19. díl: Jak zabezpečit své firemní finance?

Několik článků už jsme věnovali bezpečí v prostředí internetu a při online komunikaci. Jak se ochránit před hrozbami, které jsou spojeny s využíváním finančních služeb? Instinkt by mohl radit využívat zásadně osobní jednání v pobočce a vlastnoručně podepsané příkazy. Ověření podpisu na papíře s podpisovým vzorem sice je tady s námi roky, je odzkoušené, ale tudy cesta k pohodlnému „bankování“ nevede. Nejjistější je využít moderní digitální služby.

Příkladem bezpečné a komfortní aplikace pro firemní bankovnictví je ČSOB CEB. Ta vznikla a dále se vyvíjí ve spolupráci s předními odborníky na kybernetickou bezpečnost.

Které prvky tedy slouží k zabezpečení firemních financí?

Přihlašování a elektronické podepisování

K přihlášení je možné použít uživatelské jméno a heslo v kombinaci s dalším faktorem, který zvyšuje bezpečnost. Často se jako tento druhý faktor používá aplikace pro chytré telefony Smart klíč: Pokud je váš telefon online, stačí jen rychlé potvrzení (například otiskem prstu) a přihlášení je potvrzeno. Jestliže mobilní telefon nemá datové připojení, není to problém – aplikace může vygenerovat i jednorázový kód na základě naskenování QR kódu ze stránek ČSOB CEB. V obou případech je podstatné, že při odpozorování samotného jména a hesla (například na zavirovaném počítači) nemůže dojít ke zneužití vašeho účtu.

Ještě vyšší míru zabezpečení pak nabízejí certifikáty na čipových kartách. Podepisování kvalifikovanými certifikáty přitom česká i evropská legislativa dává na roveň vlastnoručnímu podpisu. Z toho důvodu je možné takový certifikát používat i pro tzv. smluvní jednání v rámci Virtuální pobočky nebo při správě služby osobou administrátora. Při podepisování certifikátem jsou používány také dva faktory – certifikát a privátní klíč pro vytvoření podpisu jsou uloženy v zabezpečeném úložišti (zpravidla na čipové kartě – klasické nebo v USB tokenu) a pro přístup je vyžadován PIN. A podobné je to u aplikace I.CA RemoteSign,  která umožňuje digitálně podepisovat i mobilním uživatelům, a to s využitím smartphonu nebo tabletu.

Při založení služby si můžete sami stanovit, jaký způsob přihlášení se bude používat a zda bude možné využívat i mobilní aplikaci zabezpečenou Smart klíčem.

Reklama

Oprávnění uživatelů

Větší firmy velmi často potřebují zabezpečit, aby někteří z uživatelů měli přístup jen k vybraným údajům, které potřebují ke své práci. Ve službě CEB je to jednoduché, stačí jen nastavit správně vazby mezi uživateli a účty. Například mzdové účty a záležitosti jsou velmi často pod kontrolou mzdové účtárny, případně jsou svěřeny i externí firmě – to lze bez problémů zařídit.

Jednotlivým zaměstnancům – uživatelům služby CEB – lze přidělit konkrétní role, tedy předem definovaný souhrn oprávnění. Ve variantě CEB Plus lze tak mít například pasivního uživatele, který bude oprávněn pouze ke stahování výpisů, ale nebude moci zadávat platby. Podobně lze určené zaměstnance pověřit správou konkrétních oblastí – typicky může jít o smluvní jednání (úvěrová administrativa, uzavírání smluv) v rámci Virtuální pobočky, dále o obchody na finančních trzích nebo třeba o konfirmace těchto obchodů.

Správa oprávnění online

Speciální rolí je osoba administrátora – v řeči oficiálních podmínek „osoby oprávněné ke správě služby“. Takový uživatel může stanovovat oprávnění ostatních uživatelů a technicky i sebe sama – například měnit limity nebo přístupy k účtům. Zároveň má přehled o aktuálním nastavení, a to v menu Nastavení a Správa služby. Velké korporace mohou určit i více administrátorů a v případě potřeby větší kontroly lze nastavit jejich jednání ve shodě (tedy např. jeden administrátor změny nastavení navrhne a druhý je potvrzuje).

Platby a autorizační pravidla

V základní variantě služby CEB stačí nastavit, kdo může přistupovat na které účty a jaký má limit pro zadávání transakcí. Varianta CEB Plus pak umožní navíc pracovat s tzv. autorizačními pravidly. Při založení služby (nebo kdykoli později pomocí administrátora) se nastaví takzvané podpisové třídy. Ty slouží k podrobnějšímu nastavení pravidel pro autorizaci transakcí, a to podle následujících zásad:

• Jednotlivým uživatelům přiřadíte podpisové třídy, které je možné pojmenovat buď shodně s uživatelským jménem, nebo tak, aby odpovídaly jeho pracovnímu zařazení (například „účetní“ nebo „ředitel“). Uživatel bez podpisové třídy nemůže podepisovat žádné transakce.
• Pro jednotlivé podpisové třídy se na konkrétních účtech nastaví pravidla pro podepisování, která zohledňují i výše transakcí. Například platby do 100 korun budou moci podepisovat dva účetní (dvě osoby s podpisovou třídou „účetní“), pro platby s limitem 1000 korun bude třeba podpis „účetního“ a „ředitele“ (kombinace dvou uživatelů s těmito podpisovými třídami).
• Ve službě lze nastavit kombinaci až tří podpisových tříd pro jeden účet a jednu limitní částku. V případě potřeby je možné jít ještě více do detailu a pravidla pro podepisování nastavit zvlášť pro inkasní příkazy (malé riziko – jedná se o potenciální příchozí platbu), zvlášť pro platby v rámci vlastních účtů (v jedné smlouvě) a zvlášť pro platby třetím stranám. Takové možnosti už by měly pokrýt i největší korporace se složitými systémy delegací a oprávnění, a to včetně případů, kdy je zapotřebí limity stanovovat v měně účtu (například v EUR).

Historie plateb

Většina bank nabádá své klienty k pozorné kontrole výpisů z účtů a hlášení nesrovnalostí. Díky službě CEB Info nemusíte být neustále online – stačí si nastavit notifikace formou e-mailu nebo SMS, a dozvíte se tak o každé příchozí nebo odchozí platbě ze svých účtů. Stejně tak můžete každému držiteli služební karty nastavit notifikaci o tom, kdy je jeho karta použita u obchodníka – v případě pokusu o zneužití se o tom dozví jako první a může situaci řešit.

Pohyby na účtu zachycují různé druhy výpisů a řada firemních klientů navíc využívá i datové výpisy pro zpracování v účetnictví tak, aby žádná transakce neušla pozornosti. Podobně jako u osobního bankovnictví můžete ale používat i online náhled na pohyby na účtu, a pokud některá transakce byla podepisována právě ve službě CEB, tak uvidíte i její historii včetně uživatelů, kteří ji autorizovali.

Automatizace a zabezpečení dat

Účetnictví už dávno není hlavně věcí tabulek a dokumentů v šanonech, i když ani tomu se nelze úplně vyhnout. Software pro vedení účetnictví usnadní práci, a to i ve vztahu k bance – většinou totiž umí automaticky zpracovávat jak výstupy z banky (výpisy nebo tzv. avíza) a párovat je na konkrétní vydané nebo přijaté faktury; často také umí generovat platební dávky od mzdových plateb až po zahraniční úhrady.

I to přitom souvisí s bezpečností – zejména při větších počtech plateb (ať už odchozích, nebo pohybech na účtech). Je lepší neriskovat riziko „ukliknutí“ a nechat spíše pracovat stroje. Samozřejmě při datovém zpracování výpisů ne vždy lze všechno zpracovat na 100 %, ale typicky spárováním částky a variabilního symbolu je možné většinu práce ušetřit.

Speciální bonus v této oblasti pak nabízí služba Business Connector, která velmi jednoduchým způsobem automatizuje stahování datových i jiných výpisů. Pokud se třeba každé ráno přihlašujete do banky jen kvůli stažení výpisů, tak už to dělat nemusíte. Budete je mít připraveny na disku v adresáři, který si sami nastavíte. Business Connector umí automatizovat i druhý směr, tedy přenos dat (platebních dávek) směrem do banky. Přitom je možné zajistit i další častý požadavek, kterým je „nezměnitelnost“ platební dávky od jejího vygenerování až po přenos do banky.

A pro firmy, které fandí IT a elektronickým podpisům, ještě jedna vychytávka – platební dávky lze nejen přenášet do služby CEB pro pozdější podpis, ale lze je rovnou generovat včetně podpisu – právě díky certifikátům zmíněným v úvodu, za použití příslušných standardů pro elektronický podpis (cAdES) a s respektováním nastavených autorizačních pravidel.