sich dabei als jemand ausgibt, den der für den E-Kanal autorisierte User kennt und versucht, eine Adresse oder Bankkontonummer zu ändern, an die Zahlungen gesendet werden. Solche Verfahren umfassen beispielsweise die Überprüfung der Authentizität solcher E-

Mails (und erfolgen nicht über E-Mail), die User von scheinbar bekannten Absendern erhalten (einschließlich, aber nicht beschränkt auf die Geschäftsleitung, Lieferanten und Verkäufer).

12 Wenn ein User über ein Mobilgerät auf einen E-Kanal zugreift, fordert der Profilinhaber ihn dazu auf:

(a) das Mobilgerät nicht unbeaufsichtigt zu lassen, nachdem er sich bei einem E-Kanal angemeldet hat;

(b) nach Verwendung der E-Kanäle auf die Schaltfläche „Abmelden“ zu klicken;

(c) die automatische Kennwort-Sperrfunktion des Mobilgeräts zu aktivieren;

(d) Mobilgeräte, die für den Zugriff auf E-Kanälen verwendet werden, nicht mit anderen zu teilen;

(e) sicherzustellen, dass nur seine biometrischen Daten (z. B. Gesicht, Fingerabdruck, Stimme, Netzhaut) usw.) auf dem Gerät registriert sind;

(f) die Schritte zur Deregistrierung von Geräten auszuführen, die nicht mehr als Authentifizierungsmethode verwendet werden, wie in Klausel 15 vorgesehen; und

(g) auf den E-Kanal nicht über ein Mobilgerät zuzugreifen, das durch einen Jailbreak manipuliert, gerootet oder anderweitig kompromittiert wurde.

13 Der Profilinhaber bestätigt und erklärt sich damit einverstanden, dass wenn der E-Kanal gesperrt wurde, eine darauffolgende Reaktivierung dieses E-Kanals automatisch alle ursprünglichen Berechtigungen, Einschränkungen, Benutzerzugriffe und den Zugriff auf dieselben Konten und Dienste wiederherstellt.

14 Der Profilinhaber ist sich bewusst, dass User, die über ein Mobilgerät auf einen E-Kanal zugreifen, eine Vielzahl von Aktivitäten mit dem Gerät ausführen können. Dazu gehört die Verwendung des Mobilgeräts (z. B. anstelle eines Tokens) zur Authentifizierung von Aktivitäten, die in einer separaten E-Kanal-Sitzung über einen Desktop-Computer ausgeführt werden.



15 Wenn User mit der biometrischen Authentifizierung, die auf bestimmten Mobilgeräten verfügbar ist (z. B. Fingerabdruck-Scan oder Gesichtserkennung), auf E-Kanäle zugreifen nimmt der Profilinhaber zur Kenntnis, dass solche Authentifizierungsmethoden immer noch dem Risiko einer Kompromittierung unterliegen oder nicht autorisierten Zugriff gewähren können (z. B. wenn nahe Familienmitglieder das Gerät verwenden).



Mesures de sécurité relatives aux canaux électroniques

Ce document énonce les mesures de sécurité (que le Groupe HSBC peut réviser ou mettre à jour de temps à autre) s’appliquant aux systèmes bancaires électroniques (les «canaux électroniques») fournis par tout membre du Groupe HSBC (la «banque du profil») à ses clients (le «responsable du profil»).

Mesures de sécurité de la banque du profil

1 La banque du profil doit employer des mesures pour refuser que les parties externes non autorisées accèdent à l’environnement où son service Internet est exploité.

2 La banque du profil doit s’assurer que ses systèmes sont strictement contrôlés, notamment qu’ils font l’objet de plans de continuité des opérations.

3 Dans le cadre des mesures de sécurité de la banque du profil, les utilisateurs autorisés par le responsable du profil (les «utilisateurs») qui accèdent au canal électronique HSBCnet peuvent faire l’objet d’une suspension automatique s’ils n’ouvrent pas de session dans HSBCnet durant une période de six mois. Si aucun utilisateur n’accède à un profil HSBCnet durant une période de 18 mois, le profil HSBCnet peut lui aussi être suspendu.

4 Si des méthodes d’authentification biométrique (par exemple, la numérisation des empreintes digitales ou la reconnaissance faciale) sont utilisées pour accéder à un canal électronique à partir d’un appareil mobile, la banque du profil et l’entité de la HSBC associée qui fournit des applications à l’appareil mobile se réservent le droit de désactiver la fonction d’authentification biométrique à tout moment et au besoin sans préavis pour toute préoccupation concernant la sécurité de l’appareil. Dans le cadre de circonstances normales, il est toujours possible de s’authentifier au moyen de l’appareil mobile à l’aide des autres méthodes offertes.

Mesures de sécurité du responsable du profil

1 Le responsable du profil ne doit accéder aux canaux électroniques que par les méthodes

d’authentification prescrites par la banque du profil.

2 Le responsable du profil doit s’assurer que tous les utilisateurs protègent leurs identifiants de sécurité (mot de passe, réponse secrète, réponses aux questions de sécurité, NIP du dispositif d’accès sécurisé, mot de passe ou NIP de l’appareil mobile ou tout autre identifiant de sécurité requis pour accéder aux canaux électroniques, selon le cas), préservent leur confidentialité en tout temps et évitent de permettre toute utilisation non autorisée de ces identifiants. Plus particulièrement, le responsable du profil ne doit pas communiquer ses identifiants de sécurité à un tiers ni accéder à un canal électronique avec un tiers autre qu’un fournisseur de services tiers sous réglementation qu’il a autorisé.

3 Le responsable du profil doit choisir minutieusement les utilisateurs, car ceux-ci ont accès à un grand nombre de fonctionnalités, notamment l’attribution de droits d’accès à des comptes ou autres services et l’envoi de directives relatives à ces comptes ou à ces services.

4 Le responsable du profil doit aviser sans tarder la banque du profil en cas de perte ou de vol de tout dispositif d’accès sécurisé.

5 Le responsable du profil doit

(a) prendre sans tarder toute mesure appropriée pour protéger le profil d’un utilisateur s’il soupçonne que les identifiants de cet utilisateur ont été compromis, en tout ou en partie, de quelque manière que ce soit;

(b) examiner l’activité récente dans ses comptes et dans les profils d’utilisateur s’il soupçonne que les identifiants d’un utilisateur ont été compromis et informer sans tarder la banque du profil de toute anomalie;

(c) examiner régulièrement son compte et le profil des utilisateurs pour vérifier qu’il n’y a aucune irrégularité et signaler sans tarder toute anomalie à la banque du profil.

6 Si un utilisateur quitte l’entreprise du responsable du profil, ce dernier doit le retirer rapidement de son profil de canal électronique. Le responsable du profil doit



mettre fin sans tarder à l’utilisation des canaux électroniques par tout utilisateur en cas de doute au sujet du comportement ou des droits d’accès de cet utilisateur. Le responsable du profil doit s’assurer que les identifiants ou les dispositifs de sécurité ne sont utilisés que par l’utilisateur à qui ils ont été attribués, outre tout fournisseur de services tiers sous réglementation qu’il a autorisé.

7 Le responsable du profil doit s’assurer que les utilisateurs fournissent des renseignements exacts, complets et non abrégés au Groupe HSBC chaque fois qu’il leur en fait la demande. Le responsable du profil doit en outre s’assurer que les utilisateurs examinent régulièrement ces renseignements et les mettent à jour chaque fois qu’ils changent et qu’ils n’utilisent jamais plus d’un nom d’utilisateur ou ensemble d’identifiants de sécurité.

8 Dans un délai de sept jours suivant l’envoi d’un dispositif d’accès sécurisé par la banque du profil, le responsable du profil doit l’en informer s’il n’a pas reçu l’envoi, dans la mesure où il avait été avisé de cet envoi.

9 Le responsable du profil doit retourner sans tarder tout dispositif d’accès sécurisé à la banque du profil si elle le demande.

10 Le responsable du profil doit adopter des mesures de sécurité internes et les examiner de façon régulière pour vérifier que la protection reste à jour et conforme aux directives réglementaires et aux pratiques exemplaires de l’industrie. Ces mesures devraient inclure, sans s’y limiter, une protection contre les logiciels malveillants, des restrictions relatives aux réseaux, des restrictions d’accès physique, des restrictions d’accès à distance, des paramètres de sécurité informatique, la surveillance de l’utilisation inadéquate et des directives sur l’utilisation acceptable des navigateurs Web et des courriels, y compris sur les mesures à prendre pour prévenir l’installation de logiciels malveillants.

11 Le responsable du profil doit mettre en place des processus pour éviter que les utilisateurs soient victimes de fraude ou agissent par suite de communications frauduleuses. Cette façon de faire permet d’éviter qu’un fraudeur envoie à un utilisateur autorisé d’un canal

électronique un courriel dans lequel il se fait passer pour une personne connue afin de lui faire modifier l’adresse ou le numéro du compte bancaire pour l’envoi d’un paiement. Les processus de contrôle doivent comprendre, par exemple, la vérification indépendante (autrement que par courriel) de l’authenticité de la communication lorsqu’on reçoit une communication semblant provenir d’un expéditeur connu (notamment un membre de la haute direction ou un fournisseur).

12 Si un utilisateur accède à un canal électronique au moyen d’un appareil mobile, le responsable du profil doit demander ce qui suit à l’utilisateur :

(a) ne pas laisser l’appareil mobile sans surveillance après avoir ouvert une session dans un canal électronique;

(b) cliquer sur le bouton de fermeture de session lorsqu’il a fini d’utiliser un canal électronique;

(c) activer la fonction de verrouillage automatique par mot de passe de l’appareil mobile;

(d) ne pas partager avec d’autres personnes tout appareil mobile utilisé pour accéder aux canaux électroniques;

(e) être la seule personne dont les données biométriques (par exemple, le visage, les empreintes digitales, la voix et la rétine) sont enregistrées sur l’appareil;

(f) prendre les mesures nécessaires pour désinscrire tout appareil qui ne doit plus être utilisé aux fins d’authentification, comme prévu dans la clause 15;

(g) ne pas accéder au canal électronique au moyen d’un appareil mobile débridé ou compromis.

13 Le responsable du profil reconnaît et accepte que dans l’éventualité de la suspension de son canal électronique pour quelque raison que ce soit, toute réactivation va rétablir automatiquement tous les droits initiaux, de même que les limites, les accès des utilisateurs et l’accès aux comptes et aux services d’avant la suspension.

14 Le responsable du profil doit savoir qu’un utilisateur qui accède à un canal électronique au moyen d’un appareil mobile peut l’utiliser



pour effectuer un vaste éventail d’opérations, notamment s’en servir (par exemple, à la place d’un dispositif d’accès sécurisé) pour authentifier des opérations effectuées dans le cadre d’une autre session ouverte sur un ordinateur.

15 Lorsque les utilisateurs accèdent aux canaux électroniques au moyen de mesures d’authentification biométrique offertes sur certains appareils mobiles (par exemple, la numérisation des empreintes digitales ou la reconnaissance faciale), le responsable du profil reconnaît que ces méthodes d’authentification présentent toujours un risque de compromission ou d’accès non autorisé (par exemple, en ce qui concerne les membres de la famille immédiate).



Mesures de SécuritéCe document décrit les mesures de sécurité (telles qu’éventuellement modifiées ou mises à jour par le groupe HSBC à tout moment) liées aux systèmes électroniques bancaires (« E-Channels ») fournis par tout membre du groupe HSBC (« Banque Principale ») à ses clients (« Client Titulaire »).

Mesures de sécurité de la Banque Principale

1 La Banque Principale prendra toute mesure appropriée pour empêcher l’accès par des personnes tierces non autorisées à l’environnement dans lequel son service Internet est exploité.

2 La Banque Principale veille à ce que ses systèmes soient strictement contrôlés, y compris par l’adoption de plans de continuité de l’activité.

3 Dans le cadre des mesures de sécurité prises par la Banque Principale, les utilisateurs autorisés par le Client Titulaire (« Utilisateurs ») ayant accès aux E-Channels HSBCnetpeuvent faire l’objet d’une suspension automatique s’ils ne se sont pas connectés à HSBCnet pendant une période de 6 mois. Si aucun Utilisateur n’a accédé au profil HSBCnet pendant une période de 18 mois, le profil HSBCnet peut également être suspendu.

4 Si des méthodes d’authentification biométrique (par exemple, analyse d’empreinte digitale ou reconnaissance faciale) sont utilisées pour accéder à un E-Channel à partir d’un appareil mobile, la Banque Principale et l’entité HSBC associée qui fournit les applications pour appareil mobile, se réservent le droit de supprimer la fonctionnalité d’authentification biométrique à tout moment et, si nécessaire, sans préavis s’il existe des doutes sur la sécurité d’un appareil. Dans des circonstances normales, il sera toujours possible de s’authentifier via l’appareil mobile au moyen d’autres méthodes disponibles.

Mesures de sécurité du Client Titulaire

1 Le Client Titulaire ne doit accéder aux E-Channels qu’en utilisant les méthodes

d’authentification prescrites par la Banque Principale.

2 Le Client Titulaire doit s’assurer que tous les Utilisateurs protègent, gardent secrets, et empêchent toute utilisation non autorisée de leurs identifiants de sécurité (mot de passe, réponse secrète, réponses aux questions de sécurité, code de sécurité du Dispositif de Sécurité, mot de passe / code de sécurité de l’appareil mobile ou tout autre identifiant de sécurité nécessaire pour accéder aux E-Channels, le cas échéant). En particulier, le Client Titulaire ne doit partager aucun identifiant de sécurité avec un tiers ni accéder aux E-Channels avec un tiers autre qu’un fournisseur de services tiers contrôlé, que le Client Titulaire a autorisé.

3 Le Client Titulaire est tenu de choisir avec soin ses Utilisateurs, car ces derniers ont des pouvoirs étendus, notamment attribuer des droits d’accès à des comptes ou d’autres services et envoyer des instructions relatives à ces comptes ou services.

4 Le Client Titulaire doit, sans délai, informer la Banque Principale lors de la perte ou du vol d'un Dispositif de Sécurité.

5 Le Client Titulaire doit :

(a) prendre, sans délai, les mesures appropriées pour protéger le profil de tout Utilisateur s’il soupçonne que les identifiants de sécurité de l’Utilisateur ont été, totalement ou partiellement, compromis de quelque manière que ce soit ;

(b) examiner l’activité récente de ses comptes et de ses profils d’Utilisateur s’il soupçonne que les identifiants de sécurité d’un Utilisateur ont été compromis et informer, sans délai, la Banque Principale de toute anomalie ; et

(c) examiner régulièrement son compte et les activités sur le profil des Utilisateurs et les droits d’accès pour s’assurer qu’il n’y ait pas d’irrégularités et signaler, sans délai, toute anomalie à la Banque Principale.

6 Le Client Titulaire doit suspendre, sans délai, l’utilisation des E-Channels par toutUtilisateur si ce dernier quitte l’entreprise du Client Titulaire. Le Client Titulaire doit suspendre, sans délai, l’accès aux E-Channels



par tout Utilisateur en cas de doute sur laconduite de cet Utilisateur ou ses droits d’accès. Le Client Titulaire doit s’assurer que les identifiants de sécurité ou les Dispositifs de sécurité ne sont utilisés que par l’Utilisateur auquel ils sont attribués autre qu’un fournisseur de services tiers contrôlé, que le Client Titulaire a autorisé.

7 Le Client Titulaire doit s’assurer que les Utilisateurs fournissent, à chaque demande du Groupe HSBC, des informations complètes et sans abréviation. Le Client Titulaire doit également s’assurer que ses Utilisateurs revoient régulièrement et tiennent à jour lesdites informations dès qu’il y a un changement les impactant et, qu’à tout moment, ils n’utilisent pas plus d’un identifiant ou un ensemble d’identifiants de sécurité.

8 Le Client Titulaire doit informer la Banque Principale dans les sept jours qui suivent l’envoi d’un Dispositif de Sécurité par la Banque Principale, qu’il n’a pas reçu le Dispositif de Sécurité envoyé, sous réserve que le Client Titulaire ait été informé de cet envoi.

9 Le Client Titulaire doit retourner sans délai tout Dispositif de Sécurité à la Banque Principale si celle-ci en fait la demande.

10 Le Client Titulaire doit adopter des mesures de sécurité internes et les examiner de façon régulière, afin de s’assurer que les procédures de sécurité sont à jour et conformes à la réglementation et aux bonnes pratiques du secteur en la matière. Ces mesures incluent notamment, et ce, sans limitation, la protection contre les logiciels malveillants, les restrictions relatives aux réseaux, les restrictions d’accès physique, les restrictions d’accès à distance, les paramètres de sécurité informatique, la surveillance des utilisations abusives/inadéquates, des directives sur l’utilisation conforme des navigateurs Web et des courriels, y compris des mesures à prendre pour se protéger contre les logiciels malveillants.

11 Le Client Titulaire doit mettre en place des procédures pour prévenir les risques « d’attaques d’ingénierie sociale » (« social engineering ») ou de communications frauduleuses dont pourraient être victimes les

Utilisateurs. Cela est nécessaire afin d’éviter toute subtilisation d’e-mails/courriels professionnels et de systèmes similaires par lesquels un fraudeur envoie un e-mail/courriel dans lequel il se fait passer pour une personne connue de l’Utilisateur autorisé d’un E-Channel et cherche à modifier une adresse ou un numéro de compte bancaire sur lequel les paiements doivent être effectués. Ces procédures doivent permettre, par exemple pour les situations dans lesquelles les Utilisateurs reçoivent des communications d’expéditeurs connus (notamment, et ce sans limitation, de la direction, des fournisseurs et des prestataires) de garantir l’authenticité de ces communications et leur vérification indépendante (par un moyen autre qu’un e-mail/courriel).

12 Si un Utilisateur accède à un E-Channel via un appareil mobile, le Client Titulaire doit exiger que l’Utilisateur :

(a) ne laisse pas l’appareil mobile sans surveillance après s’être connecté à un E-Channel ;

(b) clique sur le bouton de fermeture de session/ « Déconnexion » lorsque l’Utilisateur a fini d’utiliser un E-Channel ;

(c) active la fonction de verrouillage automatique du code d’accès de l’appareil mobile ;

(d) ne partage pas les appareils mobiles utilisés pour accéder aux E-Channels avec d’autres personnes ;

(e) soit la seule personne enregistrée sur l’appareil pour l’authentification biométrique (par exemple, visage, empreinte digitale, voix, rétine, etc.) ;

(f) prenne des mesures pour effacer les appareils qui ne devraient plus être utilisés comme méthode d’authentification, comme le prévoit l’Article 15 ; et

(g) n’accède pas à un E-Channel via un appareil mobile déverrouillé, débridé ou autrement compromis.

13 Le Client Titulaire reconnaît et accepte que, dans l’éventualité où l’E-Channel serait suspendu pour une raison quelconque, toute



réactivation ultérieure de ce E-Channel rétablirait automatiquement tous les droits d’accès, les limites, l’accès de l’Utilisateur et les accès aux mêmes comptes et servicesantérieurs à la suspension.

14 Le Client Titulaire reconnaît avoir pris connaissance que les Utilisateurs accédant à un E-Channel via un appareil mobile peuvent effectuer une variété d’actions en utilisant l’appareil. Ce qui inclut, en outre, l’utilisation de l’appareil mobile (par exemple, à la place d’un Dispositif de Sécurité) afin d’authentifier les actions effectuées sur l’E-Channel lors d ‘une session séparée ouverte sur un ordinateur.

15 Lorsque les Utilisateurs accèdent aux E-Channels par des mesures d’authentification biométrique disponibles sur certains appareils mobiles (par exemple, la lecture d’empreintes digitales ou la reconnaissance faciale), le Client Titulaire reconnaît que ces méthodes d’authentification présentent toujours le risque d’être compromises ou de permettre un accès non autorisé (par exemple, lorsque les membres proches de la famille sont impliqués).



Medidas de seguridad de los canales electrónicos

En este documento, se establecen las medidas de seguridad (que el Grupo HSBC puede revisar o actualizar de vez en cuando) para cualquier sistema de banca electrónica (“Canales electrónicos”) proporcionado por cualquier miembro del Grupo HSBC (“Proveedor Bancario”) a sus clientes (“Dueño del Perfil”).

Medidas de seguridad del Proveedor Bancario

1 El Proveedor Bancario empleará medidas para denegar el acceso a partes externas no autorizadas al entorno en el que opera su servicio de Internet.

2 El Proveedor Bancario garantizará que sus sistemas estén estrictamente controlados, lo que incluye tener planes de continuidad del negocio.

3 Como parte de las medidas de seguridad del Proveedor Bancario, los usuarios autorizados por el Dueño del Perfil (“Usuarios”) que acceden al Canal electrónico HSBCnet estarán sujetos a suspensión automática cuando no hayan iniciado sesión en HSBCneten un período de 6 meses. Si los Usuarios no visitan un perfil de HSBCnet en un período de 18 meses, también se podrá suspender el perfil de HSBCnet.

4 Si se utilizan los métodos de autenticación biométrica (por ejemplo, la lectura de huellas dactilares o el reconocimiento facial) para acceder a un Canal electrónico desde un dispositivo móvil, el Proveedor Bancario y la entidad de HSBC asociada que proporciona las aplicaciones para el dispositivo móvil se reservan el derecho de eliminar la función de autenticación biométrica en cualquier momento y, si es necesario, sin previo aviso si existen problemas relacionados con la seguridad de un dispositivo. En circunstancias normales, seguirá siendo posible realizar la autenticación mediante el dispositivo móvil a través de otros métodos existentes.

Medidas de seguridad del Dueño del Perfil

1 El Dueño del Perfil solo podrá acceder a los canales electrónicos mediante los métodos de autenticación establecidos por el Proveedor Bancario.

2 El Dueño del Perfil deberá garantizar que todos los Usuarios mantengan sus credenciales de seguridad (contraseña, respuesta fácil de recordar, respuestas de seguridad, PIN de dispositivo de seguridad, contraseña o PIN de dispositivo móvil, o cualquier otra credencial de seguridad necesaria para acceder a los canales electrónicos, según corresponda) resguardadas y secretas en todo momento y que no faciliten ningún tipo de uso no autorizado de dichas credenciales. En particular, el Dueño del Perfil no deberá compartir ninguna credencial de seguridad ni acceso de un Canal electrónico con terceros que no sean un proveedor de servicios de terceros regulado que el Dueño del Perfil haya autorizado.

3 El Dueño del Perfil es responsable de seleccionar cuidadosamente a sus Usuarios y de comprobar que obtengan acceso a una amplia variedad de capacidades, lo que incluye la asignación de derechos a cuentas u otros servicios y el envío de instrucciones relacionadas con esas cuentas o servicios.

4 El Dueño del Perfil deberá notificar al Proveedor Bancario con prontitud en caso de perder alguno de sus dispositivos de seguridad o ser víctima de robo de ellos.

5 El Dueño del Perfil deberá:

(a) adoptar medidas apropiadas con prontitud para proteger el perfil del Usuario en caso de tener alguna sospecha de que tales credenciales puedan haberse visto en peligro en su totalidad o en parte en cualquier forma;

(b) revisar la actividad reciente en sus cuentas y perfiles de Usuario en caso de que sospeche que haya credenciales que se han visto comprometidas e informar al Proveedor Bancario con prontitud sobre cualquier discrepancia; y

(c) revisar periódicamente la actividad de su cuenta y perfil del Usuario para asegurarse de que no haya



irregularidades y reportar cualquier discrepancia con prontitud al Proveedor Bancario.

6 El Dueño del Perfil deberá eliminar con prontitud a un Usuario de su perfil de Canal electrónico en caso de que cualquier Usuario abandone la organización del Dueño del Perfil. El Dueño del Perfil deberá suspender con prontitud el uso de los Canales electrónicos por parte de cualquier Usuario en caso de que exista alguna inquietud con respecto a la conducta de dicho Usuario o sus derechos. El Dueño del Perfil debe asegurarse de que solo el Usuario específico utilice las credenciales o los dispositivos de seguridad, o bien un proveedor de servicios de terceros regulado que el Dueño del Perfil haya autorizado.

7 El Dueño del Perfil debe asegurarse de que sus Usuarios proporcionen detalles correctos, completos y no abreviados siempre que lo requiera el Grupo HSBC. El Dueño del Perfil deberá garantizar además que sus Usuarios revisen periódicamente dicha información y actualicen sus detalles cada vez que se produzca un cambio en sus datos y que no mantengan más de un nombre de usuario o conjunto de credenciales de seguridad en cualquier momento.

8 El Dueño del Perfil debe informar al Proveedor Bancario, en un período de siete días a partir del envío de un dispositivo de seguridad por parte del Proveedor Bancario, que no ha recibido el paquete enviado, siempre y cuando el Dueño del Perfil haya sido informado del envío.

9 El Dueño del Perfil deberá devolver con prontitud al Proveedor Bancario cualquier dispositivo de seguridad que este le solicite.

10 El Dueño del Perfil debe adoptar y revisar sus medidas internas de seguridad regularmente para garantizar que la protección esté actualizada y concuerde con las pautas normativas y de mejores prácticas de la industria. Estas deberían incluir, entre otros aspectos, protección contra malware, restricciones de red, restricciones de acceso físico, restricciones de acceso remoto, ajustes de seguridad del equipo, monitoreo de usos inadecuados, orientación acerca del uso aceptable de navegadores web y correos

electrónicos, además de cómo evitar la obtención de malware.

11 El Dueño del Perfil debe establecer procesos para evitar que los Usuarios sean víctimas de la ingeniería social o participen en comunicaciones fraudulentas. Esto, con el fin de evitar una intervención del correo electrónico corporativo y esquemas similares en los que un estafador envía un correo electrónico suplantando a alguien que el Usuario autorizado de un Canal electrónico conoce e intenta cambiar la dirección o el número de la cuenta bancaria a la que se enviarán los pagos. Tales procesos deberían incluir, por ejemplo, que cuando los Usuarios reciban comunicaciones de parte de remitentes aparentemente conocidos (que incluye, entre otros, a la Alta Dirección y los proveedores) se verifique la autenticidad de dichas comunicaciones de forma independiente (a través de un medio distinto del correo electrónico).

12 Si un Usuario accede a cualquier Canal electrónico a través de un dispositivo móvil, el Dueño del Perfil debe solicitar al Usuario que:

(a) no deje el dispositivo móvil desatendido después de iniciar sesión en alguno de los Canales electrónicos;

(b) haga clic en el botón “Cerrar sesión” cuando termine de acceder a cualquier Canal electrónico;

(c) habilite la función de bloqueo automático con contraseña en su dispositivo móvil;

(d) no comparta con otros los dispositivos móviles que utiliza para acceder a los Canales electrónicos;

(e) sea la única persona registrada para la biometría (por ejemplo, cara, voz, huellas dactilares, retina, etc.) en el dispositivo;

(f) realice las acciones para anular el registro de dispositivos que ya no se utilizarán como un método de autenticación como se prevé en la cláusula 15; y

(g) no acceda al Canal electrónico mediante un dispositivo móvil liberado, con acceso al directorio raíz o que se someta a cualquier otro riesgo de seguridad.



13 El Dueño del Perfil reconoce y acepta que, en el caso de que su Canal electrónico se suspenda por cualquier motivo, su posterior reactivación restablecerá automáticamente todos los derechos, límites, accesos del Usuario y accesos a las mismas cuentas y servicios originales con los que contaba antes de dicha suspensión.

14 El Dueño del Perfil debe tener en cuenta que los Usuarios que acceden a un Canal electrónico mediante un dispositivo móvil pueden llevar a cabo una amplia gama de actividades con el dispositivo. Esto incluye el uso del dispositivo móvil (por ejemplo, en lugar de un dispositivo de seguridad) para autenticar las actividades realizadas en una sesión de Canal electrónico diferente con una computadora de escritorio.

15 Si los Usuarios acceden a los Canales electrónicos a través de medidas de autenticación biométricas disponibles en ciertos dispositivos móviles (por ejemplo, lectura de huellas dactilares o reconocimiento facial), el Dueño del Perfil reconoce que dichos métodos de autenticación también representan un riesgo de seguridad o que pueden permitir el acceso a personas no autorizadas (por ejemplo, cuando hay familiares cercanos involucrados).



電子管道安全性措施

本文件將明電子銀行業務系統說下稱「 ( 電子管道」的安全性措施)

(HSBC 集團可能會不定期修訂或更新，適用範圍為) HSBC 集團旗下任何成員下稱「 ( 設定檔銀行」向客戶) (下稱「設定檔所有人」提供的任何電子銀行業務系統。)

設定檔銀行安全性措施

1 設定檔銀行應採取相關措施，拒絕未經授權的外

部人士存取其網際網路服務營運的環境。

2 設定檔銀行應確保自家系統受到嚴格控管，包括設立營運持續方案。

3 根據設定檔銀行的安全性措施，由設定檔所有人授權存取滙豐財

資網電子管道的使用者下稱「 ( 使用者」 ) 若長達6個月未有登入滙豐財資網，可能會自動被系統暫停使用。如有滙

豐財資網之設定檔在長達18個月的時間中沒有任何使用者存取，該滙豐財資網設定檔可能也會被暫停使用。

4 如果使用生物特徵驗證方式如指紋掃描或臉部辨識 ( ) 從行動裝置存取電子管道，設定檔銀行及其提供應用程式至行動

裝置的關聯HSBC實體，保留任何時間視需要移除生物特徵驗證功能的權力，若裝置有安全性相關疑慮則不另行通知。在正常情況下，仍然可以使用其他現有方法透過行動裝置進行驗證。

設定檔所有人安全性措施

1 設定檔所有人只能透過設定檔銀行指定的驗證方

式存取電子管道。

2 設定檔所有人應確保所有使用者均能妥善保管其安全性認證

(密碼、提示問題的答案、安全性答案、安全裝置

PIN、行動裝置密碼/PIN或任何需要存取電子管道的安全性認證如適用 ( )) 並維持此類資訊的機密性，同時不幫助對這些認證進行任何未經授權的使用。特別是設定檔所有人不得與任何第三方分享任何安全性認證或存取電子管道，但已獲得設定檔所有人授權且受到規範之第三方服務供應商則不在此限。

3 設定檔所有人有責任謹慎挑選使用者，須考量到這些使用者將能存取多種功能，包括向賬或其他服務指派權限戶，以及傳送與這些賬或服務有關的指示戶。

4 若任何安全裝置遺失或遭竊，設定檔所有人應立即通知設定檔銀行。

5 設定檔所有人應：

(a) 在懷疑任何使用者的認證透過任何方式遭到部分或完全盜用時，立即採取適當動作保護該使用者的設定檔；

(b) 在懷疑任何使用者的認證遭盜用時，審其查賬和使用者戶

設定檔的近期活動，並在有任何異常情況時，立即通知設定檔銀行；以及

(c) 定期審其查賬和使用者設定檔的活動戶，藉此確保沒有違規行為，並在有任何異常情況時，立即通報設定檔銀行。

6 如有任何使用者離開設定檔所有人的機構，設定檔所有人應立即從電子管道設定檔中移除該使用者。若對使用者的行為或權限有任何疑慮，設定檔所有人應立即暫停該使用者對電子管道的使用。設定檔所有人應確保安全性認證或裝置僅由指派的特定個人使用者使用，但已獲得設定檔所有人授權且受到規範之第三方服務供應商則不在此限。

7 設定檔所有人應確保其使用者在HSBC集團提出要求時，皆提供正確、詳實且未經省略的詳細資料。設定檔所有人應進一步確保其使用者會定期檢視此類資訊，並在有所變更時更新詳細資料，且任何時候皆只維護一個使用者名稱或一組安全性認證。

8 設定檔所有人若得知設定檔銀行已寄送安全裝置，卻未收到寄送的包裹，則應在寄送後的七天通知設定檔銀行內。

9 若經設定檔銀行要求，設定檔所有人應立即將任何安全裝置歸還給設定檔銀行。

10 設定檔所有人應定期採用及審其部安全性措施內查，藉此確保所有保護措施保持在最新狀態，並符合法規及業的最佳實務指示產

。這包括但不限於惡意軟體防護、網路限制、實體存取限制、遠端存取限制、電腦安全性設定、不當使用情況的監控、可接受的網路瀏覽器與電子郵件使用方式包括如何避免收取惡意軟體 ( ) 的指引。

11 設定檔所有人應設立相關流程，避免使用者遭受社交工程攻擊或聽從詐騙通訊的指示行動。這是為了防止企業電子郵件遭盜用和其他類似的攻擊手法，避免詐騙者冒充為電子管道之授權使用者已知的對象，並寄送電子郵件給授權使用者，企圖變更收款對象的地址或銀行賬號。此類流程應包括如使用者收到看似來自已知寄件者包括但不限於高 ( 級管理階層、供應商和廠商) 的通訊容時內，如何確保獨立驗證透過電子郵件以外的方式 ( ) 此類通訊容的真實性內。

12 若使用者透過行動裝置存取任何電子管道，設定檔所有人應要求該使用者：

(a) 登入任何電子管道後，切勿讓行動裝置處於無人看管的情況下；

(b) 存取完任何電子管道後，按「登出」按鈕；

(c) 用行動裝置的自動密碼鎖定功能啟；

(d) 不與他人共用用於存取電子管道的行動裝置；

(e) 為裝置中唯一註冊了生物驗證(臉部辨識、指紋、聲音、視網膜的人；)

(f) 於發生第15 條假設情境之場合，採取行動以取消註冊不得再度用於驗證的裝置；以及

(g) 不使用任何已越獄、取得根權限或遭破解的行動裝置存取電子管道。

13 設定檔所有人瞭解並同意，其電子管道若因任何原因遭停用，該電子管道後續的任何重新用作業啟，都會將所有權限、限制、使用者存取權以及對相同賬和服務的存取權戶，恢復至停用前的原始狀態。

14 設定檔所有人應瞭解，使用行動裝置存取電子管道的使用者可以透過該裝置執行廣泛的活動。這包括使用行動裝置



(如代替安全裝置) 驗證經由桌上型電腦在另一電子管道執行的活動。

15 當使用者經由某些行動裝置上可用的生物特徵驗證方式存取電子管道時(如指紋掃描或臉部辨識，設定檔所有人瞭解此種驗證方式依舊)存在遭破解或允許未經授權存取的風險(例如親近的家庭成員涉入。)



电子渠道安全措施

本文件阐述了汇丰集团成员 (以下简称 "业务关系

行") 向其客户 (以下简称 "业务关系所有人") 提供

任何电子银行系统 (以下简称 "电子渠道") 的安全

措施 (经汇丰集团不时的修订或更新)。

业务关系行安全措施

1 业务关系行应采取措施不让未经授权的外部人士

对其互联网服务运行环境进行访问。

2 业务关系行应确保其系统受到严格控制, 包括制

定业务连续性计划。

3 作为业务关系行安全措施的一部分, 由业务关系

所有人授权可访问汇丰财资网电子渠道的用户 ("用户"), 如在 6 个月内未登录汇丰财资网, 其登录

权限将自动暂停生效。如果某汇丰财资网客户资

料在 18 个月内未被任何用户访问,则该客户资料

也会被暂停访问。

4 如果使用生物识别认证方法（例如指纹扫描或面

部识别）从移动设备访问电子渠道，则向移动设

备提供应用程序的业务关系行和相关汇丰实体保

留在必要情况下 (如出现与设备安全相关的问题) 无需通知即可随时删除生物识别认证功能的权利

。在正常情况下, 使用其他现有方法通过移动设

备进行身份验证仍可行。

业务关系所有人安全措施

1 业务关系所有人应只采用业务关系行规定的认证

方法访问电子渠道。

2 业务关系所有人应确保所有用户始终保证安全证

书（密码、提示答案、安全问题答案、安全设备

PIN 码、移动设备密码/PIN 或访问电子渠道所需

的任何其他安全证书（如果适用））安全且处于

保密状态，且不支持在未经授权的情况下使用这

些证书。尤其是，业务关系所有人不得与任何第

三方分享安全证书或电子渠道的访问权，但业务

关系人已授权的受监管第三方服务提供商除外。

3 业务关系所有人应谨慎选择其用户，因该等用户

有权进行广泛的活动，包括赋予有关账户或其它

服务的授权并代表业务关系所有人和/或开户人发

出指令。

4 当任何安全设备丢失或被盗时，业务关系所有人

应立即通知业务关系行。

5 业务关系所有人应：

(a) 在怀疑用户证书已经以任何方式全部或部分

受损时，立即采取适当行动来保护该用户的

个人资料；

(b) 在怀疑用户证书已经被受损时，对其账户上

的近期活动及用户资料进行审核，并且立即

将发现的任何差异通知业务关系行；且

(c) 定期审核其账户以及用户的资料活动，以确

保不存在任何异常，并且及时向业务关系行

汇报发现的任何差异。

6 如果任何用户离开业务关系所有人的机构，业务

关系所有人应立即禁止该用户使用电子渠道。业

务关系所有人如果对任何用户的行为或其权限有

任何疑虑，则应立即暂停该用户的电子渠道使用

权。业务关系所有人应确保，安全凭据或安全设

备仅被获得该等凭据或设备的特定个人用户使用

，业务关系所有人已授权的受监管的第三方服务

提供商除外。

7 无论何时，业务关系所有人应确保其用户在汇丰

集团要求时提供正确、完整且不包含缩写形式的

详细信息。业务关系所有人应进一步确保其用户

定期查看此类信息，并在其发生变化时更新，以

及确保其用户任何时候都只拥有一个用户名或一

组安全证书。

8 业务关系所有人应在业务关系行发出安全设备后

七天之内，通知业务关系行其尚未收到发送的包

裹，但前提是业务关系所有人收到了派件提示。

9 一旦业务关系行提出要求，业务关系所有人应立

即将安全设备归还业务关系行。

10 业务关系所有人应采取并定期审查内部安全措施

，以确保保护措施及时且符合法规和行业最佳实

践指导。此等保护措施应当包括（但不限于）恶

意软件防护、网络限制、物理访问限制、远程访

问限制、电脑安全设置、监控不当使用、关于如

何选择可接受的网页浏览器和使用电子邮件（包

括如何避免沾染恶意软件）的指导。

11 业务关系所有人应有措施防止用户陷入社交工程

陷阱或根据欺诈指令行事。此项是为防止商业邮

件欺诈或类似骗局，即行骗者发送邮件假扮为电

子渠道的授权用户所认识的某人，从而试图修改

接收款项的地址或银行账号。例如，该等措施应

包括：若从看似认识的发送人（包括但不限于高

级管理层、卖方或供应商）处收到通讯信息，应

确保对该等通讯信息的真实性（以非电子邮件形

式）进行独立验证。

12 当用户通过移动设备访问任何电子渠道时，业务

关系所有人应要求该用户：

(a) 不要在登录到任何电子渠道之后，使移动设

备处于无人看管状态；

(b) 在用户结束电子渠道访问后，点击`退出'按钮；

(c) 启用移动设备的自动密码锁功能；



(d) 不与他人共享用于访问电子渠道的移动设备

；

(e) 是唯一在设备上注册生物识别（例如面部

、指纹、语音、视网膜识别等）的人士；

(f) 根据第 15 条的规定，注销不应再用作身份

验证的设备；以及

(g) 不通过已被破解、取得根权限或以其他方式

被破坏的移动设备访问电子渠道。

13 业务关系所有人确认并同意，如果其电子渠道由

于任何原因被暂停使用，该电子渠道在被重新激

活后，将自动恢复与暂停之前相同的原权限、限

额、用户访问以及可访问的账户和服务。

14 业务关系所有人应注意，通过移动设备访问电子

渠道的用户可以使用设备开展各种活动。这包括

利用移动设备（例如代替安全设备）对通过台式

计算机执行的单独电子渠道会话中开展的活动进

行身份验证。

15 如果用户通过可在某些移动设备上使用的生物识

别身份验证方式（例如指纹扫描或面部识别）访

问电子渠道，则业务关系所有人承认此类认证方

式仍然存在被破坏或允许未经授权人士（例如在

涉及亲密的家庭成员的情况）访问的风险。



Tindakan Keamanan E-Channel

Dokumen ini mengatur tindakan keamanan (yang isinya dapat direvisi atau diubah oleh HSBC Group dari waktu ke waktu) untuk sistem perbankan elektronik (“E-Channel”) yang disediakan oleh anggota grup HSBC ( “Bank Profil”) kepada nasabahnya (“Pemilik Profil”).

Tindakan Keamanan Bank Profil

1 Bank Profil harus menggunakan upaya untuk menolak akses oleh pihak eksternal yang tidak sah ke dalam lingkungan tempat di mana layanan internetnya beroperasi.

2 Bank Profil harus memastikan bahwa sistemnya dikontrol dengan ketat termasuk memiliki rencana keberlangsungan bisnis.

3 Sebagai bagian dari langkah keamanan Bank Profil, pengguna yang diotorisasi oleh Pemilik Profil (“Pengguna”) yang mengakses HSBCnet E-Channel dapat ditangguhkan secara otomatis apabila tidak login ke HSBCnet dalam jangka waktu 6 bulan. Jika profil HSBCnet tidak diakses oleh Pengguna dalam jangka waktu 18 bulan, profil HSBCnet juga dapat ditangguhkan.

4 Jika metode autentikasi biometrik (contohnya, pemindaian sidik jari atau pengenalan wajah) digunakan untuk mengakses E-Channel dari perangkat seluler, Bank Profil dan entitas HSBC terkait yang menyediakan aplikasi ke perangkat seluler, memiliki hak untuk menghapus fitur autentikasi biometrik kapan saja dan, jika perlu, tanpa pemberitahuan jika terdapat masalah keamanan perangkat. Dalam keadaan normal, autentikasi melalui perangkat seluler masih dapat dilakukan menggunakan metode lainnya yang tersedia.

Tindakan Keamanan Pemilik Profil

1 Pemilik Profil hanya boleh mengakses E-Channel menggunakan metode autentikasi yang ditentukan oleh Bank Profil.

2 Pemilik Profil harus memastikan bahwa semua Pengguna menyimpan kredensial keamanan (kata sandi, jawaban yang mudah diingat, jawaban keamanan, PIN Perangkat Keamanan, kata sandi/PIN perangkat seluler, atau kredensial keamanan lainnya yang

diperlukan untuk mengakses E-Channel, sebagaimana berlaku) dengan aman dan rahasia sepanjang waktu dan tidak memfasilitasi penggunaan kredensial ini secara tidak sah. Khususnya, Pemilik Profil harus tidak boleh membagikan kredensial keamanan apa pun atau akses ke E-Channeldengan pihak ketiga mana pun kecuali penyedia layanan pihak ketiga yang diatur yang telah diberi wewenang oleh Pemilik Profil.

3 Pemilik Profil bertanggung jawab untuk memilih Penggunanya secara cermat, dengan mempertimbangkan bahwa Pengguna tersebut akan diberikan akses ke berbagai kemampuan, termasuk memberikan hak atas rekening atau layanan lain dan mengirimkan perintah terkait dengan rekening atau layanan tersebut.

4 Pemilik Profil harus segera memberi tahu Bank Profil jika Perangkat Keamanan hilang atau dicuri.

5 Pemilik Profil harus:

(a) segera mengambil tindakan yang sesuai untuk melindungi profil Pengguna jika dicurigai kredensial Pengguna telah disalahgunakan secara sebagian atau sepenuhnya dengan cara apa pun;

(b) meninjau aktivitas terbaru pada akun dan profil Pengguna jika dicurigai kredensial telah disalahgunakan dan segera memberi tahu Bank Profil jika ada ketidaksesuaian; dan

(c) secara teratur meninjau aktivitas rekening dan profil Pengguna untuk memastikan tidak ada penyimpangan dan segera melaporkan ketidaksesuaian ke Bank Profil.

6 Pemilik Profil harus segera menghapus Pengguna dan profil E-Channel jika Pengguna tersebut keluar dari organisasi Pemilik Profil. Pemilik Profil harus segera menangguhkan penggunaan E-Channel oleh Pengguna jika ada masalah terkait tindakan pengguna tersebut atau hak yang dimilikinya. Pemilik Profil harus memastikan bahwa kredensial keamanan atau perangkat hanya digunakan oleh Pengguna individu yang spesifik yang ditetapkan kecuali penyedia layanan pihak ketiga yang diatur yang telah diberi wewenang oleh Pemilik Profil.



7 Pemilik Profil harus memastikan bahwa penggunanya menyediakan rincian yang benar, lengkap, dan tidak disingkat kapan pun dibutuhkan oleh HSBC Group. Pemilik Profil harus memastikan lebih lanjut bahwa Pengguna mereka secara rutin meninjau informasi tersebut dan mengubah rincian setiap kali ada perubahan detail serta tidak memegang lebih dari satu nama pengguna atau set kredensial keamanan setiap saat.

8 Pemilik Profil harus memberi tahu Bank Profil dalam tujuh hari pengiriman Perangkat Keamanan oleh Bank Profil bahwa ia belum menerima paket yang dikirim, sepanjang Pemilik Profil telah diberi tahu tentang pengiriman tersebut.

9 Pemilik Profil harus segera mengembalikan Perangkat Keamanan ke Bank Profl jika diminta oleh Bank Profil.

10 Pemilik Profil harus menerapkan dan meninjau tindakan keamanan internalnya secara berkala guna memastikan perlindungan selalu diperbarui dan sesuai dengan perundang-undangan dan pedoman praktik terbaik industri. Perlindungan tersebut harus mencakup, tetapi tidak terbatas pada, perlindungan malware, pembatasan jaringan, pembatasan akses fisik, pembatasan akses jarak jauh, pengaturan keamanan komputer, pemantauan penggunaan yang tidak tepat, panduan tentang browser web, dan penggunaan email yang layak termasuk cara menghindari malware.

11 Pemilik Profil harus memiliki proses yang sudah disiapkan untuk mencegah Pengguna direkayasa secara sosial atau terlibat dalam komunikasi yang menipu. Ini untuk mencegah email bisnis disalahgunakan dan skema yang serupa di mana penipu mengirimkan email seolah-olah berasal dari seseorang yang dikenal oleh Pengguna E-Channel yang diotorisasi dan ingin mengubah alamat atau nomor rekening tempat pembayaran dikirimkan. Proses semacam ini harus menyertakan, misalnya, saat komunikasi diterima oleh Pengguna yang seolah-olah berasal dari pengirim yang dikenal (termasuk, tapi tidak terbatas pada, manajemen senior, pemasok dan vendor) guna memastikan keaslian komunikasi semacam itu harus diverifikasi secara mandiri (melalui sarana lain selain email).

12 Jika E-Channel diakses oleh Pengguna melalui perangkat seluler, Pemilik Profil harus meminta Pengguna:

(a) tidak meninggalkan perangkat seluler tanpa pengawasan setelah login ke E-Channel;

(b) mengklik tombol ‘Logout’ ketika Pengguna selesai mengakses E-Channel;

(c) mengaktifkan fitur kunci kode sandi otomatis pada perangkat seluler;

(d) tidak berbagi perangkat seluler yang digunakan untuk mengakses E-Channel dengan orang lain;

(e) adalah satu-satunya orang yang terdaftar untuk akses biometrik (contohnya, wajah, sidik jari, suara, retina, dll.) pada perangkat;

(f) mengambil langkah-langkah untuk menghapus pendaftaran perangkat yang tidak lagi digunakan sebagai metode autentikasi seperti yang telah dijelaskandalam klausul 15; dan

(g) tidak mengakses E-Channel melalui perangkat seluler yang telah di-jailbreak, di-root, atau diotak-atik.

13 Pemilik Profil mengakui dan menyetujui bahwa apabila E-Channel-nya ditangguhkan karena alasan apa pun, setiap aktivasi ulang E-Channel berikutnya akan secara otomatis mengembalikan semua hak, batas, akses Pengguna, dan akses ke rekening dan layanan seperti semula sebelum penangguhan.

14 Pemilik Profil harus mengetahui bahwa Pengguna yang mengakses E-Channel melalui perangkat seluler dapat melakukan berbagai aktivitas menggunakan perangkat tersebut. Ini termasuk memanfaatkan perangkat seluler (misalnya sebagai pengganti Perangkat Keamanan) untuk mengautentikasi aktivitas yang dilakukan pada sesi E-Channel terpisah yang dilakukan melalui komputer desktop.

15 Apabila Pengguna mengakses E-Channels melalui tindakan autentikasi biometrik yang tersedia pada perangkat seluler tertentu (misalnya, pemindaian sidik jari atau pengenalan wajah), maka Pemilik Profil menyadari bahwa metode autentikasi masih menimbulkan risiko pembobolan atau



mengizinkan akses yang tidak sah (misalnya saat ada anggota keluarga dekat yang terlibat).



hny systémy elektronického bankovnictví ("E-Channels")

jen „Banka vedoucí profil(dále jen „Vlastník profilu“).

1 za

provozovány její online slu by.

2 Banka vedoucí profil zajistí, aby její systémy

zachování provozu.

3 Banky vedoucí profil mohou být u ivatelské profily

-Channel HSBCnet, automaticky pozastaveny,

i

ádný U ivatel

4 -Channel z

profi

si vyhrazují právo kdykoli odebrat funkci

je-existují-

1 -Channel

vedoucí profil.

2 Vlastník profilu zajistí, aby U ivatelé udr ovali

-

pou ití. Vlastník profilu nebude zejména

-Channel s jakýmikoli

3

slu eb.

4

5 Vlastník profilu:

(a)ochranu profilu U ivatele, pokud má

(b) kontroluje nedávnou aktivitu na svých

(c)

ohlásí Bance vedoucí profil.

6U ivatele ze svého profilu v E-Channel, pokud daný U ivatel opustí organizaci Vlastníka profilu. Vlastník profilu pozastaví pou ívání E-Channel jakýmkoli

konkrétní U ivatelé, kterým by

Vlastníkem profilu).

7 Vlastník profilu zajistí, e u ivatelé poskytnou správné, úplné a nezkrácené údaje, kdykoli o



zajistí, erevidovat takové informace a budou tyto údaje aktualizovat, jakmile dojde k jejich

ne jedno u ivatelské jméno a soubor

8 Banku vedoucí profil

informován.

9 Je-li o to Bankou vedoucí profil po ádán,

profil.

10

zajistil, e ochrana je aktuální a odpovídá

zejména: ochranu proti kodlivému softwaru,

nevhodného pou ívání a pokyny týkající se

e-kodlivému softwaru.

11 Vlastník profilu musí mít zavedeny procesy, které brání tomu, aby se U ivatelé stali

zabránit zneu ití firemních e-podobných situací, kdy podvodníci posílají e-

-

z-

12 -Channel

profilu vy aduje, aby U ivatel:

(a)-Channel

(b) -Channel klikl na

(c)automatického zamykání na kód,

(d)-Channel s dal ími lidmi,

(e) byl jedinou osobou její biometrické

(f)

(g)

13-Channel

reaktivaci daného E-Channel k obnovení

slupozastavením.

14-Channel

zahrnuje pou ívání mobilní

-Channel.

15 -



보안 조치

본문서는 HSBC 그룹 계열사 (“서비스은행”) 가

고객 (“서비스 이용자”) 에게제공하는

전자금융시스템 (E-Channels) 에대한보안조치를

명시한 문서이다.

서비스은행보안조치

1 서비스 은행은 인터넷 서비스운영 환경에 외부

당사자가 무단 접근하지못

하도록 하는조치를 취해야한다.

2 서비스 은행은 업무연속성계획수립등을 통하여

자사의 시스템이철처히통

제될수 있도록 한다.

3 서비스 은행 보안 조치의 일부로 서비스

이용자가 권한을 준 이용자 (이하 “지정 이용자”

) 가 6 개월 간 HSBCnet 에 로그인하지 않은

경우 자동으로 사용이 일시 정지될 수 있다.

서비스 이용자의 어떠한 지정이용자도 18 개월

간 HSBCnet 에 로그온하지 않는 경우

HSBCnet 프로파일 역시 일시 정지될 수 있다.

4 생체정보를활용한인증방법 (예: 지문스캔

또는얼굴인식) 으로 모바일장치에서 E-

Channel에접근하는 경우, 해당모바일장치에

어플리케이션을 제공하는 서비스 은행및 관련

HSBC 계열사는 장치의 보안과관련된우려

사항이 있는경우, 필요에 따라, 통지없이

언제든지 생체정보를 활용한인증 기능을

삭제할 수있는 권한을가진다. 일반적인 경우,

기존의 다른방법을 사용한 모바일 장치에서의

인증이 가능하다.

서비스이용자보안조치

1 서비스 은행은 서비스 이용자가정한인증

방법을 통해서만 E-Channels 에

접근할 수있다.

2 서비스 이용자는 E-Channels 사용을승인한

모든이용자 (“지정 이용자”) 들이본인의 보안

인증정보 (비밀번호, 연상 질문답변

(Memorable answer), 보안 답변 (Security

answer), 스마트카드 PIN, 보안장치 PIN, 또는

E-Channel 접근을위해 필요한기타보안

인증정보) 를항상안전하게 기밀로 보관하며

어떠한 무단사용도 금할수 있도록 해야한다.

특히, 서비스 이용자는 E-Channel 보안

인증정보 또는 접근권한을 제 3 자와공유할수

없으며, 지정 이용자들이 E-Channel 에

접속하지 않을 때항상리더기에서

스마트카드를 분리하도록 한다.

3 비스이용자는 지정 이용자에게다양한접근

권한

(계좌또는 기타 서비스에 대한권한배정부여,

이러한 계좌및 서비스와관련된지시서송부등)

이제공됨을염두에 두어지정이용자의선정에

신중을 기해야 할책임이있다.

4 보안장치의분실또는도난 시서비스이용자는

이를서비스은행에 통지하

여야한다.

5 서비스 이용자는다음을이행해야한다.

(a) 만일지정이용자의 인증정보전체 또는

일부가 보안위험에 처했다

고판단되는경우, 즉시적절한보호조치를

취한다.

(b) 만일지정이용자의 인증정보가보안

위험에 처했다고판단되는 경우

해당계좌와지정이용자의 최근활동을

검토하여 신속히서비스은

행에문제점을 통지한다. 그리고,

(c) 서비스 이용자의계좌와그리고지정

이용자의 활동 및권한을정기적으로

검토하여, 문제가없는지확인하고, 문제가

있는경우이를 서비스은행에즉시

보고한다.



6 서비스 이용자는지정 이용자가퇴사하는 경우

해당지정이용자를 E-Channel 프로파일에서

즉시삭제해야 한다. 또한 서비스 이용자는지정

이용자 및그들의권한에대한우려 사항이 있는

경우해당지정 이용자의 E-Channels 사용을

즉시중단시켜야한다.

서비스 이용자는보안 인증 정보또는장치가

이를배정받은 해당 지정 이용자에 의해서만

(서비스이용자가 권한을준 제 3 의 서비스

제공자를 제외) 사용 될수 있도록 해야한다.

7 서비스 이용자는 HSBC 그룹이요청하는 경우에

지정이용자가 정확하고완전하며 축약되지

않은세부정보를제공하도록해야 한다. 또한

서비스 이용자는지정 이용자가이러한정보를

정기적으로검토하고 변경이있을 때마다

업데이트하며, 이용자 이름이나보안자격

증명을 복수로 유지하지않도록해야한다.

8 서비스 이용자가보안 토큰 또는 PIN 발송

사실을 인지하였으나 수령 하지못한경우, 발송

7 일 이내에 이를 서비스 은행에통지하여야

한다.

9 서비스 이용자는서비스은행의요청시보안

장치를 서비스 은행에게즉시

반환한다.

10 서비스 이용자는내부 보안 조치를 채택하고

정기적으로이를검토하여 감독규정및 업계

모범관행에따라최신상태의보안이이루어질

수있도록해야 한다. 이는 멀웨어 보호,

네트워크 제한, 물리적액세스제한, 원격 액세스

제한, 컴퓨터 보안설정, 부적절한 사용에 대한

모니터링, 허용되는 웹브라우저및 멀웨어 방지

방법을 포함한 이메일 사용에대한 지침 등을

포함한다. 서비스이용자는 수락가능한웹

브라우저와멀웨어 (Malware) 수집을 피하는

방법을 포함하는이메일사용에대한지침을

포함하는 내부 절차를 수립 및운영해야한다

11 서비스 이용자는사용자가 사회적으로

설계되거나사기성통신에 작용하지 않도록

하기위한절차를수립해야 한다. 이는사기범이

공인사용자에게 E-Channel 의알려진사람을

가장하고, 지불해야 할주소나은행 계좌 번호를

변경하려는이메일을 보내는, 즉 사업상의

이메일 타협과 같은 계획을 방지하기 위한

것이다. 이러한 프로세스는 예를들어, 알려진

발신자 (고위경영자, 공급업체등) 로부터

사용자가 통신을수신하는 경우, 해당통신의

진위가 독립적으로확인되도록 (이메일이외의

수단을 통해) 포함되어야한다.

12 만일지정이용자가 모바일 기기를 통해 E-

Channel 에 접근하는경우, 서비스

이용자는 해당 지정 이용자에게다음을

요청해야한다.

(a) E-Channels 에 로그온한 이후해당 모바일

기기를 방치해 두어서는안됨

(b) 지정이용자가 E-Channels 접속을

종료하는 경우 ‘로그아웃’ 버튼을 클

릭하여야 함.

(c) 해당모바일기기의 자동비밀번호 잠금

기능을 활성화 하여야 함.

(d) E-Channel 접근에사용되는모바일기기를

타인과 공유하지말아야함.

(e) 해당기기에서의바이오인증 (예. 얼굴,

지문, 음성, 망막) 은 본인만 등록되어

있어야 함.

(f) 15 조에명시된인증방법으로

사용되어서는 안되는 기기에대한 등록

해제조치를취하여야 함.

(g) IOS 탈옥 (jailbroken), 안드로이드 루팅

(rooted) 등보안 해제된모바일기기를

통해 E-Channel 에 접근하지않아야함

13 서비스 이용자는, 어떠한사유로 E-Channel 이

중단된 경우복구된 E-Channel 에는 자동적으로

기존의 모든권한, 한도, 이용자접근성, 계좌및

서비스에 대한 접근 권한이 동일하게 적용됨을

인정하고 이에 동의한다.



14 서비스 이용자는모바일기기를통해 E-

Channel 에 접근하는지정 이용자가 해당

기기를 사용하여다양한활동을수행할수

있음을 인식하여야한다. 이러한활동에는

데스크 탑컴퓨터를 이용한 별도의 E-Channel

세션에서 이루어지는 활동을인증하기위해

(보안장치 대신) 모바일 기기를사용하는 것을

포함한다.

15 지정이용자가 모바일 기기에서사용가능한

바이오 인증 (예. 지문 스캔, 얼굴인식) 을 통해

E-Channel 에 접근하는경우, 서비스이용자는

이러한 인증방식에는 노출 및무단 접근 가능성

(예. 가까운가족 구성원을 통한무단접근) 등의

리스크가 있음을인식하여야한다.



Các Bi

Tài li thb àn HSBC

vào t t kngân hàngc i b ành viên nào c(“Ngân Hàng T o H ác khách hàng c

(“Ch

Các Bi àng TH

1 Ngân Hàng Tbi ên không có thhành d ình.

2 Ngân Hàng Tth ình g

ên t

3 Là mNgân Hàng T nh ùng

cDùng”) có quyHSBCnet có th ình ch truy c vào HSBCnet trong vòng 6 tháng. HSBCnet

ùng nào trong vòng 18 tháng, hb ình ch

4 sinh tr tay hokhuôn m c s ênh

T àng TH ên k c ng c ho thib quyth ào và, nthi g báo nng ên thi b ng, vis

Các Bi

1 ChT thNgân Hàng T

2 Ch rùng gi thành t

(mm ã PIN Thi ã PIN c hay b ành tb êu cc Tb à an toàn vào m th à không tkhông h l ành tm không chia s ành tc ênh T ên thnào. (ngo ên thcung c à Ch

3 Chtr D ình, l ý rquy truy c ùng v

v ài kho à gth ên quan ài khov

4 ChHàng T c t nào b

5 Ch

(a) k ù hb ùng nc ào rth ã b àn toàn hoph ình th ào;

(b) rà soát l ng g ên các tài kho ình và hDùng nth ã bxâm h à thông báo kHàng T ào; và

(c) ài kho ình và hocb ào và báo cáo kth ào v àng T

6 Chdùng kh ình trong

cph ênh

ùng nào khi có bk ào v ành vi ho



bb ùng cá nhân c à cung c ên thdo Ch

7 Chùng c ình cung c thông tin

chi ti à không vib ào T àn HSBC yêu cs êm rdùng c ình th ên xem lthông tin này và cti ào có thaythông tin chi ti ày và không duy trì nhi

ùng hoào.

8 Ch àng T òng b ngày k ày Thi Ngân Hàng T

à Ch ã bi vi

9 Ch àn trB àng TNgân Hàng T

10 Ch ên áp d g và rà soát các bi m ình

và phù h à các t ành t Nh ày bao gph v

truy c ài

d ình duyweb và s thnh

11 Ch trình vipháp khai thác thông tin lhành vi ho àm thoand fraudulent ày là

và các

g gibim à yêu cho ài kho hàng mà các khothanh toán strình nên bao g d

ùng tiv ã gi ên, các nhà cung c à các bên bán hàng) nhb ày

l (thông qua m

12 Nb ùng qua thi

êu c ùng:

(a) ình tr

vào b ào;

(b) nhã k b ênh

ào;

(c) bã khóa.

(d) Không chia sc

T

(e)(ví d vân tay, ginói, võng m ên thi

(f) thkhông còn s mth êu t à

(g) không truy c ithi ã bkhóa ho ã b

ào.

13 Chc ình b ình

ch ì b ào, vi ênh T khôi ph

c hvi ùng và truy cvào cùng nh tài kho à d

ình ch

14 Ch ý r ùng truy c mms thithi thay cho Thi

ành trên m ên b ênh êng bi ên máy

àn.



15 Khi ùng truy cb ths ên mvân tay ho

truy cthành viên

thân c ình).



اإلجراءات األمنیة

تحدد ھذه الوثیقة التدابیر األمنیة (حسب ما يتم مراجعتھا

من وقت آلخر) ألي HSBCأو تحديثھا من قبل مجموعة ") يتم القنوات اإللكترونیةأنظمة مصرفیة إلكترونیة ("

HSBCتوفیرھا من قبل أي عضو في مجموعة بنك ("").مالك الحافظة") لعمالئه ("الحافظة

اإلجراءات األمنیة لبنك الحافظة

يوظف بنك الحافظة اإلجراءات لرفض دخول أي أطراف 1

خارجیة غیر مفوضة إلى بیئة تشغیل خدمة االنترنت

التحكم الكامل في أنظمته والتي يضمن بنك الحافظة 2

تتضمن استمرار خطط األعمال

كجزء من التدابیر األمنیة لبنك الحافظة، قد يخضع 3المستخدمون المفوضون من قبل مالك الحافظة

") الذين يدخلون إلى القناة اإللكترونیة المستخدمون("

للتعلیق بشكل تلقائي عندما ال HSBCnetلتطبیق

لدخول على تطبیق يقومون بتسجیل ا HSBCnetأشھر. وإذا لم يتم تسجیل الدخول إلى 6خالل فترة

من قبل أي مستخدمین HSBCnetحافظة تطبیق

شھراً، فقد يتم أيضاً تعلیق حافظة 18خالل فترة

.HSBCnetتطبیق

إذا تم استخدام خاصیة المصادقة بالسمات 4البیولوجیة (على سبیل المثال، مسح بصمات األصابع

أو خاصیة التعرف على الوجه) للوصول إلى القناة اإللكترونیة عبر جھاز محمول، فإن بنك الحافظة وكیان

HSBC المرتبط به الذي يقوم بتوفیر التطبیقات للجھازي إزالة خاصیة المصادقة المحمول، يحتفظان بالحق ف

باستخدام السمات البیولوجیة في أي وقت، إذا لزم األمر، ودونما أي إشعار بذلك في حال كانت ھناك أي

مخاوف تتعلق بحماية وأمن الجھاز. وفي الظروف العادية، سیبقى من الممكن إجراء المصادقة عبر الجھاز

.الحالیة األخرىالمحمول باستخدام الطرق

ات تأمین مالك الحافظةإجراء

يدخل مالك الحافظة فقط على القنوات اإللكترونیة 1

باستخدام طريقة التفويض المحددة في بنك الحافظة

يجب على "مالك الحافظة" التأكد من قیام جمیع 2المستخدمین بالمحافظة على أمن وسرية البیانات األمنیة

التذكیر بكلمة الخاصة بھم (كلمة المرور أو جواب سؤال المرور أو رقم التعريف الشخصي ألداة األمن والحماية أو

كلمة المرور / رقم التعريف الشخصي لجھاز الھاتف المحمول أو أي بیانات أمنیة أخرى مطلوبة للوصول إلى

القنوات اإللكترونیة، حسب ما تقتضي الحاجة) وذلك في به جمیع األوقات وعدم تسھیل أي استخدام غیر مصرح

لھذه البیانات. وعلى وجه الخصوص، ال يجوز لمالك الحافظة مشاركة أي بیانات أمنیة أو الوصول إلى القناة اإللكترونیة

مع أي طرف آخر.

يكون مالك الحافظة مسؤوًال عن االختیار الحريص 3لمستخدمیه، مع توفیر حق الدخول إلى ھؤالء

ذلك المستخدمین لنطاق عريض من القدرات، بما في

تحديد االستحقاقات إلى الحسابات أو الخدمات األخرى وإرسال التعلیمات فیما يخص ھذه الحسابات أو الخدمات.

یخطر مالك الحافظة بنك الحافظة فوًرا بخصوص 4أي أجھزة أمنیة مفقودة أو مسروقة.

يقوم مالك الحافظة بما يلي: 5

تستخدم (أ) إتخاذ إجراء مالءم فوًرا لحماية أي حافظة إذا كان لديه أي اشتباه بمساومة بیانات ھوية ھذا

المستخدم ككل أو كجزء بأي طريقة. (ب) مراجعة النشاط الحديث على حساباته وحافظة

المستخدم إذا اشتبه بمساومة بیانات ھويةأي ستخدم وإبالغ بنك الحافظة فوًرا بأي مخالفات، و م

(ج) المراجعة الدورية لحسابه ونشاط حافظة المستخدمین لضمان عدم وجود أي مخالفات واإلبالغ

عنھا فوًرا إلى بنك الحافظة.

يقوم مالك الحافظة بإزالة المستخدم على الفور من 6ة القناة اإللكترونیة الخاصة به في حال قیام أي حافظ

مستخدم بترك العمل لدى مؤسسة مالك الحافظة. ويجب على مالك الحافظة تعلیق استخدام القنوات اإللكترونیة من

قِبل أي مستخدم على الفور عند وجود أي قلق بشأن سلوك ذلك المستخدم أو صالحیاته. ويجب على "مالك

ن أن بیانات أو أدوات األمن والحماية يتم الحافظة" التأكد ماستخدامھا من قبل المستخدم المحدد المخصصة له فقط.

يضمن مالك الحافظة أن األفراد ال يحتفظون بأكثر من 7اسم مستخدم واحد أو مجموعة من بیانات االعتماد

األمنیة.

يجب على مالك الحافظة إبالغ بنك الحافظة بعدم 8األدوات المرسلة إلیه، وذلك في استالمه لمجموعة

غضون سبعة أيام من إرسال أداة األمن والحماية من قبل بنك الحافظة، بشرط أن يكون مالك الحافظة على

علم باإلرسالیة.

يجب على مالك الحافظة إعادة أي أداة أمن وحماية 9إلى بنك الحافظة على الفور في حال طلب بنك

الحافظة القیام بذلك.

على مالك الحافظة اعتماد ومراجعة التدابیر يجب10األمنیة الداخلیة الخاصة به بشكل منتظم لضمان

المحافظة على بقاء الحماية وتحديث بیاناتھا واستمرار تماشیھا مع أفضل التوجیھات التنظیمیة والممارسات

المتعلقة باألعمال ذات الصلة. ويجب أن تشتمل، على حماية من البرامج الضارة، سبیل المثال ال الحصر، ال

وتقیید استخدام الشبكة، وتقیید إمكانیة الوصول الفعلي، وتقیید إمكانیة الوصول عن ُبعد، وإعدادات أمن

وحماية الكمبیوتر، ومراقبة االستخدام غیر السلیم، واإلرشادات المتعلقة ببرامج تصفح االنترنت المقبولة

ك كیفیة تجنب واستخدام البريد اإللكتروني بما في ذلتنزيل البرامج الضارة.

يجب أن يكون لدى مالك الحافظة إجراءات متبعة 11لمنع تعرض المستخدمین ألسالیب الھندسة

االجتماعیة أو التصرف بناء على اتصاالت احتیالیة. وھذا من أجل منع تنفیذ عملیات التسوية التجارية عبر البريد

الشخص المحتال اإللكتروني وما شابه ذلك حیث يقوم بإرسال رسالة عبر البريد اإللكتروني ينتحل فیھا

شخصیة شخص معروف بالنسبة للمستخدم المفوض بالوصول إلى القناة اإللكترونیة ويطلب فیھا تغییر العنوان



ل الدفعات أو رقم الحساب المصرفي الذي يتم إرساإلیه. ويجب أن تشتمل ھذه اإلجراءات، على سبیل

راسالت التي يتم تلقیھا من قبل المثال، المالمستخدمین والتي تبدو بأنھا مرسلة من جھات

معروفة (بما في ذلك، على سبیل المثال ال الحصر، اإلدارة العلیا أو الموردين أو البائعین) لضمان التحقق من

صحة ھذه المراسالت بشكل مستقل (من خالل وسیلة أخرى غیر البريد اإللكتروني. ).

ال دخول أي قناة إلكترونیة بواسطة في ح-12مستخدم عن طریق جھاز جوال،یطلب مالك

الحافظة من المستخدم:

ن مراقبة بعد (أ) عدم ترك الجھاز المتحرك بدوب) النقر (تسجیل الدخول إلى أي قنوات إلكترونیة

على زر "تسجیل الخروج" عند انتھاء المستخدم من عملیة الدخول إلى أي قنوات إلكترونیة

(ج) تشغیل خاصیة كود اإلغالق اإللكتروني للجھاز.

(د) عدم مشاركة األجھزة المحمولة المستخدمة اإللكترونیة مع اآلخرين؛للوصول إلى القنوات

(ھـ) ھو الشخص الوحید المسجل الستخدام السمات البیولوجیة (على سبیل المثال، الوجه

وبصمات األصابع والصوت وشبكیة العین، وما إلى ذلك) على الجھاز؛

(و) اتخاذ الخطوات الالزمة إللغاء تسجیل األجھزة التي لم تعد تستخدم كوسیلة للمصادقة على

؛ و15و المتوخى في الفقرة النح

(ز) عدم إمكانیة الوصول إلى القناة اإللكترونیة عبر جھاز محمول تم كسر الحماية علیه أو اختراقه

بطريقة أخرى.

يقر مالك الحافظة ويوافق على أنه في حال تعلیق 13استخدام القناة اإللكترونیة الخاصة به ألي سبب، فإن

الحقة لتلك القناة اإللكترونیة أي إجراءات إعادة تفعیل ستؤدي إلى إعادة جمیع الصالحیات والحدود االئتمانیة

األصلیة وإمكانیة دخول المستخدمین والوصول إلى نفس الحسابات والخدمات قبل ھذا التعلیق بشكل

تلقائي.

يجب أن يكون مالك الحافظة على دراية بأن 14رونیة عبر المستخدمین الذين يصلون إلى القناة إلكت

األجھزة المحمولة، بإمكانھم تنفیذ مجموعة واسعة من األنشطة باستخدام ھذه األجھزة. ويتضمن ذلك

استخدام الجھاز المحمول (على سبیل المثال، بدالً من أداة األمن والحماية) للمصادقة على األنشطة التي يتم

تنفیذھا في جلسة منفصلة للقناة اإللكترونیة ويتم عبر سطح مكتب جھاز الكومبیوتر.إجراؤھا

عندما يقوم المستخدمون بالوصول إلى القنوات 15اإللكترونیة عبر تدابیر المصادقة بالسمات البیولوجیة المتوفرة على بعض األجھزة المحمولة (على سبیل المثال، مسح بصمات األصابع أو خاصیة التعرف على

ة ھذه ال الوجه)، يقر مالك الحافظة بأن طرق المصادق

تزال تشكل خطراً من حیث التعرض لمخاطر االنتھاك أو السماح بالوصول غیر المصرح به (على سبیل المثال

تورط أحد أفراد األسرة المقربین).



annels

elektronicznej („ ”)

grupy HSBC („Bank profilu”) swoim klientom („ ”).

Profilu

1

2

3

”) do

4

tody uwierzytelniania biometrycznego (np. skanowanie odcisków palca lub rozpoznawanie twarzy), Bank profilu i

uwierzytelniania biomet

ych metod.

ilu

1

metod uwierzytelniania zalecanych przez Bank profilu.

2

bez

pytanie pomocnicze, odpowiedzi na pytanie

elektron

3

4

zgubiony lub ukradziony.

5 W

(a)

(b) na

o

(c)

6



ciciel

7

przypadku zaistnienia w nich jakichkolwiek

8

9

10

oprogramowaniem, ograniczenia sieciowe, ograni

z poczty elektronicznej, w tym o sposobach unikania ataków ze stronyoprogramowania.

11

stosowaniem wobec nich socjotechniki lub nieuczciwej komunikacji. Ma to na celu zabezpieczenie firmowej poczty

elektronicznej przed atakami i podobnymi

-

adresu lub numeru rachunku bankowego, na

procesy powinny

12

Profilu :

(a)bez nadzoru po zalogowaniu do elektronicznych;

(b)za

(c)telefonu;

(d)

(e)

rozpoznawanie twarzy, odcisk palca,

(f)

uwierzytelniania, jak opisano w klauzuli 15; oraz

(g)

o

zrootowane lub jest w inny sposób

13

elektronicznego z jakiegokolwiek powodu,



elektronicznego automatycznie przywróci wszelkie oryginalne uprawnienia, limity,

miejsce przed tym zawieszeniem.

14

elektronicznego na komputerze.

15

uwierzytelniania biometrycznego (np. skanowanie odcisku palca lub rozpoznawanie

uwierzytel



Medidas de Segurança

Este documento estabelece as medidas de segurança aplicáveis para qualquer sistema bancário eletrônico ("Canais Digitais") fornecido por qualquer membro do grupo HSBC (o "Banco") a seus clientes ("Clientes").

Medidas de Segurança do Banco

1 O Banco adotará medidas para negar o acesso de terceiros não autorizados ao ambiente em que seu serviço de internet opera.

2 O Banco deve garantir que seus sistemas sejam estritamente controlados, inclusive por meio de planos de continuidade de negócios.

3 Como parte de medida de segurança da profile, usuários autorizados pelo dono da profile ("Usuários") que acessam o HSBCnet estão sujeitos a suspensão automática quando não efetuar o login no período de 6 meses. Se uma profile do HSBCnet não é acessada por nenhum usuário no período de 18 meses, a profile do HSBCnet também será suspensa.

4 Se o método de autenticação biométrica (por exemplo, escaneamento digital ou reconhecimento facil) são usados para acessar o Canal de um dispositivo celular, o Banco da profile e empresas associadas ao HSBC que fornecem soluções para o dispositivo celular, reservam o direito de remover a funcionalidade de autenticação biométrica em qualquer momento e, se necessário, sem aviso se há preocupações relacionadas a segurança do dispositivo. Em circunstâncias normais, ainda será possível autenticar pelo celular usando outros métodos existentes.

Medidas de Segurança do Cliente

1 O Cliente deve acessar os Canais Digitais exclusivamente por meio do método de autenticação definido pelo Banco.

2 O Cliente deve garantir que todos os usuários autorizados a usar quaisquer Canais Digitais ("Usuários") mantenham suas credenciais de segurança (senha, resposta memorável, respostas de segurança, PIN do Dispositivo de Segurança ou qualquer outra credencial

de segurança necessária para acessar os Canais Digitais, conforme aplicável) permanentemente seguras e confidenciais, bem como não facilitar o uso não autorizado destas credenciais. Em particular, o Cliente não deve compartilhar nenhuma credencial de segurança ou de acesso a um Canal Digital com terceiros.

3 O Cliente é responsável pela seleção cuidadosa de seus Usuários, observando que tais Usuários têm acesso a uma ampla gama de recursos, incluindo a atribuição de direitos sobre contas ou outros serviços e o envio de instruções em relação a estas contas ou serviços.

4 O Cliente notificará imediatamente o Banco se algum dispositivo de segurança for perdido ou roubado.

5 O Cliente deve:

(a) tomar imediatamente as medidas apropriadas para proteger o perfil de qualquer Usuário se houver suspeita de que as respectivas credenciais tenham sido total ou parcialmente comprometidas de alguma forma;

(b) revisar a atividade recente em suas contas e perfis de Usuário se suspeitar que as credenciais de algum Usuário foram comprometidas, informando imediatamente ao Banco sobre quaisquer discrepâncias; e

(c) revisar regularmente a conta e a atividade do perfil dos Usuários para garantir que não haja irregularidades, relatando imediatamente quaisquer discrepâncias ao Banco.

6 O Cliente suspenderá imediatamente o uso dos Canais Digitais por qualquer Usuário em caso de desligamento da organização do Cliente ou de alguma preocupação com a conduta deste Usuário ou com seus direitos. O Cliente deve garantir que as credenciais ou dispositivos de segurança de qualquer Usuário (emitidos e específicos para cada Usuário) não sejam compartilhados com outro Usuário, ainda que o Usuário esteja delicença ou se desligando da organização do Cliente.

7 O cliente deve garantir que os usuários forneçam correta, completa e detalhes não abreviados sempre que for solicitado pelo



grupo HSBC. O cliente deve ainda garantir que seus usuários revisem regularmente tais informações e atualize seus detalhes sempre que houver uma mudança de dados e não manter mais que um nome de usuário ou credencial de segurança a qualquer momento.

8 O cliente deve informar o Banco dentro de doze dias do envio do dispositivo de segurança par o banco que o pacote enviado não foi recebido, deixando avisado o banco sobre o envio.

9 O Cliente deve devolver imediatamente quaisquer dispositivos de segurança ao Banco, caso solicitado.

10 O cliente deve adotar e revisar medidas internas de segurança regularmente para garantir proteção atualizada e de acordo com as melhores práticas de mercado e regulatórias. Isto deve incluir, mas não se limitar a, proteção de malware, restrições de rede, restrição de acesso físico, restrições de acesso remoto, configurações de segurança do computador, monitoramento de uso indevido, orientação sobre navegadores aceitos e uso de email incluindo como evitar a contaminação por malware.

11 O Cliente deve ter processos para impedir que os Usuários sejam vítimas de engenharia social ou ajam com base em comunicações fraudulentas. O objetivo de tais processos é evitar o comprometimento do e-mail comercial e esquemas semelhantes, nos quais um fraudador envia um e-mail assumindo a identidade de alguém conhecido pelo Usuário autorizado a utilizar um Canal Digital no intuito de alterar um endereço ou número de conta bancária para o qual os pagamentos devem ser enviados. Tais processos devem incluir, por exemplo, os meios nos quais as comunicações são recebidas pelos Usuários de remetentes aparentemente conhecidos (incluindo, mas não se limitando a gerência sênior, fornecedores e vendedores), a autenticidade dessas comunicações é verificada independentemente (por outros meios que não o e-mail).

12 Se qualquer Canal Digital for acessado por um Usuário por meio de um dispositivo móvel, o Cliente exigirá que o Usuário:

(a) não deixe o dispositivo sem vigilância após o logon em qualquer Canal Digital;

(b) clique no botão "Logout" quando o Usuário terminar de acessar os Canais Digitais;

(c) ative o recurso de bloqueio automático de senha do dispositivo móvel;

(d) não compartilhar celulares usados para acessar o canal eletrônico com outros;

(e) é a unica pessoa registrada para biometria (por exemplo, face, digital com dedo, voz, retina) etc. no dispositivo;

(f) seguir os passos para descadastrar o dispositivo qhe não deve mais ser utilizado como um método de autenticação como previsto na clausula 15; e

(g) não acessar o canal eletrônico via celular que foi desbloqueado ou comprometido.

13 O Cliente reconhece e concorda que, no caso de seu Canal Digital ser suspenso por qualquer motivo, qualquer reativação subsequente deste Canal Digital restabelecerá automaticamente todos os direitos, limites, acesso do usuário e acesso originais às mesmas Contas e Serviços existentes antes de tal suspensão.

14 O Cliente deve estar ciente que usuários acessando o canal pelo celular esta carregando uma ampla variedade de atividades usando o celular. Isto inclui a utilização do celular (por exemplo, no lugar de um dispositivo de segurança) para autenticar atividades realizadas um uma outra sessão de canal eletrônico por um computador.

15 Quando usuário acessam o canal eletrônico com autenticação por biometria, medidas disponíveis em certos dispositivos de celular (por exemplo, escaneamento da digital ou reconhecimento facil), o cliente reconhece que certos métodos de autenticação ainda representam um risco de serem comprometidos ou permitir acesso não autorizado (por exemplo onde um membro familiar próximo está envolvido).



Անվտանգության Միջոցներ

Այս փաստաթուղթը սահմանում է

անվտանգության չափանիշներ (որոնք ժամանակառ ժամանակ կարող են վերանայվել կամ

թարմացվել HSBC Խմբի կողմից) HSBC խմբի

ցանկացած անդամի ("Հիմնական Բանկ") կողմից իր հաճախորդներին ("Հիմնական

Հաճախորդ") տրամադրվող ցանկացած

էլեկտրոնային բանկային համակարգի ("E-channels"-ի) համար:

Հիմնական Բանկի անվտանգությանմիջոցներ

1 Հիմնական Բանկը պարտավոր է միջոցներկիրառել՝ արգելելու երրորդ անձանց

չթույլատրված մուտքը այն միջավայր, որումգործում է Բանկի ինտերնետային

ծառայությունը:

2 Հիմնական Բանկը պետք է ապահովի, որ իրհամակարգերի նկատմամբ խիստ

վերահսկողությունը, ներառյալգործունեության շարունակականությունն

ապահովող ծրագրերի առկայությունը:.

3 Որպես Հիմնական Բանկի անվտանգությանչափանիշների մի մաս ՀիմնականՀաճախորդի կողմից լիազորվածօգտագործողների մուտքը համակարգ կարողէ ծամանակավոր կասեցվի երբ նրանք մուտք

չեն գործել HSBCnet 6 ամիս շարունակ: Եթե

18 ամսվա ընթացքում HSBCnet համակագընդանրապես որևէ օգտագործող մուտք չի

գործել, HSBCnet-ը կարող է կասեցվել

ամբողջությամբ:

4 Եթե կենսաչափական վավերացման

միջոցները (օրինակ ՝ մատնահետքերի կամ

դեմքի ճանաչում) օգտագործվում են բջջային

սարքից E-channel մուտք գործելու համար, Հիմնական Բանկը և բջջային սարքերի

հավելված տրամադրող HSBC-ի հետ

փոխկապակցված կազմակերպությունը, իրավունք ունեն հեռացնել կենսաչափականվավերացումը ցանկացած պահի ևանհրաժեշտության դեպքում առանց

նախազգուշացման, եթե սարքիանվտանգության հետ կապված

մտահոգություններ կան: Այդ պայմաններումհնարավոր կլինի նույնականցում բջջայինսարքի միջոցով օգտագործելով առկա այլ

մեթոդներ:

Հիմնական Հաճախորդի անվտանգությանմիջոցները

1 Հիմնական հաճախորդը պարտավոր է մուտք

գործել E-Channels միայն Հիմնական Բանկիկողմից սահմանված հավաստագրման

եղանակներով:

2 Հիմնական հաճախորդը երաշխավորում է, որբոլոր օգտագործողները մշտապես խստորենպահպանում են իրենց անվտանգության

տվյալները (գաղտնաբառ, հիշվող

պատասխան, անվտանգության

պատասխաններ, անվտանգության սարքի

ծածկագիր կամ E-Channels մուտք գործելուհամար անհրաժեշտ անվտանգության այլ

տվյալներ), և չեն նպաստելու դրանց որևէ

չարտոնված օգտագործմանը: Մասնավորապես, Հիմնական Հաճախորդը չի

կարող տրամադրել իր E-Channels-իանվտանգության տվյալները երրորդ անձանց, բացառությամբ կարգավորվող երրորդ կողմի

ծառայություններ մատուցողի, լիազորված

Հիմնական Հաճախորդի կողմից:.

3 Հիմնական հաճախորդը պարտավոր է

զգուշությամբ ընտրել իր Օգտագործողներին, հաշվի առնելով, որ այդ Օգտագործողները

օժտվում են լայն հնարավորություններով, ներառյալ հաշիվների կամ այլծառայությունների նկատմամբ

իրավասությունների տրամադրումը, և այդհաշիվներին կամ ծառայություններինվերաբերող հանձնարարականների

ուղարկումը:.

4 Հիմնական հաճախորդը իր անվտանգությանսարքերի կորստի կամ գողության դեպքումպետք է անհապաղ տեղեկացնի Հիմնական

Բանկին:.

5 Հիմնական հաճախորդը պետք է՝

(a) անհապաղ գործողություններ ձեռնարկիորևէ Օգատատիրոջ տվյալները

պահպանելու նպատակով,եթե

կասկածներ ունի, որ Օգտագոծողիտվյալները որևէ կերպ ամբողջությամբկամ մասամբ հասանելի են դարձել այլ

անձանց;

(b) ստուգի իր հաշվով կատարված վերջինգործողությունները և Օգտագործողների

տվյալները, եթե կասկածներ կան, որ իրորևէ Օգտագոծողի տվյալներըհասանելի են դարձել այլ անձանց ևանհապաղ տեղյակ պահի ՀիմնականԲանկին ցանկացած

անհամապատասխանության մասին; և



(c) Պարբերաբար ստուգել հաշիվների և օգտագործողների ակտիվությունը և լիազորությունները, համուզված լինելու համար որ չկան անհամապատասխանություններ, հակառակ դեպքում անհապաղ տեղեկացնել Հիմնական Բանկին:

6 Հիմնական Հաճախորդը պետկ է անհապաղ

հեռացնի E-Channels-իցկազմակերպությունից դուրս եկած

օգնագործողներին: Հիմնական Հաճախորդը

պետկ է անհապաղ կասեցնի մուտքը E-Channels համակարգ ցանկացած

Օգտագործողի համար, երբ որևէանհանգստություն կան այդ Օգտագործողի

վարքի կամ լիազորությունների վերաբերյալ: Հիմնական Հաճախորդը երաշխավորում է, որանվտանգության տվյալները ևԱնվտանգության Սարքերը կօգտագործվեն

միայն այն Օգտագործողների կողմից, որոնց

լիազորել է:

7 Հիմնական հաճախորդը երաշխավորում է, որբոլոր Օգտագործողները տրամադրել են

ամբողջական և ոչ կրճատ տվյալներ, ինչպես

պահանջվում է HSBC Խմբի կողմից: Հաճախորդը հետագայում կապահովի, որպեսզի Օգտագործողները պարբերաբարվերանայեն և փոփոխությունների դեպքումթարմացնեն իրենց տվյալները և չեն օգտվիմեկից ավել Օգտագործողի անունից կամ

անվտանգության տվյալներից:

8 Հիմնական Հաճախորդը պետկ է տեղեկացնիՀիմնական Բանկին ԱնվտանգությանՍարքերի ուղարկելուց յոթ օրվա ընդացքւմ որ

նա չի ստացել ուղարկված փաթեթը, պայմանով, որ Հաճախորդը տեղեկացված է

եղել փաթեթի ուղարկման մասին:

9 Հիմնական հաճախորդը պարտավոր էՀիմնական Բանկի պահանջի դեպքումանհապաղ վերադարձնել բոլոր

Անվտանգության Սարքերը:

10 Հիմնական Հաճախորդը կանոնավոր կերպովպետք է հետևի իր ներքին անվտանգությանհամակարգերի թարմացմանը համաձայնհամապատասխան կարգավորողմարմինների և արդյունաբերության

լավագույն փորձի ուղեցույցների: Դա պետք է

ներառի, բայց չսահմանափակվի միայն

վնասաբեր ծրագրերից պաշտպանությամբ, ցանցի, աշխատավայրի, հեռակառավարման

հասանելիության սահմանափակումներով, համակարգչային անվտանգության

կարգավորումներով, համակարգերի ոչ

պատշաճ օգտագործման մոնիտորինգով,

վստահելի զննարկիչների և էլ փոստի

օգտագործմամբ:

11 Հիմանկան Հաճախորդը պետք է ունենահամապատասխան գործընթացներ կանխելուէլեկտրոնային խարդախությունները և կեղծ

հաղորդակցությունները: Սա նպատակ ունիկանխելու էլեկտրոնային փոստի միջոցովիրականացվող խաբեությունները և

նմանատիպ այլ գործողությունները, երբխափեբահն էլ փոստի միջոցով նամակ է

ուղարկում E-Channels-ի լիազովրածօգտագործողի հասցեին պահանջելոնփոփոխություններ կատարել բանկային

փոխանցման տվյալների մեջ: Նմանգործընթացները պետք է կիրառվեն օրինակ

այն դեպքերում, երբ Օգտագործողը

հաղորդակցություններ է ստացվում, որոնք, կարծես ուղղարկված են ծանոթ հասցեից

բայց պարունակում են կեխծ տվյալներ: Պետկէ ապահովվի այդ հաղորդակցությունների

իսկության ստուգումը:

12 Եթե Օգտագործողը E-Channel մուտք է

գործել շարժական սարքի միջոցով, ապաՀիմնական հաճախորդը պարտավոր է

պահանջել Օգտագոծողիից, որպեսզի նա՝

(a) ցանկացած E-Channels համակարգմուտք գործելիս բջջային սարքերըչթողնել առանց հսկողության;

(b) սեղմել «Ելք/Logout» կոճակը, երբՕգտագործողը ավարտվել է իր

աշխատանքը E-Channels-ում;

(c) ակտիվացնի շարժական սարքերիավտոմատ արգելափակումըգաղտնաբառի միջոցով;

(d) չտրամադրել ուրիշներին բջջային

սարքերը, որոնցով մուտք եք գործում E-Channels համակարգ;

(e) Օգտագործողը բջջային սարքի

կենսաչափական հավելվածների (դեմքի, մատնահետկի, ձայնի ճանաչում) միակ

գրանցված անձն է;

(f) քայլեր ձեռնարկել ապաակտիոացնելու

բջջային սարքերը, որոնք այլևս չենօգտագործվում նույնականացման

համար, ինչպես նախատեսված է 15-րդ

կետով; և

(g) մուտք չգործել E-Channels համակարգ

բջջային սարքերով, որոնցգործարանային ծրագրային ապահովումը

փոխվել է, շրջանցվել է կամ այլ կերպ

վնասվել:



13 Հիմնական Հաճախորդը ընդունում և

համաձայնվում է, որ այն դեպքում, երբ E-Cnannels համակարգը որևէ պատճառով

կասեցված է, հետագա վերաակտիվացումիցհետո ավտոմատ կերպով կվերականգնվեն

բոլոր նախնական լիազորությունները, իրավունքները, սահմանաչափերը և

ծառայությունները ինչպես եղել է նախկինում, մինչև կասեցումը:

14 Հիմնական Հաճախորդը պետք է տեղյակ

լինի, որ բջջային սարքերի միջոցով E-channels մուտք գործող օգտվողները կարողեն իրականացնել լայնածավալ

գործողություններ այդ սարքերի միջոցով: Սա

ներառում է (օրինակ ՝ Անվտանգության

Սարքի փոխարեն) բջջային սարքիօգտագործումը համակարգչի միջոցովիրականացվող գործողությունները

հաստատելու համար:

15 Այն դեպքում, երբ օգտագործողները մուտք են

գործում E-Channels որոշակի բջջայինսարքերոիմ առկա կենսաչափական

նույնականացման միջոցով (օրինակ՝մատնահետքերի սկաներ կամ դեմքի

ճանաչում), Հիմնական Հաճախորդը

ընդունում է, որ այդ նույնականացմանեղանակները դեռևս վտանգ եններկայացնում չարտոնված մուտքի համար

(օրինակ, երբ ներգրավված են ընտանիքի

անդամներ):


© COPYRIGHT. HSBC Bank plc. ALL RIGHTS RESERVED.

No part of this publication may be reproduced, stored in a retrieval system, or transmitted, on any form or by any means, electronic, mechanical, photocopying, recording, or otherwise, without the prior written permission of HSBC Holdings plc.

This document may be updated from time to time to reflect changing business operations and the development of policy and standards.

hsbc e-channels security measures...customers (the “profile owner”). profile bank security...

Documents