(Nie)bezpieczni ubezpieczyciele (Certyfikaty SSL na stronach polskich ubezpieczycieli) 1 Opracowanie jest przeznaczone dla adresata i nie może być redystrybuowane lub rozpowszechniane ani w całości, ani w części jakąkolwiek metodą bez zgody wydawcy. Wydawca: Ogma Sp. z o.o. sprzedaż: raport_ssl@ogma.pl
SPIS TREŚCI 2 Zastrzeżenie... 4 Skrót menedżerski... 5 Elementarne informacje o certyfikatach... 5 Niesatysfakcjonujące podejście ubezpieczycieli... 6 Najpoważniejsze błędy ubezpieczycieli... 6 Tło błędów ubezpieczycieli... 6 Metodologia badania... 7 Czas... 7 Zakres... 7 Oceny... 7 Ubezpieczyciele... 8 Bez klasyfikacji... 8 Bardzo dobrze... 8 Dobrze... 8 Dostatecznie... 8 Niedostatecznie... 9 Aegon...10 Allianz...13 Atradius...15 Aviva...18 Axa...22 Axa Assistance...25 Balcia...27 BZ WBK Aviva...29 Chubb...31 Coface...33 Colonnade...36 Compensa...39 Compensa Życie...42 Concordia...44 Credit Agricole...46 Cuprum...48 DAS...50 Ergo Hestia...53 Ergo Hestia - MTU...56 Ergo Hestia - MTU24...59 Ergo Hestia - YouCanDrive...62 Euler Hermes...65 Europ Assistance...67 Europa...69 Europejskie...72 Generali...74 Generali - Proama...76 Gothaer...78 Inter...80 InterRisk...82 KUKE...84 Link4...86 Lloyd s...89
3 MACIF...91 Medicum...93 MetLife...95 Mondial Assistance...97 Mondial Assistance - Elvia...99 Nationale-Nederlanden... 101 OpenLife... 104 PKO Ubezpieczenia... 106 Pocztowe... 109 Polski Gaz... 111 Pramerica... 113 Prevoir... 115 Prudential... 117 PTR... 119 PZU... 121 PZUW... 124 Rejent Life... 126 Saltus... 128 Signal-Iduna... 130 TUW... 132 TUZ... 134 Uniqa... 136 Vienna Life... 138 Warta... 140 Warta HDI... 142 Zdrowie... 145 Inne strony... 147 Instytucje... 148 Komisja Nadzoru Finansowego... 148 Urząd Ochrony Konkurencji i Konsumentów... 148 Rzecznik Finansowy... 148 Ubezpieczeniowy Fundusz Gwarancyjny... 149 Polskie Biuro Ubezpieczycieli Komunikacyjnych... 149 UFG & PBUK WYPADEKbezOC.eu... 149 Polska Izba Ubezpieczeń... 150 PIU - BLS... 150 PIU Polisy na zdrowie... 150 PIU - #DziękiUbezpieczeniom... 151 Pośrednicy (wybrani)... 152 ASF... 152 bezpieczny.pl... 152 mfind... 152 Rankomat.pl... 153 Podsumowanie i ocena... 154
ZASTRZEŻENIE Niniejsze opracowanie pokazuje strony ubezpieczycieli i zabezpieczenia stron ubezpieczycieli jedynie z punktu widzenia ZWYKŁEGO KLIENTA, choć pewnie klienta rozsądnie uważnego i świadomego zagrożeń w sieci. Opisujemy jego perspektywę i to, co taki klient może na stronach ubezpieczycieli zobaczyć wręcz na pierwszy rzut oka czy strona ubezpieczyciela ma certyfikat SSL, jaki i... co się z tym certyfikatem dzieje, kiedy klient zaczyna się poruszać na stronie. To bardzo ważny element BEZPIECZEŃSTWA, bo w praktyce wiele ataków skierowanych jest nie bezpośrednio na samą instytucję finansową, ale właśnie na jej klienta. Tym samym jednak raport NIE UWZGLĘDNIA w ogóle całej strony technicznej, która musi być brana pod uwagę przy całościowej ocenie bezpieczeństwa stron ubezpieczycieli. W szczególności nie uwzględnia zabezpieczeń infrastruktury IT ubezpieczyciela, czy podatności standardowo badanych w czasie tzw. testów penetracyjnych. 4
METODOLOGIA BADANIA CZAS Sprawdzenie stron internetowych ubezpieczycieli przeprowadzono w okresie 6-17 sierpnia 2018 roku ZAKRES Do oceny klasyfikowane były wszystkie (znalezione) strony internetowe działających w Polsce ubezpieczycieli niezależnie od formy prawnej prowadzonej działalności. Odrębnie klasyfikowano również strony marek handlowych (np. HDI, MTU, Proama), jeśli w komunikacji z klientem marka posługuje się odrębną stroną internetową. Strony direct posługujące się odrębną domeną (tj. przykładowo directmarka.pl) klasyfikowano jednak w ramach marki głównej, jeśli były z portalu marki głównej wyraźnie dostępne. OCENY Dla stron informacyjnych ubezpieczycieli przyjmowano: certyfikat imienny SSL - bardzo dobrze certyfikat SSL - dobrze strona niezabezpieczona - niedostatecznie Dla direct i stref klienta stosowane były ostrzejsze kryteria: certyfikat imienny SSL - bardzo dobrze certyfikat SSL - dostatecznie strona niezabezpieczona - niedostatecznie Oceny były obniżane w przypadku niebezpiecznych zachowań. Do mniejszych błędów zaliczano drobniejsze uchybienia, np. brak wymuszenia SSL. W takich przypadkach przyjmowano ocenę dostatecznie. Przy zachowaniach mogących istotnie wprowadzić klientów w błąd, np. przy przekierowaniach na inne domeny, przyjmowano ocenę niedostatecznie. Wyjątkiem były przekierowania, gdzie i strona przekierowująca, i docelowa posługiwały się imiennym certyfikatem, który potwierdzał, że klient pozostaje na stronach wybranego ubezpieczyciela. Również wszelkie błędy w certyfikatach, certyfikaty wystawione na inne podmioty niż główna spółka ubezpieczyciela lub utrata certyfikatu dla części strony traktowane były jako szczególnie mylące i niebezpieczne, co w rezultacie skutkowało oceną niedostateczną. 7 Za stronę direct uznawaliśmy wszystkie strony, gdzie odbywała się sprzedaż umów ubezpieczenia. Za strefę klienta uznawaliśmy wszelkie strony, gdzie klient miał podawać dane do logowania, numery umów ubezpieczenia, dane do zawarcia umów ubezpieczenia (bez ich zawierania on-line), dane osobowe lub jakiekolwiek inne osobiste informacje. Nie były za strefy klienta uznawane strony kontaktowe, gdzie podawano jedynie proste dane: email lub telefon. Nie były za strefy klienta uznawane również strony z formularzami off-line (najczęściej w formacie PDF). Wszelkie istotne elementy oceny wyjaśnione zostały przy poszczególnych ubezpieczycielach. Jako ocenę całej marki przyjmowaliśmy najgorszą z ocen cząstkowych. W komentarzach pozwolono sobie na dodatkowe wyjaśnienia a w szczególnie uzasadnionych przypadkach nawet na pewien sarkazm lub... pochwały. Dodatkowo oznaczaliśmy nie-polską identyfikację serwera strony.
UBEZPIECZYCIELE BEZ KLASYFIKACJI Credit Agricole...46 Lloyd s...89 BARDZO DOBRZE Europa...69 DOBRZE Balcia...27 Chubb...31 Medicum...93 PTR... 119 TUW... 132 DOSTATECZNIE 8 Atradius...15 Axa...22 Concordia...44 Cuprum...48 Europejskie...72 Generali...74 Gothaer...78 InterRisk...82 KUKE...84 Link4...86 MACIF...91 Mondial Assistance - Elvia...99 Pocztowe... 109 Polski Gaz... 111 Pramerica... 113 Prevoir... 115 Prudential... 117 PZUW... 124 Rejent Life... 126 Saltus... 128 Signal-Iduna... 130 TUZ... 134 Uniqa... 136 Zdrowie... 145
NIEDOSTATECZNIE Aegon...10 Allianz...13 Aviva...18 Axa Assistance...25 BZ WBK Aviva...29 Coface...33 Colonnade...36 Compensa...39 Compensa Życie...42 DAS...50 Ergo Hestia...53 Ergo Hestia - MTU...56 Ergo Hestia - MTU24...59 Ergo Hestia - YouCanDrive...62 Euler Hermes...65 Europ Assistance...67 Generali - Proama...76 Inter...80 MetLife...95 Mondial Assistance...97 Nationale Nederlanden... 101 OpenLife... 104 PKO Ubezpieczenia... 106 PZU... 121 Vienna Life... 138 Warta... 140 Warta HDI... 142 9
EUROPA https://tueuropa.pl/ OCENA OGÓLNA BARDZO DOBRZE CERTYFIKATY Strona Direct Strefa klienta imienny imienny imienny UWAGI DODATKOWE 1. Strona główna certyfikat imienny 2. Direct certyfikat imienny 3. Strefa klienta certyfikat imienny KOMENTARZ 1. Bardzo dobrze skonstruowana, funkcjonalna strona 2. Strona główna i direct identyfikowane jako Francja Pomimo wielu wysiłków nie znaleźliśmy błędów DOBRA ROBOTA!!! 69
ZDJĘCIA STRONA GŁOWNA DIRECT OBSŁUGA 70
71
155 Analizy i Raporty: Anna Sitarek, dyrektor zarządzający oraz Marcin Z. Broda (autor niniejszego raportu) Eliza Kosicka Patrycja Sztygowska Sprzedaż: raport_ssl@ogma.pl cena: 8 000 zł + VAT