Logotipo de ING

Seguridad

Aquí podrás consultar toda la información de seguridad de ING

  • Utiliza contraseñas para bloquear el acceso a tu equipo.

  • Evita que las páginas por las que navegas queden almacenadas en la memoria de tu navegador. Para ello elimina periódicamente los archivos temporales.
  • Desactiva la opción de guardar contraseña o autocompletar de tu navegador.
  • Instala un software de antivirus, el cual deberá ser actualizado periódicamente siguiendo las instrucciones del fabricante.
  • Evita conectarte desde ordenadores de uso público sobre los que no se pueda tener control de lo que hay instalado ni se puedan configurar. Evita descargas de archivos desde sitios web que no ofrezcan total confianza.

  • Desactiva las opciones guardar contraseña y autocompletar de tu navegador.
  • Elimina periódicamente los archivos temporales que se almacenan en tu navegador.
  • Cuando te conectas a Internet desde ordenadores de uso público, trata de evitar las webs que necesitan de tu usuario y contraseña.
  • Instala un software de antivirus y mantenlo actualizado siguiendo las instrucciones del fabricante.
  • El Instituto Nacional de Tecnologías de la información (INTECO), a través de la Oficina de Seguridad del Internauta (OSI), te ofrece información actualizada, avisos y herramientas que te ayudarán a proteger tu dispositivo al navegar por Internet:

    Herramientas de protección gratuitas

    Avisos de Seguridad

  • Nunca accedas a ING por medio de un enlace en un e-mail ni desde una página web que no sea de absoluta confianza. En vez de eso, teclea la dirección en el navegador.
  • Desde la página de acceso a clientes podrás identificarte como cliente para acceder a nuestra Web. Esta identificación puedes realizarla a través de tu clave personal o utilizando tu DNI electrónico.
  • Para salir de tus cuentas utilice la opción de desconectar, ya que cierra y libera la sesión, frente al aspa, que solo cierra la sesión.
  • Te aconsejamos incluir el website de ING en tu carpeta de sitios de confianza.
  • Comprueba la fecha y hora de última conexión.
  • Protege los números de tus cuentas, nunca los facilites a un extraño.
  • Puedes comprobar que estás conectado con el servidor seguro de ING.

    - Cuando la dirección URL que aparece en el navegador, comienza por https://... en lugar de comenzar por http://...

    - Cuando en la zona inferior derecha del navegador aparezca la imagen de un candado cerrado.

  • Desconexión automática: A los 10 minutos de inactividad durante tu sesión en nuestra web de clientes procederemos a tu desconexión automática.

  • Como cliente de ING, cuentas con una clave de seguridad de 6 dígitos que te permite identificarte y validar tus operaciones.
  • Tu clave es personal e intransferible, por tu seguridad no debes comunicársela a nadie, no la apuntas nunca en papel (agendas, post - it ...). Además, puedes modificar tu clave siempre que quieras.
  • En el caso de tener Cuenta NÓMINA, la clave de seguridad sirve de clave de acceso. A la hora de realizar una operación con tu Cuenta NÓMINA, puedes validarla por medio de la tarjeta de coordenadas o a través de otros elementos de seguridad identificativos. Es decir, en todo momento, tú decides qué sistema utilizar.
    RECUERDA, nunca te solicitaremos las 50 posiciones de tu tarjeta de coordenadas o las 6 posiciones de tu clave de seguridad.

  • A la hora de realizar una operación con tu Cuenta NÓMINA, puedes validarla por medio de tu tarjeta de coordenadas o a través de otros elementos de seguridad identificativos. Es decir, en todo momento, tú decides qué sistema utilizar.

    La tarjeta de coordenadas, es una lista de 50 posiciones de tres dígitos cada una. Al realizar cualquier operación deberás introducir una de estas posiciones mediante el "Pin-Pad" (evita troyanos que captan pulsos de teclado). Recuerda que ING nunca te solicitará las 50 posiciones de tu tarjeta de coordenadas.

    Si introduces tres veces la posición solicitada de forma incorrecta, la tarjeta de coordenadas, por razones de seguridad, te bloqueará.

    Tu tarjeta de coordenadas es personal e intransferible, por seguridad, no se la facilites a nadie.

    Recuerda que cuando haces trasferencias desde tu Cuenta Nómina con tu tarjeta de coordenadas, en ocasiones, te solicitaremos que introduzcas un código de seguridad en la casilla "CÓDIGO MÓVIL" que te enviaremos a tu teléfono móvil vía SMS.

  • El robo y la suplantación de identidad (ej: phishing) supone que terceras personas se hagan pasar por empleados o simulen la identidad de un banco mediante el uso fraudulento del correo electrónico para conseguir tu Clave Personal de acceso. Desconfía de llamadas o correos electrónicos comunicando premios etc.
  • En ING nunca se te solicitará, ni por teléfono ni por Internet, tu clave de seguridad al completo, solo posiciones aleatorias.
  • Recuerda que ING nunca te enviará por correo electrónico solicitud alguna para que informes de tus datos personales ni de tus claves.
  • ING nunca te enviará un correo electrónico con enlaces a nuestra página. Nunca accedas a ING por medio de un enlace en un e-mail o página web que no sea de absoluta confianza. En vez de eso, teclea la dirección en el navegador.
  • Evita conectarte desde ordenadores de uso público sobre los que no se pueda tener control de lo que hay instalado ni se puedan configurar.
  • Verifica el certificado de seguridad. Solo tienes que pulsar dos veces sobre el candado.

  • El servidor de ING usa certificados emitidos por Verisign para realizar comunicaciones seguras y cifradas. Esta certificación de Internet es similar a un documento de identidad en las personas y es emitido exclusivamente para una página web concreta. De esta manera se tiene absoluta seguridad de que el cliente está comunicando sus datos a un servidor de ING y no a un tercero (nadie puede hacerse pasar por ING, ya que el certificado está únicamente en nuestras instalaciones).
  • Es muy importante que cualquier tráfico de información personal se realice mediante páginas HTTPS (la S final nos indica que estamos intercambiando información con un servidor SEGURO) y comprobar que el certificado es de dicho site (haciendo doble clic sobre el candado que nos aparecerá, veremos los datos de dicho Certificado, y podremos validar que efectivamente la página web está certificada).
  • Cada acceso a www.ing.es se realiza a través de nuestro Servidor de Tecnología Segura. Nuestro servidor cumple con los requisitos para que una transacción comercial por Internet se considere segura (consulta de tus cuentas personales, transferencias, etc.):

    - Autenticar: asegura a tu navegador que la información está siendo enviada al servidor correcto y que éste es seguro.

    - Protocolo de encriptación SSL: este sistema es utilizado para crear claves aleatorias de 128 bits en cada sesión, con el fin de evitar que terceras personas no autorizadas intercepten los mensajes.

    - Integridad de datos: comprueba los datos transferidos para asegurar que no son alterados, garantizando la integridad de la información que se intercambia.

  • La plataforma de seguridad de ING está dotada de medidas redundantes de seguridad como cortafuegos, sistemas de detección de intrusiones, antivirus, etc... Además nuestros sistemas son sometidos periódicamente a auditorías de seguridad por compañías independientes de reconocido prestigio.

  • La Ley de Servicios de la Sociedad de la Información (LSSI) establece el marco jurídico y normativo que garantiza a prestadores y usuarios de servicios la seguridad necesaria para el uso de los medios electrónicos.
  • En ING, cumplimos con los requisitos exigidos por el secreto bancario y cumplimos con la Ley Orgánica 15/1999 del 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) en lo referente a la confidencialidad y seguridad en el almacenamiento y tratamiento de los datos personales.

  • ¿QUÉ ES LA FIRMA DIGITAL?

    En algunas operativas por Internet, necesitamos acreditar nuestra identidad.

    Como sustitutos de la documentación física, tenemos los Certificados de Usuario que permiten realizar "firmas digitales" de documentos y operaciones electrónicas.

    Al firmar un documento electrónico, el Certificado de Usuario nos acredita como persona física y permite establecer fehacientemente que somos nosotros los que aceptamos la operación, al igual que sucedería en un documento en papel con una firma manuscrita.

    Para poder utilizar la Firma Digital es necesario obtener el Certificado de Usuario de la Fábrica Nacional de Moneda y Timbre (FNMT).

  • OBTENCIÓN DEL CERTIFICADO DIGITAL

    Solicitud Vía Internet de tu Certificado

    La solicitud y obtención del Certificado de Usuario debe tramitarse vía Internet a través de la página web de la Fábrica Nacional de Moneda y Timbre.

    Acceda a este organismo y sigua los siguientes pasos.

    Avisos Importantes

    Antes de comenzar el proceso por favor lee las siguientes recomendaciones

    - La solicitud y la obtención del certificado de usuario deben ser realizadas desde el mismo equipo, navegador y usuario.

    - No actualices tu versión de navegador, formatea tu disco duro, o cambia de ordenador o versión de Windows entre la solicitud del certificado y la obtención del certificado.

    - Si ocurre alguna de las circunstancias anteriores, no acudas a acreditarte con el código de solicitud del certificado que hayas obtenido, deséchalo, realiza una nueva solicitud y acude a acreditarte con el nuevo código de solicitud.

    - Los usuarios de Microsoft Internet Explorer cuyo Nombre o Apellidos contengan la letra "Ñ", deberán solicitar su certificado con la Versión 5.0 de IE o superior.

    - No olvides las contraseñas que a lo largo del proceso puedas dar de alta, si las olvidas no podrás hacer uso de tus certificados.

    Pasos a seguir

    A) El proceso comienza con la siguiente pantalla. En ella deberás cumplimentar el NIF del titular del certificado, (aún en el caso de que seas el representante del titular) y pulsar el botón "Enviar petición".

    B) A continuación se generará tu pareja de claves pública y privada.

    Si deseas seleccionar un nivel de seguridad determinado deberás pulsar el botón 'Nivel de Seguridad' (ver puntos C y D). Si no es así, pulsa el botón "Aceptar" para continuar la instalación (ver punto E).

    Importante: Te recomendamos que modifiques el nivel de seguridad a la opción "Alto". De este modo sacarás todo el partido a la seguridad de la firma electrónica.

    C) Si pulsas el botón 'Nivel de seguridad' se mostrará la pantalla por defecto el nivel de Seguridad asignado es Medio.

    D) Una vez lo hayas seleccionado pulsa el botón "Siguiente". Se mostrará la siguiente pantalla:

    Si es la primera vez que creas una contraseña para este tipo de información, deberás:

    - Identificar la contraseña con un nombre en la casilla <Contraseña para:>.
    - Teclear la contraseña en la casilla <Contraseña>.
    - Repetir la contraseña en la casilla <Confirmar>.

    En el caso de que ya hubieses creado contraseñas anteriormente, podrás activar la opción y seleccionar la que desee.
    Importante: Recuerda tus contraseñas, si las olvidas no podrás hacer uso de tus certificados.

    E) En el caso de que hayas seleccionado las opciones Alto o Medio en la ventana anterior, el navegador presentará otra pantalla

    Atención: En el caso de que el navegador te muestre algún mensaje de error deberás volver al apartado A.

    F) Si no ha habido ningún error, el navegador habrá enviado tu clave a la FNMT-RCM y te mostrará una pantalla en la que figura tu código de solicitud del certificado.

    Imprime este código

    Debes presentarlo obligatoriamente en las Oficinas de Acreditación para continuar con el proceso de Obtención del Certificado.


    Acreditación de la identidad en una Oficina de Registro

    Con el código de solicitud del paso anterior, deberás acercarte a una Oficina de Registro para acreditar tu identidad.

    Para identificarte válidamente en la Oficina de Registro deberás presentar la siguiente documentación:

    Si el titular es una persona física:

    - DNI o tarjeta de Residencia (NIE)
    - Código de solicitud del certificado (paso 1)
    Si el titular es una entidad, el representante deberá presentar: Documento acreditativo de la representación legal de la entidad o Documento acreditativo de poder especial y expreso de representación para solicitar el certificado.
    - DNI o tarjeta de residencia (NIE) del solicitante.
    - Documento acreditativo de la identidad de la entidad (CIF)
    - Código de solicitud del certificado (paso 1)
    Importante - ING solo ofrece el servicio de Firma Digital para clientes titulares de un Certificado de 
    Usuario de persona física.


    Descarga de tu Certificado de Usuario

    La descarga del Certificado de Usuario debe tramitarse vía Internet a través de la página web de la Fábrica Nacional de Moneda y Timbre. Accede a este Organismo y sigue los siguientes pasos

    Importante: Para descargar el certificado debes usar el mismo ordenador que en el paso de Solicitud (ver punto 2.1)

    Formulario de descarga:

    A) Comienzo del proceso
    En la página Web deberás cumplimentar los datos que se te presenten y pinchar el botón "Descargar".

    En el caso de que no se hayan completado los datos correctamente, el navegador te mostrará una página informándote del error y deberás cumplimentar de nuevo los datos.

    B) Información acerca del éxito de la operación
    Una vez que el navegador haya obtenido el certificado te mostrará El Certificado de Usuario ha quedado instalado en tu navegador.

    C) Comprobación
    Para comprobar si la descarga del certificado ha sido correcta:Diríjete al menú 'Herramientas'Selecciona 'Opciones de Internet'Selecciona la solapa 'Contenido'En 'Certificados' pulsa el botón <Personal>

    Aparecerá una entrada con tu nombre.

    A partir de este momento podrás utilizar tu certificado en las aplicaciones puestas a tu disposición por los Organismos Públicos y las empresas.


    Exportación del Fichero

    Para poder utilizar tu Certificado de Usuario desde el ordenador que desees es necesario realizar la exportación del fichero que lo contiene a una carpeta personal.

    Pasos a seguir para Internet Explorer

    Diríjete a la opción 'Herramientas' del Menú superior de tu Navegador.

    - Selecciona 'Opciones de Internet'.
    - Selecciona la solapa 'Contenido'.
    - En 'Certificados' pulsa el botón "Personal"

    Aquí se indican los certificados (las firmas digitales) que hay disponibles en este navegador.

    - Selecciona con el ratón la firma que deseas Guardar y pulsa el botón Exportar. Indica en el menú que deseas exportar la clave privada, que es la que podrás instalar en otro navegador para firmar documentos.

    - Indica, en el siguiente paso, una contraseña que protegerá tu firma, y que se te pedirá cada vez que operes con ella.

    - En la siguiente pantalla deberás guardar esta firma en un directorio y un archivo cuyo nombre vayas a recordar posteriormente.

    - Por último, se creará un fichero de tipo .pfx, que deberás guardar en un disquete o CD.

    - Si la exportación se ha realizado con éxito se mostrará la siguiente pantalla.
  •  

    FIRMA DE TRANSACCIONES CON FIRMA DIGITAL DE LA FNMT

    Como cliente tienes la opción de utilizar el certificado digital de firma de la FNMT para operar por Internet. Para ello, debes configurar tu navegador siguiendo las instrucciones del apartado anterior.

    Cuando confirmes una operación, tienes la posibilidad de validarla con tu PIN o tarjeta de coordenadas ( este último en caso de ser cliente de cuenta Nómina) o con Certificados Digitales (DNIe o FNMT). Por tanto, en todo momento, decides que sistema utilizar.

    Selecciona la opción: "Con tu DNI electrónico (debes introducirlo en el lector), o con la Firma Digital de la FNMT"

    Después de algunos segundos, aparecerá la siguiente ventana emergente (siempre y cuando tenga un nivel de seguridad "Alto") en la que deberás introducir la clave de tu certificado.

    Una vez introducida la clave, pulsa en aceptar (dentro de la ventana emergente) y a continuación, pulsa en "Realizar operación"

    RECOMENDACIONES


    IMPORTANTE: Cuando instales el certificado digital de la FNMT en el navegador, te recomendamos que configures el nivel de seguridad a la opción "Alto". De este modo sacarás todo el partido a la seguridad de la firma electrónica de la FNMT.

     

  • ¿QUÉ ES EL DNI ELECTRÓNICO?

    El Documento Nacional de Identidad electrónico (DNIe) es el documento que acredita física y digitalmente la identidad personal de su titular y permite la firma electrónica de documentos. Es similar al tradicional, pero incorpora un pequeño chip donde guarda, de forma totalmente segura, tanto información como certificados electrónicos del titular. Cambia el soporte y está dotado de nuevas y mayores medidas de seguridad.


    Si lo deseas puedes ampliar información sobre DNI electrónico en www.dnielectronico.es

  • CARACTERÍSTICAS

    Características físicas: La tarjeta soporte del DNI electrónico es de policarbonato, un material muy resistente, de alta calidad y durabilidad, que permite el grabado de los datos con láser destructivo, lo que hace virtualmente imposible falsificar la impresión.

    - El Documento Nacional de Identidad tiene impresos los siguientes datos de filiación del titular: apellidos y nombre, sexo, nacionalidad y fecha de nacimiento.

    - La fotografía en blanco y negro tiene un holograma en la superficie. Relieves.

    - Número personal del Documento Nacional de Identidad y carácter de verificación.

    - Firma manuscrita del titular.

    - Número de serie del soporte y fecha de validez del documento.

    - Imagen cambiante grabada en láser.Kinegrama. Es una característica desarrollada por la compañía suiza de uso exclusivo en los documentos de alta seguridad. Como el holograma, el kinegrama consiste en una estructura de difracción microscópica. La imagen, no obstante, no es tridimensional, como en el holograma, sino que al moverla muestra animaciones gráficas.


    Características electrónicas:

    - Datos de filiación del titular.
    - Imagen digitalizada de la fotografía.
    - Imagen digitalizada de la firma manuscrita.
    - Plantilla de la impresión dactilar.
    - Certificado reconocido de autenticación y firma.
    - Certificado electrónico de la autoridad emisora.
    - Par de claves de cada certificado electrónico.

  • OBTENCIÓN DEL DNI ELECTRÓNICO

    De acuerdo con la legislación vigente, la Dirección General de la Policía (dependiendo del Ministerio del Interior) es la responsable de la expedición del DNI electrónico. La Dirección General de la Policía cuenta con 350 Oficinas de Expedición, que se irán adaptando progresivamente al nuevo contexto.

    Validez de los certificados

    Con independencia de la validez del DNI, los certificados electrónicos reconocidos incorporados al mismo tendrán un período de vigencia de treinta meses. A la extinción de la vigencia del certificado electrónico, podrá solicitarse la expedición de nuevos certificados reconocidos, manteniendo la misma tarjeta del Documento Nacional de Identidad mientras dicho documento continúe vigente. La pérdida de validez del Documento Nacional de Identidad (por caducidad, pérdida, sustracción o deterioro de la tarjeta) llevará aparejada la pérdida de validez de los certificados reconocidos incorporados al mismo. La renovación del Documento Nacional de Identidad o la expedición de duplicados del mismo implicará, a su vez, la expedición de nuevos certificados electrónicos. En caso de pérdida o robo, comunícalo con la mayor inmediatez a la Dirección General de la Policía a través de las Oficinas de Expedición del DNI o de las comisarías de Policía, con el fin de que puedan ser revocados los certificados electrónicos incorporados al mismo.

  • ELEMENTOS NECESARIOS PARA EL USO DEL DNI ELECTRÓNICO

    Para la utilización del DNI electrónico es necesario contar con determinados elementos físicos (hardware) y otros digitales (software), que nos permitan el acceso al chip de la tarjeta y, por tanto, la utilización de los certificados contenidos en él.

    Elementos físicos (Hardware)

    Equipamiento físico

    El DNI electrónico requiere el siguiente equipamiento físico:

    - Un ordenador personal, con tecnología Intel Pentium III o superior, o equivalente en AMD.
    - Un lector de tarjetas inteligentes que cumpla el estándar ISO 7816. Existen distintas implementaciones, bien integrados en el teclado, bien externos, conectados vía USB, o bien a través de una interfaz PCMCIA.

    Características del lector

    Para elegir un lector que sea compatible con el DNI electrónico, debemos verificar que, al menos:
    -    Cumpla el estándar ISO 7816 (1, 2 y 3).
    -    Soporte tarjetas asíncronas basadas en protocolos T=0 y T=1.
    -    Soporte velocidades de comunicación mínimas de 9.600 bps.
    -    Soporte los estándares:

    - API PC/SC (Personal Computer / Smart Card)
    - CSP (Cryptographic Service Provider, Microsoft)
    - API PKCS#11

    Estas especificaciones suelen figurar en la caja de almacenaje, en el libro o manual de instrucciones, o en la página web del fabricante o vendedor.

    Instalación del lector
    La instalación física, es decir, tu conexión al ordenador, es a través de un USB.
    Una vez conectado, necesitamos configurarlo, es decir, instalar los drivers o controladores, para que el ordenador te reconozca y pueda trabajar con él. Para ello, pueden seguir las instrucciones que acompañen a tu lector.

    Elementos digitales (Software)
    Los elementos digitales son programas o archivos que se encuentran en el ordenador.

    Sistemas operativos

    Estos son las versiones de navegador y s.o. y que nos dice SIA que son compatibles con la versión de nuestro applet.

    - Navegadores Internet Explorer 5.5/6.0/7.0/8.0, Firefox 3.0/3.5, Google Chrome 5.0 (en entornos Windows usando almacén de certificados del S.O.).

    - Sistema Operativo Windows 2000, Windows XP, Windows Vista (Business, Ultimate), Windows 7(Professional) y Linux (en versiones soportadas por Firefox), sobre entornos x86 de 32bits.

    Controladores / Módulos criptográficos

    Para poder interaccionar adecuadamente con las tarjetas criptográficas en general y con el DNI electrónico en particular:

    - En un entorno de Microsoft Windows, el equipo debe tener instalado un servicio que se denomina "Cryptographic Service Provider" (CSP).
    - En los entornos UNIX / Linux o Mac podemos utilizar el DNI electrónico a través de un módulo criptográfico denominado PKCS#11.
    - Tanto el CSP como el PKCS#11 específico para el DNI electrónico pueden obtenerse desde la página de descargas del portal del DNI electrónico, www.dnielectronico.es/descargas/index.html. No obstante aquí te explican cómo descargar e instalar el CSP.

    Obtención e instalación del CSP

    Entramos en el portal del DNI electrónico, www.dnielectronico.es, y hacemos clic en enlace "Área de Descargas"

    Hacemos clic en el enlace Software para Windows.
    Este enlace facilita los drivers CSP para sistemas Windows, incluida la versión Vista.
    Nos aparece una nueva ventana que nos ofrece la posibilidad de abrir o guardar un archivo comprimido, llamado DNIev2_5_0.zip.
    Nosotros lo guardamos, por ejemplo, en el escritorio.

    Una vez finalizada la descarga, lo descomprimimos y nos aparecen dos archivos:

    - DNIev2_5_0.exe.
    - DNIev2_5_0.exe.sign. Fichero a verificar en caso de querer comprobar la integridad del ejecutable.

    Para instalar tenemos que ejecutar el primero de los dos archivos anteriores. Al hacerlo comenzará la instalación, proceso en el cual no tenemos que hacer nada, excepto esperar a que aparezca la ventana de Finalizar, tras la cual, el ordenador deberá reiniciarse. Te recomendamos que retires cualquier CD que tenga en la disquetera.

    Tras el reinicio, y antes de que aparezca el escritorio y la barra de tareas, nos aparece una ventana, solicitándonos instalar un certificado llamado AC RAIZ DNIE, (Autoridad de Certificación Raíz del DNI electrónico)

    La Infraestructura de Certificación (PKI, Public Key Infraestructure) del DNI electrónico está compuesta de una Autoridad de Certificación Raíz (AC RAIZ DNIE) y un conjunto de Autoridades de Certificación Subordinadas, entre las que se encuentran las de Ciudadano (AC DNIE 001), incluidas en el DNI electrónico. La primera garantiza la confianza de las segundas, por lo que la instalación de este certificado se hace imprescindible.

    Obtención e instalación del PKCS#11

    Entramos en el portal del DNI electrónico, www.dnielectronico.es, y hacemos clic en enlace "Área de Descargas".

    Hacemos clic en el enlace Sistemas GNU/Linux y Sistemas MacOS.
    Aquí encontrarás un manual, "Documento con recomendaciones de instalación", en que se detalla los pasos necesarios para instalar y configurar en entornos UNIX.

  • ACCESO CON DNI ELECTRÓNICO EN ING

    Como cliente tienes la opción de utilizar el certificado digital del DNI electrónico como método de autenticación y acceso a nuestra Web.

    Cuando accedes a la página Web de ING, ing.es, en el "Acceso a clientes" se ha incluido un enlace para el acceso con DNI electrónico, por tanto, tendrás la opción de acceder mediante el sistema utilizado hasta ahora (introducir tu número de documento, fecha de nacimiento y clave de seguridad) o mediante el uso del Certificado de Autenticación de tu DNI electrónico (cumpliendo los requisitos descritos en el apartado anterior). Recuerda que este es un sistema alternativo a la identificación con clave de seguridad. En todo momento decides qué sistema utilizar.

    Para acceder con DNI electrónico, introduces tu DNI electrónico en el lector y a continuación pulsas en "Entrar con DNI electrónico".

    Después de algunos segundos, aparecerá la siguiente ventana emergente en la que deberás introducir el PIN/contraseña de tu DNI electrónico, de esta manera, se tiene acceso a los certificados electrónicos contenidos en el chip de tu tarjeta.

    Posteriormente, y una vez que se ha accedido a los certificados, volverá a aparecerle la misma ventana emergente en la que se te solicita nuevamente el PIN de tu DNI electrónico, de esta forma podremos garantizar tu identidad.

    De esta manera se completa el proceso de identificación y podrás acceder al área de clientes.

  • FIRMA DE TRANSACCIONES CON DNI ELECTRÓNICO

    Como cliente tienes la opción de utilizar el certificado digital de firma del DNI electrónico para operar por Internet.

    Cuando confirmes una operación, tienes la posibilidad de validarla con tu PIN o tarjeta de coordenadas ( este último en caso de ser cliente de cuenta Nómina) o con el Certificado de Firma Digital de su DNIe. Por tanto, en todo momento, decides que sistema utilizar.

    Para realizar operaciones con DNI electrónico, introduce tu DNI electrónico en el lector y a continuación pulsa la opción "Con tu DNI electrónico..."

    Después de algunos segundos, aparecerá la siguiente ventana emergente en la que deberás introducir la clave de firma de tu DNIe (PIN de su DNI electrónico).

    Una vez introducida la clave de firma de tu DNIe, pulsa aceptar (dentro de la ventana emergente) y a continuación, pulsa en “Realizar operación”.

  • RECOMENDACIONES

    Una vez que hayas accedido al área de clientes o hayas realizado una operación, es recomendable no mantener tu DNI electrónico insertado en el lector.

    IMPORTANTE:

    Clave de acceso personal PIN

    Al entregarte el nuevo DNI, cada titular obtendrá una clave personal de acceso (PIN), similar a las de las tarjetas de crédito, necesaria para el uso de los certificados electrónicos incluidos en tu DNIe. El PIN garantiza la confidencialidad de la información contenida en el chip del documento. El titular del DNI podrá cambiar su PIN en cualquier momento y cuantas veces lo desee, ya sea a través de INTERNET (en la dirección www.dnielectronico.es) o en las Oficinas de Expedición del DNI. El PIN debe tener un mínimo de ocho y un máximo de dieciséis caracteres (letras, números o símbolos). Al activar su firma electrónica, recibirás un sobre con tu clave personal (PIN) y una serie de consejos sobre la misma que les recomendamos tengan en cuenta. Ante cualquier duda, puedes llamar al Centro de Atención al Ciudadano 900 364 463, o visitar la Web www.dnielectronico.es

  • Descubre nuestro programa de Responsible Disclosure

    Como banco directo, la seguridad en Internet es una cuestión fundamental para todos los que formamos parte de ING. Por eso, nuestros especialistas trabajan cada día para mejorar la seguridad de nuestra plataforma online.

    Para contribuir a este objetivo hemos creado el programa de Responsible Disclosure. Una iniciativa que facilita el diálogo entre empresa e investigadores de seguridad, mediante la que pueden identificar y notificar de forma responsable posibles fallos relacionados con la seguridad de nuestro sitio web o software.

    Esta identificación se realiza de acuerdo a una política establecida previamente, en la que se determinan las reglas y el alcance de la colaboración entre ambas partes.
  • ¿Has descubierto algún tipo de vulnerabilidad en nuestros sistemas?

    Si tienes conocimientos avanzados en seguridad informática y has descubierto algún tipo de vulnerabilidad en nuestros sistemas, te agradeceríamos que nos ayudes  a mejorar nuestra seguridad reportando esta vulnerabilidad cuanto antes.
  • ¿Qué puedes reportar?

    Aceptamos todo tipo de vulnerabilidades que puedan suponer un riesgo para cualquiera de nuestros sistemas. Algunos ejemplos de estas vulnerabilidades son:
    • Ejecución remota de código
    • Cross site scripting (XSS)
    • SQL Injection
    • Cross-Site Request Forgery (CSRF)
    • Vulnerabilidades en el cifrado
    • Autenticación bypass, acceso a datos no autorizados
  • Evitar reportar

    • Las vulnerabilidades sin un informe de pruebas describiendo debidamente las evidencias encontradas y su posible explotación.
    • Vulnerabilidades encontradas en sitios de organizaciones que ya no formen parte de ING (unidades antiguas de negocio).
    • Nuestras políticas sobre le presencia o ausencia de registros SPF/DKIM/DMARC.
    • Vulnerabilidades de tipo Cross Site Request Forgery (CSRF) en páginas estáticas.
    • Redirección HTTP a HTTPS.
    • HTML no especifica el charset.
    • HTML usa charset no reconocidos.
    • Cookies sin el flag HttpOnly activado.
    • No utilización de HTTP Strict Transport Security (HSTS).
    • Clickjacking o la no existencia de X-Frame-Options en páginas de inicio de sesión.
    • Respuestas HTTPS cacheables en sitios que no disponen de capacidad para realizar transacciones financieras.
    • Enumeración de usuarios en sitios que no realizan transacciones financieras.
    • Servidores o versiones de aplicaciones de terceros anticuadas sin informes de pruebas que puedan evidenciar su posible explotación.
    • Reportes de cifrados SSL/TLS inseguros y otras configuraciones erróneas.
    • Vulnerabilidades genéricas relacionadas con software o protocolos que no dependen directamente de ING.
    • Ataques distribuidos de denegación de servicio (DDOS).
    • Spam o técnicas de ingeniería social.
    • Informes de escaneos periódicos, como los de analizadores de puertos.
  • ¿Cómo puedes reportarnos una vulnerabilidad?

    Para reportar una vulnerabilidad, tan solo debes enviarnos un e-mail a responsible-disclosure@ingdirect.es. Te agradeceremos que tu email esté escrito de una manera clara y concisa, ya que nos permitirá actuar de forma más inmediata. Aceptamos reportes tanto en español como en inglés.

    Aunque hay muchas formas de reportar una vulnerabilidad, existen unas directrices mínimas que nos ayudarán a comprender rápidamente tu reporte. Por eso, siempre que sea posible, nos gustaría que nos indicaras lo siguiente:
    • URL completa donde has encontrado la vulnerabilidad.
    • Objetos involucrados en el hallazgo (por ejemplo, nombre de variables, filtros, etc).
    • Pasos a seguir para reproducir la vulnerabilidad. Este punto es muy importante ya que gracias a él, seremos capaces de entender y validar tu trabajo.
    • Las capturas de pantalla son siempre bienvenidas.
    Aunque muchos de vosotros acostumbráis a enviar un video en el que se reproduce la vulnerabilidad, os pedimos que siempre que sea posible evitéis este medio como forma de reporte. El motivo es sencillo: ralentiza la gestión de una posible incidencia, tanto en el origen (gasto de tiempo empleado en la realización y edición del mismo) como en el destino (la capacidad de extracción de datos en este tipo de medios es limitada).
  • ¿Qué haremos con el reporte que realices?

    Uno de nuestros equipos de expertos en seguridad analizará tu descubrimiento y, en un plazo máximo de 2 días, recibirás un email con nuestra respuesta.

    Nuestros expertos iniciarán entonces el estudio de tu reporte, un proceso del que te mantendremos informado en todo momento. Recuerda que, para cumplir con los requisitos de Responsible Disclosure, no está permitido revelar públicamente tu descubrimiento.
  • ¿Qué cuestiones no serán atendidas en responsible-disclosure@ingdirect.es?

    El canal de contacto de Responsible Disclosure ha sido creado para recoger, de forma específica, todas aquellas incidencias relativas a la seguridad de nuestra plataforma. Por lo tanto, desde este buzón no atenderemos a otro tipo de cuestiones:
    • Quejas sobre servicios o productos de ING.
    • Preguntas sobre la disponibilidad de los sitios web de ING, tanto en canal móvil como en el tradicional.
    • Reportes de problemas relativos a cajeros.
    • Reportes sobre fraude o posible fraude.
    • Reportes sobre campañas de phishing.
    • Reportes sobre posibles virus o malware con referencia a nuestros sitios web.
  • ¿Recibiré una recompensa tras reportar una vulnerabilidad?

    En ING valoramos tu ayuda y compromiso. Por eso, si la vulnerabilidad que reportas es replicable por nuestro equipo siguiendo los pasos indicados, supone un riesgo para la compañía e implica un cambio en nuestros sistemas, recibirás una recompensa. La cuantía de la recompensa variará en función de la gravedad de la vulnerabilidad reportada, el tipo de página web (web estática o banca online) y la calidad del reporte recibido. Si la vulnerabilidad reportada supone un gran riesgo para la seguridad y continuidad del banco, la rescompensa será considerablemente alta. Una vez confirmemos la veracidad de la información que nos has proporcionado, contactaremos contigo vía email para hacértela llegar.
  • ¿Puedo reportar una vulnerabilidad de forma anónima?

    Por supuesto. No estás obligado a darnos tus datos de contacto para reportar una vulnerabilidad. Sin embargo, ten en cuenta que en este caso no podremos hacerte llegar ningún tipo de respuesta sobre los próximos pasos a seguir, o acerca de si tu reporte es elegible o no para recibir una recompensa.
  • Política de privacidad

    Tus datos de contacto nunca serán usados con otro fin diferente que actuar sobre el reporte que nos has hecho llegar. Por eso, a menos que nos veamos obligados por ley, no los compartiremos con terceros sin tu permiso.
  • Las reglas del Responsible Disclosure

    Durante la investigación de una vulnerabilidad, es posible que tengas que realizar determinadas acciones punibles por la legislación española. Sin embargo, si estos actos son realizados sin ánimo de perjudicar a la entidad, de forma cuidadosa y de acuerdo a las normas establecidas, no existe obligación de reportarlos a las autoridades.

    En todo caso, te recomendamos que tengas en cuenta estas reglas:
    • No se debe causar ningún daño a nuestros sistemas mientras se investiga una vulnerabilidad.
    • No está permitido el uso de ingeniería social para ganar acceso a un sistema.
    • En ningún momento se procederá a la interrupción parcial o total de ninguno de nuestros sistemas.
    • No revelar, en ningún momento de la investigación, datos de los clientes o del propio banco a un tercero.
    • No se dejará ninguna puerta trasera en ninguno de los sistemas.
    • No se realizarán cambios o borrará información de los sistemas. Si para la búsqueda de evidencias es necesario extraer algún dato del sistema, no copiar más de los necesarios. Si con un registro es suficiente, no copiar más.
    • No deberá realizarse ningún cambio en los sistemas comprometidos.
    • No intente llegar en los sistemas más lejos de lo necesario para el propósito de la investigación. En caso de que haya logrado acceder con éxito en los sistemas, no lo comparta con otras personas.
    • No podrá utilizarse ninguna técnica de fuerza bruta (por ejemplo, introducir repentinamente su contraseña) para obtener acceso a los sistemas.
    • No podrá utilizarse ninguna técnica que pueda afectar a la disponibilidad de nuestros servicios.
    • Si las vulnerabilidades reportadas han sido corregidas o han dado lugar a cambios en nuestros servicios, podría ser recompensado.
    • Vulnerabilidades detectadas por empleados o exempleados de ING son excluidas de cualquier tipo de recompensa.
    • Varios reportes para un mismo tipo de vulnerabilidad con unas mínimas diferencias, serán tratadas como un único reporte (solamente uno será recompensado)
  • Otras condiciones

    • Solo procesaremos vulnerabilidades reportadas en inglés o en español.
    • Ten en cuenta que, en caso de recibir una recompensa, requeriremos tus datos personales para poder hacer su entrega.
    • Si la vulnerabilidad que encontraste es reportada por otros usuarios, la recompensa será concedida únicamente a la persona que realizó el primer reporte.
  • Regulación del Responsible Disclosure

    Si deseas una mayor información acerca de Seguridad IT, el Instituto Nacional de Seguridad (INCIBE) ha creado numerosas guías técnicas que puedes consultar en https://www.incibe.es/
  • Regulación internacional

    Queremos advertirte de que la regulación sobre Responsable Disclosure es diferente en cada país. Por eso, si resides fuera de España y has encontrado vulnerabilidades en uno de nuestros sistemas, debes tener en cuenta que nuestra política no es aplicable en todos los países.

    Esto significa que, a pesar de haber actuado de acuerdo a la política de ING España, podría ser procesado por la justicia de ese país.
  • For English version, click here.
  • Descubre las medidas de seguridad que protegen todas tus transacciones