Polityka prywatności aplikacji mobilnych

mBank S.A. dokłada szczególnej staranności w zakresie ochrony prywatności zarówno obecnych, jak i potencjalnych Klientów korzystających z bankowych aplikacji mobilnych

Niniejszy dokument opisuje politykę prywatności aplikacji mobilnych mBanku S.A. z siedzibą w Warszawie (dalej „Bank”).

 

Poznaj definicje słów, których często używamy w tym materiale:



Nasze aplikacje mobilne:    

  • na urządzenia z systemem operacyjnym iOS
  • na urządzenia z systemem operacyjnym Android
  • na urządzenia z systemem operacyjnym Android i usługami HMS (Huawei Mobile Services)

Ustawienia systemowe

Indywidualna konfiguracja urządzenia mobilnego i wykorzystywanych aplikacji mobilnych zainstalowanych na urządzeniu mobilnym użytkownika.

Token JWT 

JSON Web Token to standard, który definiuje sposób wymiany danych między stronami w bezpieczny sposób poprzez obiekt JSON  

 

I. Co przechowujemy na urządzeniach mobilnych?

 

  1. W naszych aplikacjach przechowywane są następujące identyfikatory:

1.1. zaszyfrowany unikalny identyfikator naszej aplikacji (parametr jest tworzony w procesie rejestracji naszej aplikacji po stronie Banku) - przechowywany na urządzeniu mobilnym do momentu usunięcia naszej aplikacji z niego.

1.2. identyfikator UUID wraz z tokenem JWT pozwalającym na śledzenie zdarzeń wykonywanych w naszych aplikacjach - przechowywany na urządzeniu mobilnym do momentu usunięcia naszej aplikacji z urządzenia mobilnego.

  1. identyfikatory naszych aplikacji, o których mowa w punktach 1.1. i 1.2. oraz informacje o marce, modelu i identyfikatorze sprzętowym urządzenia mobilnego są wysyłane do Banku w procesie rejestracji urządzenia w naszej aplikacji oraz są wykorzystywane w celu jednoznacznego zidentyfikowania naszej aplikacji, urządzenia mobilnego oraz użytkownika.

 

 

II. Czy komunikacja aplikacji z mBankiem jest bezpieczna?

 

  1. Komunikacja między naszymi aplikacjami a Bankiem odbywa się z użyciem mechanizmów szyfrujących.
  2. W celu sprostania wymogom bezpieczeństwa wynikającym z PSD2 (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego, zmieniająca dyrektywy 2002/65/WE, 2009/110/WE, 2013/36/UE i rozporządzenie (UE) nr 1093/2010 oraz uchylająca dyrektywę 2007/64/WEoraz związane z nią akty prawne), które związane są z tzw. silnym uwierzytelnianiem, Bank stosuje mechanizmy, które mają na celu zwiększenie bezpieczeństwa klientów korzystających z naszych aplikacji, czyli:
  • sprawdzanie podczas uruchamiania, czy na urządzeniu mobilnym znajduje się złośliwe oprogramowanie. W takiej sytuacji do Banku przesyłana jest informacja o wykryciu złośliwego oprogramowania na urządzeniu mobilnym (ale do Banku nie jest przesyłana informacja o nazwie oprogramowania, które spowodowało blokadę naszych aplikacji).
  • sprawdzanie, czy na urządzeniu mobilnym przełamano fabryczne ustawienia bezpieczeństwa (tzw. root lub jailbreak). W takiej sytuacji, nasze aplikacje przesyłają do Banku taką informację, którą analizujemy pod kątem bezpieczeństwa transakcji.

 

III. Do jakich zasobów urządzenia mają dostęp nasze aplikacje?

 

Po wyrażeniu zgody użytkownika nasze aplikacje mają dostęp do:

  1. informacji o lokalizacji urządzenia mobilnego, w przypadku wyszukiwania bankomatów, wpłatomatów albo mOkazji,
  2. danych kontaktów, w przypadku wykonywania transakcji Przelew na telefon,
  3. aparatu fotograficznego oraz pamięci w przypadku skanowania kodu QR,
  4. funkcjonalności wykonywania połączeń telefonicznych (na potrzeby połączenia z mLinią).

 

IV. W jaki sposób zablokować dostęp do zasobów urządzenia dla naszych aplikacji?

 

W zależności od wersji aplikacji mobilnej, uprawnienia aplikacji można odwołać przez zmianę ustawień systemowych na danym urządzeniu mobilnym lub poprzez odinstalowanie naszych aplikacji.

 

V. Jakie informacje zbierają nasze aplikacje i za pomocą jakich narzędzi?

  1. Nasze aplikacje korzystają z narzędzi pakietu Firebase firmy Google, które pozyskują anonimowe informacje, takie jak:
  • system operacyjny urządzenia mobilnego,
  • typ urządzenia mobilnego,
  • wersja naszej aplikacji mobilnej,
  • wykorzystywany język na urządzeniu mobilnym,
  • kliknięcia w elementy naszej aplikacji mobilnej,
  • wyświetlenia ekranów aplikacji mobilnej,
  • przybliżona lokalizacja urządzenia mobilnego,

które Bank wykorzystuje do usprawniania, diagnostyki błędów i optymalizowania funkcjonowania naszych aplikacji.

  1. Nasze aplikacje z usługami Google korzystają z narzędzia Synerise firmy Synerie S.A. Narzędzie zainstalowane jest w modelu On Premise (na serwerach Banku) zapewniając tym samym bezpieczeństwo zbieranych danych. Za pomocą tego rozwiązania Bank jest w stanie dostosować oferty marketingowy w obrębie naszych aplikacji do konkretnego odbiorcy. Dane takie jak:
  • system operacyjny urządzenia mobilnego,
  • typ urządzenia mobilnego,
  • wersja aplikacji mobilnej,
  • wykorzystywany język na urządzeniu mobilnym,
  • kliknięcia w elementy aplikacji mobilnej,
  • wyświetlenia ekranów aplikacji mobilnej,
  • lokalizacja urządzenia mobilnego,

pozyskiwane dzięki temu narzędziu mogą być łączone z innymi danymi użytkownika naszych aplikacji w zależności od wykorzystywanych przez niego kanałów digital (strona informacyjna www.mbank.pl, system wnioskowy form.mbank.pl oraz serwis transakcyjny online.mbank.pl).

 

VI. Nie zgadzam się z polityką prywatności aplikacji mobilnych, co mogę zrobić? 

 

W przypadku braku zgody na niniejszą politykę prywatności nie instaluj naszej aplikacji lub ją odinstaluj.

Zachęcamy także, abyś odwiedził www.mbank.pl/rodo , gdzie w przystępny sposób opisaliśmy, jak przetwarzamy dane oraz jakie masz prawa.