Bezpieczeństwo

Jednym z priorytetów Banku jest wyznaczanie najwyższych standardów bezpieczeństwa. Bezpieczeństwo Klientów w procesie korzystania z produktów Banku i Grupy Kapitałowej Banku obejmuje przede wszystkim bezpieczeństwo środków Klientów, ale także bezpieczeństwo fizyczne Klientów w obiektach Banku. Kwestię bezpieczeństwa określają przepisy wewnętrzne Banku, w tym Polityka Bezpieczeństwa w PKO Banku Polskim S.A. oraz, szczegółowo, przepisy dotyczące konkretnych obszarów bezpieczeństwa: (i) ochrony osób i mienia, (ii) bezpieczeństwa systemu informatycznego, (iii) zarządzania incydentami bezpieczeństwa.
logo
Raport Roczny
2021

Bezpieczeństwo Klientów w procesie korzystania z produktów

Bezpieczeństwo środków Klientów

Działania Banku i pozostałych podmiotów Grupy Kapitałowej Banku na rzecz bezpieczeństwa środków Klientów dotyczą zarówno zapewnienia bezpieczeństwa powierzonych środków, jak też bezpieczeństwa środków inwestowanych za pomocą oferowanych produktów. Inicjatywy w zakresie zapewnienia stabilnej i bezpiecznej infrastruktury pozwoliły osiągnąć bardzo wysokie wskaźniki niezawodności infrastruktury informatycznej.

Bank dokłada wszelkiej staranności, aby jego produkty nie generowały ryzyka utraty środków przez Klientów. Ma to szczególne znaczenie w przypadku produktów inwestycyjnych. Dlatego też Bank w ramach obowiązków nałożonych przez Dyrektywę MiFID, informuje Klientów przed transakcją czy dany produkt jest dla nich odpowiedni.

Podstawowym mechanizmem gwarancji bezpieczeństwa środków Klientów środków jest stabilność wyniku finansowego Banku i pozostałych podmiotów Grupy Kapitałowej Banku. Dodatkowym mechanizmem jest uczestnictwo Banku w obowiązkowym systemie gwarantowania wkładów, który funkcjonuje na podstawie ustawy o Bankowym Funduszu Gwarancyjnym, systemie gwarantowania depozytów oraz przymusowej restrukturyzacji.

Bezpieczeństwo środków Klientów gwarantują także procedury cyberbezpieczeństwa.

Bezpieczeństwo fizyczne Klientów

Bank i pozostałe podmioty Grupy Kapitałowej Banku zapewniają Klientom w swych placówkach najwyższą jakość obsługi bezpośredniej, m.in. dzięki wdrożonym w Banku standardom bezpieczeństwa spełniającym wymagania przepisów prawa i norm. We wszystkich obiektach stosuje się odpowiednie do zidentyfikowanych zagrożeń i ryzyka nowoczesne systemy, urządzenia i rozwiązania techniczne oraz organizacyjne, zapewniające fizyczne bezpieczeństwo Klientów, pracowników, gotówki i depozytów oraz bezpieczeństwo informacji chronionych, w tym tajemnicy bankowej i danych osobowych.

Ochrona obejmuje wszystkie udostępniane Klientom placówki i urządzenia samoobsługowe i ma formę:

  • zabezpieczeń technicznych (budowlanych, mechanicznych i elektronicznych, w tym systemy: sygnalizacji włamania i napadu, telewizji dozorowej i kontroli dostępu),
  • bezpośredniej stałej ochrony fizycznej wybranych obiektów Banku,
  • monitorowania sygnałów alarmowych przez koncesjonowane przedsiębiorstwa ochrony i dojazdu tzw. grup interwencyjnych po odebraniu sygnałów alarmowych.

Ponadto pracownicy wszystkich oddziałów i agencji Banku podlegają szkoleniom z zakresu bezpieczeństwa w formie e-learningu oraz bezpośredniej z ćwiczeniami nt. „Przeciwdziałanie napadom i postępowanie w sytuacjach zagrożenia bezpieczeństwa”. Realizację szkoleń bezpośrednich zawieszono z powodu epidemii, ale po jej ustaniu planuje się wznowienie i sukcesywne szkolenie we wszystkich oddziałach.

Cyberbezpieczeństwo

Bank posiada politykę bezpieczeństwa, która odnosi się również do zasad bezpieczeństwa cyfrowego. Zarząd przyjął tę politykę w 2015 roku. W Banku funkcjonuje Departament Cyberbezpieczeństwa, który zajmuje się:

  • zapewnianiem bezpieczeństwa systemu informatycznego Banku,
  • rozwojem systemów oraz monitorowaniem parametrów cyberbezpieczeństwa i usług krytycznych,
  • zapewnianiem obsługi zdarzeń i incydentów dotyczących cyberbezpieczeństwa, w tym zdarzeń i incydentów w zakresie bankowości elektronicznej.

Za kontrolę aktualnego poziomu bezpieczeństwa infrastruktury odpowiada dyrektor tego departamentu. Podlega mu również Operacyjne Centrum Bezpieczeństwa (SOC – Security Operations Centre). Za realizację polityki cyberbezpieczeństwa i kontrolę cyberbezpieczeństwa odpowiada dyrektor Departamentu Cyberbezpieczeństwa. Nadzór nad realizacją tych funkcji sprawuje wiceprezes Zarządu odpowiedzialny za Obszar Informatyki. Nadzór nad realizacją polityki sprawuje prezes Zarządu. Aby doskonalić metody przeciwdziałania przestępstwom Departament Cyberbezpieczeństwa przygotowuje analizy i przedstawia Zarządowi i Radzie Nadzorczej Banku wnioski i rekomendacje dotyczące wdrożenia lub modyfikacji rozwiązań.

Monitorowaniem i reagowaniem na incydenty zajmuje się w Banku specjalistyczna komórka CERT.

Aby zapewnić bezpieczeństwo informatyczne usług Banku w zakresie reagowania na incydenty wdrożono tryb pracy 24/7/365. CERT PKO Bank Polski S.A. jest członkiem międzynarodowego forum zrzeszającego zespoły reagujące (FIRST) oraz należy do grupy roboczej europejskich zespołów reagujących (TERENA TF-CSIRT) i działającej przy niej organizacji Trusted Introducer.

W 2021 Bank zakończył projekt CyberSecurity Operations Center w ramach którego zoptymalizowano procesy Departamentu Cyberbezpieczeństwa oraz przygotowano strategię świadczenia usług dla spółek Grupy. Ponadto w ramach projektu wdrożono system klasy SOAR umożliwiający automatyzację obsługi incydentów bezpieczeństwa.

Bank systematycznie edukuje pracowników w zakresie bezpieczeństwa środowiska teleinformatycznego oraz bezpieczeństwa informacji przetwarzanych w tym środowisku. Mogą oni korzystać ze szkoleń dotyczących zagrożeń związanych z:

  • korzystaniem z urządzeń mobilnych,
  • korzystaniem z własnego sprzętu informatycznego w celach zawodowych oraz korzystaniem ze sprzętu służbowego w celach prywatnych,
  • publikowaniem przez pracowników informacji dotyczących Banku w Internecie (w szczególności na portalach społecznościowych),
  • atakami socjotechnicznymi.

Jest to pakiet szkoleń obowiązkowych dla każdego nowego pracownika. Bank realizuje szkolenia zgodnie z ustalonym harmonogramem szkoleń i są one obowiązkowe dla wszystkich pracowników. Bank na bieżąco i okresowo monitoruje realizację szkoleń w ramach niezależnego monitorowania mechanizmów kontrolnych.

Zgodnie z polityką Banku zasad cyberbezpieczeństwa muszą przestrzegać nie tylko pracownicy, ale również podmioty zewnętrzne (wykonawcy). Bank określa wymagania bezpieczeństwa dla dostawców usług IT w zakresie ochrony informacji Banku, dostępu do budynków i pomieszczeń Banku, ochrony systemów informatycznych Banku.

Bank na bieżąco identyfikuje zagrożenia dla cyberbezpieczeństwa. Monitoruje źródła informacji, wdraża zabezpieczenia przed potencjalnymi zagrożeniami, tworzy plany reagowania na incydenty oraz symuluje w sposób kontrolowany potencjalne ataki (RedTeam) w celu identyfikacji słabych punktów jeszcze przed ich wykorzystaniem. W Banku funkcjonuje sformalizowany proces weryfikacji bezpieczeństwa i podatności nowych lub modyfikowanych systemów i aplikacji przed dopuszczeniem ich do produkcji. Ten proces Bank realizuje w dwóch wymiarach: jako związany z wdrażaniem i modyfikacją oprogramowania oraz jako proces projektowy. Każdy nowy projekt, w którym zmienia się system kluczowy dla procesów biznesowych, jest poddawany audytowi bezpieczeństwa IT.

Audyt wewnętrzny obejmuje procesy IT minimum raz w cyklu 3-letnim. Wybór procesów IT do audytu wewnętrznego w danym roku zależy m.in. od: wyników przeprowadzonych audytów wewnętrznych, zmian środowiska teleinformatycznego, ryzyk związanych ze zidentyfikowanymi oszustwami wewnętrznymi i zewnętrznymi oraz zmian w przepisach wewnętrznych i zewnętrznych wpływających na funkcjonowanie i działalność operacyjną Banku. Wewnętrzne audyty procesów IT realizuje Zespół Audytu IT i Bezpieczeństwa, zgodnie z ustalonym harmonogramem. Audyty zewnętrzne cyberbezpieczeństwa są zlecane firmom audytowym z którymi Bank ma podpisane umowy ramowe.

Według Banku oraz PKO Towarzystwa Funduszy Inwestycyjnych S.A. najistotniejszym zagrożeniem dla bezpieczeństwa Klientów są potencjalne przestępcze działania osób trzecich, wymierzone w Klientów korzystających z elektronicznych kanałów dostępu do usług bankowych i inwestycyjnych.

Po pierwsze, w Banku stosowane są najnowsze rozwiązania bezpieczeństwa teleinformatycznego gwarantujące Klientom bezpieczny dostęp do swoich środków. Bank stale podnosi jakość zabezpieczenia systemów IT, w szczególności w zakresie aplikacji wykorzystywanych przez Klientów Banku. Dotyczy to m.in. aktywnego zwalczania stron phishingowych podszywających się pod serwisy Banku, identyfikacji zamiarów oraz zdolności przestępców z uwzględnieniem taktyk, technik i procedur (normalizacja i ustrukturyzowanie informacji o zagrożeniach w jednym modelu danych), śledzenia rozwoju złośliwego oprogramowania atakującego Klientów Banku, rozwoju mechanizmów detekcji zainfekowanych komputerów Klientów oraz doskonalenia reguł i rozszerzania zakresu monitoringu transakcji elektronicznych.

Po drugie, Bank przywiązuje bardzo dużą wagę do informowania i podnoszenia świadomości Klientów na temat bezpiecznego korzystania z bankowości elektronicznej i kart płatniczych. Dzieje się tak dlatego, że bezpieczeństwo w tym zakresie uzależnione jest w znacznej mierze od działań użytkownika. Działania edukacyjne Banku to między innymi:

  • masowe kampanie edukacyjne np. poprzez inicjowanie tekstów na temat bezpiecznego korzystania z bankowości elektronicznej (portal edukacyjny)
  • bieżące odpowiedzi na zapytania Klientów (e-mail, media społecznościowe),
  • bieżące przekazywanie mediom stanowiska Banku i materiałów edukacyjnych na temat cyberprzestępstw i zasad bezpieczeństwa,
  • bieżące reagowanie na inne sygnały dotyczące zagrożeń,
  • przekazywanie Klientom informacji nt. cyberbezpieczeństwa poprzez strony internetowe Banku, serwis transakcyjny i mailingi.

W 2021 roku Bank doskonalił systemy wykrywania incydentów, anomalii oraz zaawansowanych typów złośliwego oprogramowania. Automatyzował także wiele działań związanych z obsługą incydentów. Zapewnił aktualność technologiczną rozwiązań do informatyki śledczej zgodnie z aktualnym profilem wymagań.

Dodatkowo przedstawiciele Banku angażują się w prace Bankowego Centrum Cyberbezpieczeństwa (BCC) przy Związku Banków Polskich. Celem BCC są kompleksowe i długofalowe działania na rzecz zwiększenia poziomu bezpieczeństwa bankowości mobilnej i elektronicznej oraz przygotowanie narzędzi (struktury procedury, mechanizmy wymiany informacji) umożliwiających zarządzanie sytuacją kryzysową (np. w przypadku zmasowanego ataku).

Bank nie posiada certyfikacji w zakresie ISO 27001, jednak procesy i przepisy w zakresie cyberbezpieczeństwa tworzy w oparciu o wymagania tej normy. Wysoka dojrzałość organizacyjna w obszarze obsługi incydentów cyberbezpieczeństwa jest szczególnie istotna w świetle decyzji KNF z 2018 roku o uznaniu PKO Banku Polskiego S.A. za operatora usługi kluczowej w rozumieniu ustawy o krajowym systemie cyberbezpieczeństwa.

Ryzyko naruszenia prywatności

PKO Bank Polski S.A. działa zgodnie z powszechnie obowiązującymi przepisami, w tym z:

  • rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwane RODO),
  • ustawą z 10 maja 2018 roku o ochronie danych osobowych,

a także posiada wewnętrzne przepisy o ochronie danych osobowych.

Wspomniane przepisy wewnętrzne dotyczą zasad przetwarzania danych osobowych w Banku, w szczególności sposobu ich przetwarzania oraz środków technicznych i organizacyjnych zapewniających bezpieczeństwo procesu.

Dodatkowo w Banku obowiązują przepisy wewnętrzne dotyczące w szczególności:

  • bezpieczeństwa informacji chronionych,
  • bezpieczeństwa systemu informatycznego,
  • ochrony osób i mienia,
  • zarządzania incydentami bezpieczeństwa, gdzie został określony sposób zarządzania naruszeniami ochrony danych osobowych,
  • prowadzenia postępowań wyjaśniających,
  • opracowywania i wdrażania mechanizmów bezpieczeństwa.

Standardy Bezpieczeństwa w Grupie Kapitałowej Banku adresują następujące zagadnienia: ochrona danych osobowych, zarządzanie ciągłością działania, bezpieczeństwo teleinformatyczne, przeciwdziałanie praniu pieniędzy, zarządzanie incydentami bezpieczeństwa, zasady outsourcingu oraz zasady raportowania stanu bezpieczeństwa.

Bank przetwarza dane osobowe z zachowaniem wymogów powszechnie obowiązującego prawa, w tym zasady zgodności z prawem i przejrzystości danych, zasady ograniczenia celu przetwarzania danych, zasady minimalizacji danych, zachowania prawidłowości i integralności przetwarzanych danych. Aby zrealizować te cele Bank stosuje zarówno regulacje proceduralne, jak i rozwiązania technologiczne. Są one projektowane tak, aby zachować określone w RODO zasady przetwarzania danych osobowych.

Bank powołał Inspektora Ochrony Danych (IOD). Do jego zadań należy nadzór nad prawidłowym przetwarzaniem danych osobowych. Klienci mogą skontaktować się z IOD pisząc do niego na adres Banku lub na e-mail.

Zgodnie obowiązkami wynikającymi z RODO Bank opracował Informację o przetwarzaniu danych osobowych i przekazuje ją Klientom. Informuje ich o obowiązujących zasadach przetwarzania danych osobowych, celu ich przetwarzania, oraz o swoich prawach, w tym prawie dostępu do danych, sprostowania danych i prawie do usunięcia danych.

Gdy Bank przetwarza dane na podstawie zgody osoby, której dotyczą, informuje ją o prawie do wycofania zgody.

Bank określił również zasady informowania Klientów w przypadku naruszenia bezpieczeństwa ich danych. Zasady te są zgodne z wymogami prawa.

Ponadto na stronie internetowej Banku znajdują się informacje o przetwarzaniu danych osobowych, w tym m.in. o powołanym IOD, informacja o przetwarzaniu danych osobowych, podstawach prawnych przetwarzania danych, realizacji praw osób których dane dotyczą.

Klienci Banku mogą w formie reklamacji zgłaszać wątpliwości dot. bezpieczeństwa danych. Opracowane zostały również przepisy wewnętrzne dotyczące zarządzania naruszeniami ochrony danych osobowych. W tych przepisach uregulowano zasady informowania Klientów w przypadku naruszenia bezpieczeństwa ich danych.

Ciągła wymiana informacji i poprawa bezpieczeństwa w oparciu o najlepsze praktyki są stałym elementem współpracy i obowiązujących Porozumień w Grupie Kapitałowej Banku. Postępowanie z ewentualnymi naruszeniami odbywa się w sposób zgodny z prawem. Dotyczy to również informowania odpowiednich organów o naruszeniach, co także wynika z przepisów wewnętrznych oraz przepisów prawa.

Bank zarządza ryzykiem nieuprawnionego dostępu do informacji o Klientach zgodnie z „Polityką Bezpieczeństwa w PKO Banku Polskim S.A.”. „Zasady bezpieczeństwa informacji chronionych w PKO Banku Polskim S.A.” regulują kwestie poufności informacji i zachowania tajemnicy bankowej oraz bezpieczeństwa danych osobowych, w tym odpowiedzialność pracowników Banku w zakresie ochrony danych osobowych. Każdy pracownik obligatoryjnie i zgodnie z procedurami jest zobowiązany ukończyć stosowne szkolenie z ochrony danych osobowych. Szkolenia są realizowane także cyklicznie. Działania na rzecz bezpieczeństwa danych są podejmowane z udziałem Zarządu. Aby chronić dane, wdrażane są najwyższej klasy rozwiązania z zakresu polityki i bezpieczeństwa systemowego. Rozwiązania te zarówno w aspekcie systemowym, jak i polityk, są przedmiotem ciągłej ewaluacji, działań audytowych i ulepszania zgodnie z najlepszymi praktykami rynkowymi. Departament Bezpieczeństwa nadzoruje realizację obowiązków związanych z zabezpieczeniem informacji chronionych w Banku oraz przygotowuje informacje o stanie bezpieczeństwa dla Zarządu Banku oraz Rady Nadzorczej w raporcie w cyklu półrocznym. W ramach swoich działań Departament Bezpieczeństwa prowadzi w jednostkach Banku kontrole z zakresu bezpieczeństwa (w tym bezpieczeństwa informacji) oraz opiniuje w tym zakresie nowe rozwiązania i projekty wdrażane w Banku.

Zgodnie z powyższymi zasadami:

  • pracownicy mają dostęp do informacji chronionych w Banku wyłącznie w zakresie powierzonych zadań i obowiązków służbowych,
  • pracownicy przed rozpoczęciem przetwarzania informacji chronionych realizują szkolenia z zakresu bezpieczeństwa informacji chronionych,
  • gdy materiały zawierające informacje chronione są udostępniane podmiotom zewnętrznym, pomiędzy stronami jest zawierana umowa o zachowaniu poufności, zaś w przypadku powierzenia przetwarzania danych osobowych, zawierana jest umowa o powierzeniu przetwarzania danych osobowych. Umowa ta zawiera m.in. zobowiązania podmiotów współpracujących z Bankiem do ochrony powierzonych danych, wykorzystania ich wyłączenie w celach związanych z realizacją umowy oraz przekazywania informacji o wszelkich naruszeniach bezpieczeństwa. Bank określa wymogi zabezpieczenia przetwarzanych danych zgodnie z przepisami powszechnie obowiązującego prawa. Bank przewiduje również możliwość kontroli bezpieczeństwa danych przetwarzanych u podmiotów współpracujących.

Bank zobowiązany jest do zachowania tajemnicy bankowej określonej przepisami ustawy Prawo bankowe.

Wszelkie udostępnienie informacji, które stanowią tajemnicę bankową, w tym danych osobowych Klientów Banku, może mieć miejsce przy zachowaniu obowiązków wynikających z przepisów powszechnie obowiązującego prawa. Zapytania od podmiotów uprawnionych do żądania udzielenia informacji, które stanowią tajemnicę bankową (np. od agend rządowych) są rozpatrywane przez Bank zgodnie z zasadami określonymi w przepisach prawa. Informacje objęte tajemnicą bankową Bank udziela wyłącznie w przypadkach określonych przepisami wymienionej ustawy, po spełnieniu przesłanek uprawniających do ich udzielenia.

Informacja o podstawie udostępniania danych znajduje się także na stronie internetowej Banku.

Każdy z pozostałych podmiotów Grupy Kapitałowej Banku, który przetwarza dane osobowe, przepisy takie posiada i stosuje je w praktyce. Spółki podpisały i wprowadziły Standardy Bezpieczeństwa (w tym w zakresie ochrony danych osobowych) będące częścią „Wytycznych w zakresie Standardu bezpieczeństwa w Grupie Kapitałowej PKO Banku Polskiego”. Są one zgodne z powszechnie obowiązującymi przepisami oraz ze standardami stosowanymi w Banku, a w niezbędnym zakresie zawierają regulacje szczególne, adekwatne do specyfiki konkretnego podmiotu.

Bank podejmuje działania w zakresie występujących naruszeń ochrony danych osobowych zgodnie z przyjętymi Zasadami zarządzania incydentami bezpieczeństwa w PKO Banku Polskim S.A. oraz z RODO. W przypadku stwierdzenia naruszenia niezwłocznie podejmowane są działania zmierzające do jego analizy oraz minimalizacji negatywnych skutków, jeśli takie wystąpią. Przypadki naruszenia ochrony danych osobowych skutkujące ryzykiem naruszenia praw lub wolności osób fizycznych są niezwłocznie zgłaszane do Prezesa UODO. Ponadto, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, o takim naruszeniu niezwłocznie zawiadamia się osobę, której dane dotyczą.

Wyniki wyszukiwania: