Credenciais de segurança na CGD
Autenticação e identificação
A validação da identidade nos serviços de homebanking é feita com base em diferentes credenciais:
- Número de contrato e código de acesso para Particulares e
código da empresa, código de utilizador e código de acesso para Empresas: dados do conhecimento exclusivo do cliente e que são solicitados no acesso ao Internet Banking;
- Matriz: elemento físico que se encontra na posse do cliente e que é solicitado aquando da realização de algumas operações;
- SMS Token: código numérico remetido por sms e que funciona como credencial de segurança complementar aos processos de autenticação e confirmação em determinadas operações;
- Hard Token: dispositivo que gera um código numérico para validação de operações e que é solicitado aquando da execução de operações de montante mais elevado.
Exemplo para Particulares:

Exemplo para Empresas:

Só depois de introduzir corretamente estes códigos, pessoais e intransmissíveis, é que o cliente pode ter acesso a consultas ou movimentação das suas contas da Caixa.
Para realizar determinadas operações, nomeadamente transferências e pagamentos, os serviços de homebanking da Caixa solicitam ao cliente a introdução de 3 dígitos aleatórios da matriz associada ao contrato, e/ou o código remetido por sms (SMS Token) e/ou o código gerado pelo Hard Token (no caso das Empresas).
Teclado virtual
A introdução do código de acesso pode ser realizada através de um teclado virtual de geração aleatória ou do teclado do seu dispositivo.
Ao introduzir três vezes consecutivas o seu número de contrato e o seu código de acesso de forma incorreta, o seu contrato será bloqueado.
Matriz
A matriz é uma credencial adicional de confirmação de operações que reforça a segurança dos serviços de homebanking da Caixa:
- É um suporte físico de dados confidenciais na posse exclusiva do cliente;
- Não tem inscrito nenhum dado pessoal ou qualquer outro elemento que permita a terceiros a associação ao seu contrato;
- Cada matriz dispõe de uma combinação única de números obtidos de forma aleatória e só pode ser utilizado para o contrato a que estiver associado;
- A matriz permite validar as operações realizadas nos serviços de homebanking através de um fator dinâmico (dígitos selecionados aleatoriamente).

Nota: A Caixa pede apenas 3 dígitos da sua matriz e exclusivamente para validação de operações.
Quando é que é necessária a matriz?
A matriz é necessária para realizar determinadas operações como transferências e pagamentos nos serviços de homebanking. Ser-lhe-ão solicitados 3 dígitos aleatórios da matriz em operações de montante diário acumulado:
Particulares:
- igual ou inferior a 500€;
- superior a 500€, junto com o SMS Token.
No caso dos pagamentos de impostos, com referência de 15 algarismos, não é solicitada a matriz para montantes iguais ou inferiores a 500€.
Empresas:
- igual ou inferior a 2.500€;
- superior a 50.000€ e inferior ou igual a 500.000€, junto com o SMS Token.
Para o somatório do montante diário acumulado, contribuem as várias operações efetuadas, num mesmo dia, em sessões diferentes independentemente do acesso (pela internet ou telefone).
Como solicitar a matriz?
Deve dirigir-se a um Caixautomática e solicite uma nova matriz em Outras Operações. Após a emissão, ative a matriz:
- no homebanking (via browser da internet) na opção de personalização
- através de um Assistente do Caixadirecta, pelos telefones 707 24 24 24, 91 405 24 24, 93 200 24 24, 96 200 24 24 e 21 790 07 90 ou para 707 24 24 77 (para Empresas).
Cuidados a ter na proteção e preservação da matriz
Para proteção e preservação da matriz deverá ter o mesmo tipo de cuidados que tem com os seus cartões de débito e crédito e com outras credenciais de segurança (PIN, códigos de acesso, etc.). Deve ter especial atenção para as seguintes medidas de segurança:
- Não guardar informação da matriz em suporte digital;
- Não fazer cópias da matriz ou dos números nelas constantes;
- Nunca introduzir o conteúdo completo da matriz em sites da internet, emails ou qualquer outro suporte;
- Manter a matriz sempre na sua posse e não a partilhar com ninguém;
- Preservar a confidencialidade dos números contidos na matriz;
- Não fazer anotações na matriz, em particular informação associável ao contrato de homebanking, (ex: código de acesso, número de contrato), à conta ou qualquer tipo de dado pessoal.
A perda ou o furto da matriz deverá ser comunicada imediatamente à Caixa (numa Agência da Caixa ou através do telefone 707 24 24 24) para se proceder ao seu cancelamento, de modo a evitar uma eventual utilização abusiva por terceiros. Poderá de seguida solicitar uma nova matriz em qualquer Caixautomática.
SMS Token
O SMS Token é uma credencial de segurança que complementa os atuais processos de autenticação e confirmação de operações no Caixadirecta.
Alguns exemplos de situações em que o SMS Token é utilizado no Caixadirecta:
- Efetuar uma transferência nacional cujo montante diário acumulado seja superior a € 500 no Caixadirecta ou € 2.500 no Caixadirecta Empresas;
- Efetuar um pagamento de serviços superior a € 150 ou pagamento de telemóvel com montante superior a € 50 para particulares;
- Efetuar uma transferência internacional;
- Ativar o SMS Token;
- Subscrever o MB NET;
- Certificar um Beneficiário de Confiança.
Sempre que solicitar uma operação nas condições anteriores será enviado para o seu telemóvel uma mensagem com:
- Os
dados da operação (que deverá verificar se estão corretos);
- Um
código numérico que deverá inserir no quando solicitado no decorrer da operação. A utilização deste código pressupõe a validação da operação indicada conforme consta da mensagem enviada pela Caixa.
Cada código só pode ser utilizado uma vez e tem uma validade de 60 segundos. Ao fim deste tempo terá de solicitar novo código para confirmar a operação.

Como aderir ao SMS Token?
Deve associar o seu número de telemóvel ao seu contrato de homebanking para particulares e/ou empresas.
Se o número de telemóvel a utilizar para o SMS Token for o registado aquando da adesão ao contrato de internet banking, deve ativar de imediato nos serviços de homebanking para particulares e/ou empresas:
- em gerir credenciais na opção de Personalização
- através de um Assistente do Caixadirecta, pelos telefones 707 24 24 24, 91 405 24 24, 93 200 24 24, 96 200 24 24 ou 21 790 07 90 (para Particulares) ou para 707 24 24 77 (para Empresas).
Se desejar ativar um número de telemóvel diferente dos que tem registados como contactos, então o SMS Token apenas ficará ativo após receção da proposta que é enviada para a sua morada.
A qualquer momento poderá alterar o telemóvel associado ao contrato. Nos serviços de homebanking para particulares ou empresas, em gerir credenciais na opção de Personalização. Após o registo do seu pedido, será enviada para a sua morada uma proposta que deve assinar e devolver à Caixa através do envelope RSF. Após a receção da proposta é efetuada a ativação do novo contacto associado ao SMS Token.
Cuidados a ter nas operações com SMS Token
- Por razões de segurança, antes de inserir o código que recebeu no seu telemóvel, deve sempre conferir que os dados da operação recebidos por sms estão corretos.
- Caso detete alguma anomalia, não deve confirmar a operação nem prosseguir com a utilização dos serviços internet banking para particulares e/ou empresas. Se suspeitar de fraude ou em caso de perda ou furto de credenciais deve contactar-nos de imediato pelos telefones 707 24 24 24, 91 405 24 24, 93 200 24 24 ou 96 200 24 24 ou 21 790 07 90 (para Particulares) ou para 707 24 24 77 (para Empresas).
- Para evitar possíveis erros e salvaguardar a confidencialidade das suas operações, sugere-se a eliminação das mensagens logo que deixem de ser utilizadas.
Hard Token
O Hard Token é uma credencial adicional de validação de operações no homebanking para empresas. Trata-se de um dispositivo físico que gera um código de validação para a autenticação das transferências de montantes elevados.
A utilização desta credencial será solicitada em conjunto com o SMS Token sempre que o montante diário acumulado utilizado pela empresa ultrapasse a quantia de 500.000 euros.
O dispositivo Hard Token deve ser utilizado apenas quando for solicitado pelo homebanking para empresas. O código gerado pelo dispositivo é válido apenas para uma única utilização, sendo que o dispositivo se desliga automaticamente passado 30 segundos.
Caso seja obtida mensagem de autenticação inválida aquando da utilização do Hard Token sem motivo aparente, o dispositivo pode estar dessincronizado. Esta situação pode ocorrer caso o Hard Token não seja utilizado durante algum tempo, ou se forem gerados códigos consecutivos que não são utilizados. Para sincronizar o seu Hard Token, contacte a sua Agência ou Gestor Caixa Empresas.
No caso de bloqueio do utilizador, na sequência da introdução incorreta do código de validação três vezes consecutivas, será necessário efetuar novo registo com escolha do código de acesso, à semelhança do que ocorre nas situações do bloqueio da Matriz ou do SMS Token.
Em caso de perda ou furto do Hard Token, ou desistência, deve ser efetuado o cancelamento do dispositivo diretamente no homebanking:
- em gerir credenciais na opção de Personalização e selecionar o ícone de Cancelamento do Hard Token;
- ou contactar pelo telefone 707 24 24 77 ou 707 24 24 24, 91 405 24 24, 93 200 24 24 ou 96 200 24 24.
O cancelamento do dispositivo é imediato e irreversível, não podendo ser mais utilizado pelo autorizado.
Outros mecanismos de segurança
Data/hora do último acesso
Ao aceder ao Caixadirecta pela Internet, o cliente é informado, na página de entrada, da data/hora da sua última visita.

Desta forma, poderá detetar alguma irregularidade ou uso indevido do seu n.º de contrato e código de acesso.
Logout automático
Se o cliente deixar de utilizar o serviço por mais de 10 minutos (personalizável), a sessão será automaticamente interrompida (logout) pelo sistema.
Caso pretenda recuperar o acesso ao serviço, deve introduzir de novo o seu n.º de contrato e o código de acesso.
Este mecanismo confere um grau adicional de segurança ao serviço, uma vez que minimiza o risco de uma sessão ficar aberta por esquecimento de logout.
Certificados digitais
Ao aceder aos serviços de homebanking pela Internet, o cliente pode assegurar-se de que está a executar operações com a CGD verificando o certificado digital do site.

Um certificado digital é uma declaração eletrónica, emitida por uma autoridade certificadora, entidade independente e de confiança, construída segundo um formato muito específico e que funciona como um
bilhete de identidade eletrónico, permitindo ao cliente verificar que o site é seguro e genuíno.
Esta declaração contém três elementos que permitem verificar que o certificado é verdadeiro:
- informação sobre o site a certificar (nome do site, número de série, data de expiração);
- informação sobre a chave pública do site a certificar. A chave pública dos Serviços de homebanking da Caixa uma chave RSA;
- assinatura digital da autoridade emissora do certificado.
A utilização de certificado digital é indicada pelo cadeado fechado apresentado, na maioria dos browsers, junto à barra de endereços.
Encriptação da comunicações
Por forma a aumentar o grau de segurança e confidencialidade das operações realizadas na Internet, a comunicação com os serviços de homebanking usa as mais recentes tecnologias de encriptação.
As comunicações são protegidas recorrendo à utilização do protocolo SSL com chaves de encriptação de 128 bits, o que significa que a informação que circula entre o computador do cliente e os serviços de Internet Banking é transmitida de forma ilegível, segura e confidencial.
Exemplo

A utilização de encriptação com SSL é indicada por um URL que começa por
https://.
Cookies
Os cookies são uma pequena porção de informação que um Web site escreve no disco duro do computador do cliente e que pode recuperar posteriormente. Podem ter várias funções, podendo armazenar as preferências do utilizador para certos tipos de informação ou gravar informação relativa à sua visita ao Web site.
A utilização de cookies não representa necessariamente uma invasão de privacidade e pode ser usada para personalizar ou manter parâmetros de sessão com um Web site.
A maioria dos browsers aceita automaticamente cookies, mas podem ser configurados de forma a inibir essa função. No entanto, sem cookies, alguns Web sites podem não funcionar corretamente.
O cliente não pode aceder ao Caixadirecta via www.cgd.pt ou m.cgd.pt se o seu browser não aceitar cookies.
As cookies de sessão são utilizadas para prevenir acessos não autorizados às contas online. Conjuntamente com a aplicação, estas cookies asseguram que uma vez terminada a sessão do cliente, esta não pode ser reativada sem que um novo processo de autenticação ocorra.
Controlo de tráfego
Os serviços de homebanking da Caixa estão protegidos por um sistema de controlo de tráfego, de modo a impedir acessos não autorizados e a salvaguardar a informação que reside na Caixa Geral de Depósitos.
A função deste sistema é restringir o acesso, permitindo apenas comunicações que utilizem os protocolos definidos pelos serviços de homebanking da Caixa.
Monitorização e controlo
Os serviços de homebanking da Caixa dispõem de sistemas de monitorização permanente que previnem e detetam tentativas de fraude.
A utilização destes sistemas de verificação e prevenção de fraudes permite identificar atividades online suspeitas, ajudando-nos a proteger online as contas dos clientes..