Wpis z mikrobloga

TLDR;
Proces resetu hasła w GoldmanSachs wymaga wysłania papierowego listu, a to bym mógł odzyskać dostęp do swoich środków PPK

W kwietniu tego roku mój pracodawca wysłał informację, że zmienił się podmiot obsługujący PPK i dalsza komunikacja będzie od nowego, czyli od GoldmanSachs.

Po ok. 2 tygodniach przyszedł (zwykłą pocztą) papierowy list powitalny wraz z loginem i adresem strony do logowania się. Zalogowałem się tworząc hasło i wypełniając kilka innych pól formularza. Sprawdziłem stan konta, zbadałem kilka opcji, wszystko ok wiec wylogowałem się i koniec historii na kolka miesięcy.

Wczoraj podjąłem decyzje o wypłacie środków z PPK. Wchodzę na stronę, 3x podaję źle hasło i pojawia się ostrzeżenie, że konto zostało zablokowane. Myślę spoko, zresetuję hasło, od razu powinienem tak zrobić. Przechodzę do formularza resetu, wprowadzam login, pocztę, telefon, odpowiadam na pytania o wrażliwe dane.

„Jeśli podałeś poprawne dane wyślemy ci link do resetu hasła”

Czekam minutę, dwie, pięć, nic nie przychodzi. Zaraz, na którą skrzynkę? Prywatną? służbową? SMS? Pewnie na tę na którą do tej pory przychodziła komunikacja, wiec przeszukuję możliwe miejsca pod hasłami: ppk, goldman, goldmansachs, gstfi gstfi24 - nic, 0 rezultatów, jedynie na skrzynce służbowej ta początkowa informacja o zmianie podmiotu.

Wypełniam formularz resetu hasła po raz drugi (może gdzieś literówkę zrobiłem) i czekam. Nadal nic nie przychodzi, kończą się pomysły jak jeszcze wyszukać jakikolwiek ślad po tym koncie.

Dzwonię na infolinię i dowiaduje się, że:
- Moje próby resetu hasła się nie udają, gdyż w systemie nie ma danych do porównania moich odpowiedzi na pytania wrażliwe ze wzorcem
- „Muszę” wypełnić formularz uzupełniając wrażliwe dane i o ile nie mam elektronicznego podpisu kwalifikowanego (profil zaufany nie wystarczy), to formularz musi zostać wysłany pocztą papierową do Warszawy, oni w 2 dni zaktualizują dane, a ja będę mógł zresetować hasło.

Pytanie, czy ten proces jest legalny, dostosowany? Bo, że logiczny nie jest to chyba nie trzeba udowadniać.
- początkowy login i adres papierowa poczta mógł przejąć każdy i wypłacić sobie środki jeśli nie było pytań bezpieczeństwa
- Jeśli w początkowej rejestracji były pytania bezpieczeństwa uniemożliwiające osobie postronnej przejęcie konta, dlaczego są one nie wystarczające do resetu hasła
- Jak papierowy list chroni bezpieczeństwa bardziej niż inne środki? Jak weryfikowane jest, że wniosek o aktualizację danych wysłał właściciel, a nie ktokolwiek inny dla własnych nieczystych zamiarów?

Jestem również podejrzliwy w kwestii totalnego braku jakiegokolwiek śladu posiadania konta w serwisie GoldmanSachs.
Gdy było to NN, komunikacja była co jakiś czas, i śladów było mnóstwo i na skrzynce mailowej prywatnej i na SMS, czułem się bezpiecznie. Od GS totalnie zero. Gdybym zmienił pracodawcę, stracił dostęp do skrzynki służbowej z informacja o zmianie podmiotu i utracił papierowy list z loginem od serwisu, prawdodpobnie nawet nie umiałbym ustalić kto dysponuje moimi środkami z PPK, lub byłoby to bardzo utrudnione.

Czy to normalne, legalne czy lekko paranoizuję?

#bezpieczenstwo #finanse #ppk #pytaniedoeksperta #it #korposwiat
  • 3
  • Odpowiedz
  • Otrzymuj powiadomienia
    o nowych komentarzach

@denwood: przed przejęciem przez GS ta sama procedura była w NNTFI. Do wypłaty musisz użyć jeszcze telefonu do autoryzacji więc uzupełnij to teraz
  • Odpowiedz
@denwood: ja też dorzucę kamyczek że jak przenosiłem IKZE już z GS do innego podmiotu to też musiałem wysyłać zwykłym listem formularz na adres agenta transferowego, także nie przejmowałbym się tym zbytnio na twoim miejscu, ot takie praktyki w tym TFI.
  • Odpowiedz