„Dbanie o dane klientów to jeden z naszych priorytetów. Pandemia sprawiła, że jeszcze większą wagę przykładaliśmy do poufności przetwarzanych przez nas informacji. Jako Grupa dbamy o jak najlepsze relacje z klientami, zależy nam na ich zaufaniu, szanujemy ich prywatność, dlatego stale podejmujemy działania mające na celu zwiększenie bezpieczeństwa udostępnianych nam danych osobowych m.in. poprzez przestrzeganie najwyższych standardów ochrony systemów informatycznych."
Rafał Jeż, Inspektor Ochrony Danych PZU, PZU Życie
Polityki Grupy PZU [UoR]
[GRI 103-2]
Kwestie bezpieczeństwa informatycznego są dla Grupy PZU bardzo istotne, dlatego przykłada się do nich dużą wagę i traktuje się je ze szczególną dokładnością. We wszystkich spółkach funkcjonują odpowiednie polityki, procedury i szczegółowe wymagania mające na celu zapewnienie odpowiedniego poziomu ochrony informacji oraz danych klientów. W PZU i PZU Życie funkcjonuje i stale jest rozwijany kompleksowy i wielowarstwowy system ochrony przeciw zagrożeniom cyberbezpieczeństwa. Dążąc do wysokich standardów bezpieczeństwa informacji, działający system zarządzania cyberbezpieczeństwem jest zgodny z wymaganiami normy ISO 27001, uznawanym i rozpoznawalny na całym świecie najwyższym standardem Systemu Zarządzania Bezpieczeństwem Informacji.
W 2020 roku udało się powstrzymać:
Dodatkowo:
W przyszłości planowane jest dalsze rozwijanie systemów ochrony, m.in. wdrożenie produkcyjne systemu IPS, automatyzacja procesów SOC przez zakup systemu typu SOAR (Security Orchestration Automation and Response), przegląd rynku pod kątem narzędzi do analizy statycznej i dynamicznej kodu, rozbudowa już istniejących i zakupionych narzędzi bezpieczeństwa (np. PIM, VA, EDR). Poza tym planowane jest wzmocnienie bezpieczeństwa poprzez uruchomienie procesu Threat Huntingu, a także przeprowadzenie następnych kampanii antyphishingowych i innych form edukacji pracowników i agentów PZU.
Grupa PZU zapewnia bezpieczeństwo przetwarzanych danych i ochronę danych osobowych swoich klientów. Rozumie złożoność obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) i dba o zgodność wszystkich swoich procesów z regulacjami tego rozporządzenia oraz przepisami krajowymi w tym obszarze. Równie dojrzałego podejścia Grupa PZU wymaga od swoich kontrahentów.
Za obszar bezpieczeństwa w PZU i PZU Życie odpowiedzialny jest Dyrektor Biura Bezpieczeństwa, który bezpośrednio podlega członkowi Zarządu. Ponadto w PZU i PZU Życie powołano Dyrektora ds. Ochrony Informacji oraz Inspektora Ochrony Danych (IOD). W ramach Biura Bezpieczeństwa ustanowiono struktury działające w zakresie bezpieczeństwa przetwarzanych informacji, w tym danych osobowych, oraz wspierające realizację zadań Inspektora Ochrony Danych (IOD).
W PZU i PZU Życie obowiązują regulacje wewnętrzne, które wspomagają skuteczne zarządzanie bezpieczeństwem informacji i ochroną danych osobowych. Mają one minimalizować ryzyko wystąpienia incydentów bezpieczeństwa i ograniczać ich skutki. Odbiorcami tych regulacji są pracownicy, członkowie Zarządu i współpracownicy PZU i PZU Życie.
Polityka bezpieczeństwa
Celem „Polityki” jest zapewnienie bezpieczeństwa informacji chronionych, w tym danych osobowych, zapewnienie bezpieczeństwa fizycznego, bezpieczeństwa systemów IT a także zapewnienie ciągłości działania. Polityka ma również na celu przeciwdziałanie przestępczości ubezpieczeniowej oraz praniu pieniędzy i finansowaniu terroryzmu, a także zapewnienie bezpieczeństwa i higieny pracy.
Procedura bezpieczeństwa w obszarze bezpieczeństwa informacji
Działania zgodnie z Procedurą w obszarze bezpieczeństwa informacji mają na celu m.in. zapewnienie ochrony każdej informacji zgodnie z odpowiednim poziomem bezpieczeństwa, zapewnić kontrolę dostępu do informacji, integralności i dostępności informacji oraz zapobiec kradzieży i nieautoryzowanemu wypływowi informacji. Dokument określa zasady ochrony i udostępniania informacji prawnie chronionych oraz zarządzanie ryzykiem bezpieczeństwa.
Procedura bezpieczeństwa w obszarze ochrony danych osobowych
Celem regulacji jest zapewnienie ochrony danych osobowych przetwarzanych przez PZU i PZU Życie. Dokument określa w szczególności zasady obsługi wniosków podmiotów danych, postępowania z incydentami bezpieczeństwa, oceny i notyfikacji naruszeń, wyboru i audytu procesora oraz rolę i zadania wykonywane przez Inspektora Ochrony Danych.
Procedura oceny ryzyka i oceny skutków przetwarzania danych osobowych
Procedura opisuje zasady prowadzenia analizy ryzyka dla ochrony danych osobowych, w tym oceny Privacy by Design i oceny prawdopodobieństwa wystąpienia wysokiego ryzyka naruszeń praw lub wolności osób fizycznych oraz oceny skutków przetwarzania na ochronę danych (DPIA).
Poza tym w PZU i PZU Życie funkcjonują:
- Procedura zarządzania bezpieczeństwem procesów IT;
- Procedura zarządzania ryzykiem bezpieczeństwa IT;
- Zasady klasyfikacji krytyczności systemów IT;
- Zasady retencji danych osobowych;
- Zasady bezpiecznego przetwarzania danych osobowych;
- Instrukcja bezpiecznego przesyłania danych chronionych poza Grupę PZU;
- Rekomendowane wzory dokumentów w obszarze bezpieczeństwa informacji;
- Klasyfikacja informacji i poziomy zabezpieczeń;
- Zasady zarządzania podatnościami i testami bezpieczeństwa infrastruktury IT.
PZU i PZU Życie dokładają wszelkiej staranności w dbaniu o bezpieczeństwo informacji oraz ochronę danych. W związku z tym zobowiązały się do wdrożenia i przestrzegania najwyższych standardów ochrony danych, w tym celu m.in. wszczęto procesy zapewniające realizację postanowień art. 5-6 RODO. Wszystkie dane osobowe gromadzone i przetwarzane przez PZU i PZU Życie są uzyskiwane w zgodny z prawem i przejrzysty sposób za wyraźną zgodą osoby, której dane dotyczą. Procesy odbierania zgód zapewniają przetwarzanie danych osobowych zgodnie z art. 6 (Zgodność przetwarzania z prawem) RODO. W PZU i PZU Życie gromadzi się, przechowuje, przetwarza i przekazuje dane osobowe klientów w zgodny z prawem sposób. Udostępnianie danych objętych tajemnicą ubezpieczeniową odbywa się na podstawie art. 35 ustawy o działalności ubezpieczeniowej i reasekuracyjnej, który definiuje listę podmiotów i instytucji, którym dane mogą być udostępnione. Powierzenie przetwarzania danych osobowych podmiotom zewnętrznym następuje na podstawie umowy powierzenia danych osobowych. W przypadku przekazania podmiotom trzecim informacji chronionych standardem zawierane są umowy o zachowaniu poufności. Treść przedmiotowych umów obejmuje m.in. zobowiązanie do wdrożenia, co najmniej takich samych środków zapewniających ochronę informacji oraz gwarantuje możliwość przeprowadzenia audytu.
W trosce o zachowanie jak najwyższej prywatności klientów każda osoba, której dane są przetwarzane, ma prawo dostępu do danych oraz do usunięcia, sprostowania, uzupełnienia lub zmiany danych osobowych, a także ma możliwość zgłaszania pytań dotyczących prywatności. W tym celu wdrożono odpowiednie procesy zapewniające realizację praw osób, których dane dotyczą, określonych w art. 12-22 RODO.
Informacja zarządcza w obszarze bezpieczeństwa przetwarzanych danych w zakresie identyfikowanych ryzyk i zidentyfikowanych podatności jest cykliczne raportowana do zarządów PZU i PZU Życie i obejmuje informacje o realizacji obowiązków wynikających z art. 33 (Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu) i art. 34 (Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych) RODO. Spółki w sposób ciągły monitorują procesy przetwarzania danych oraz zastosowane środki techniczne i organizacyjne pod kątem podnoszenia poziomu bezpieczeństwa przetwarzanych danych.
W PZU i PZU Życie cyklicznie i na bieżąco prowadzone są audyty procesorów (kontrahentów, którym PZU powierzył przetwarzanie danych osobowych). Podczas audytu weryfikowana jest zgodność przetwarzania przez procesora powierzonych danych osobowych z przepisami RODO oraz umową powierzenia przetwarzania danych osobowych. W PZU i PZU Życie prowadzone są również audyty procesorów, u których doszło do incydentów bezpieczeństwa. Na podstawie przeprowadzonego audytu wydawane są rekomendacje do zmiany procesów lub zmiany systemów dla poszczególnych właścicieli biznesowych.
Realizacja obowiązków administratora danych osobowych (ADO) i inspektora ochrony danych (IOD) wynikających z przepisów prawa, monitoring incydentów bezpieczeństwa informacji, w szczególności w obszarze danych osobowych oraz naruszeń zgłaszanych do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), cykliczne raportowanie danych do Zarządu PZU i PZU Życie.
Mając na uwadze troskę o bezpieczeństwo przetwarzanych danych osobowych oraz gwarancję realizacji przepisów RODO wprowadzono cykliczne raportowanie do zarządów PZU i PZU Życie obejmujące dane na temat incydentów bezpieczeństwa informacji, w szczególności w obszarze ochrony danych osobowych oraz naruszeń zgłaszanych do PUODO. Prowadzony bieżący monitoring, analiza i raportowanie danych gwarantuje transparentność i rozliczalność procesu. Dzięki wprowadzonym mechanizmom identyfikowane są obszary wymagające wdrożenia zmian oraz wydawane są rekomendacje dotyczące podniesienia bezpieczeństwa przetwarzania danych osobowych w tych obszarach.
Obowiązki nałożone na administratora danych osobowych oraz inspektora ochrony danych są realizowane w działalności bieżącej, co zapewnia zgodność przetwarzania danych osobowych z przepisami prawa.
Grupa PZU stale pracuje na rzecz wzmocnienia funkcjonującego systemu ochrony danych. W związku z tym w przyszłości zostaną podjęte działania mające na celu utrzymanie jakości realizowanych procesów.
Testy systemów informatycznych
Wdrażanie i sprzedaż produktów oraz dostosowywanie oferty do zmieniających się potrzeb klientów stanowi ogromne wyzwanie dla systemów informatycznych Grupy. Aby zmiany przebiegały płynnie i nie zakłócały obsługi klientów, w organizacji wypracowano powtarzalną procedurę informatyczną zakładającą szeroki wybór testów i sposobów weryfikacji. Procedura gwarantuje wczesne wykrywanie zagrożeń i ewentualnych problemów oraz odpowiednie zarządzanie nimi.
Aby na bieżąco monitorować i reagować na cyberataki oraz naruszenia danych PZU i PZU Życie wykorzystuje systemy klasy: SIEM, IPS/IDS, FW, Web Security Gateway, Email Security Gateway, Sandbox, DNS Firewall, AV, EDR, WAF, DAM, PIM, Anty DDoS, VA.
W Grupie przeprowadzane są testy oceny podatności systemów firmy. Wykrywanie podatności w infrastrukturze jest procesem ciągłym i zautomatyzowanym z wykorzystaniem dedykowanych rozwiązań Vulnerability Assessment. Przeprowadzane testy bezpieczeństwa są częścią procesów zarządzania zmianą, wydaniami i projektami.
Zgodnie z realizacją obowiązków wynikających wprost z RODO, w PZU i PZU Życie wdrożono procesy gwarantujące udokumentowany proces związany z realizacją postanowień art. 35 (Ocena skutków dla ochrony danych) RODO zobowiązującego spółki do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka.
Mając na celu realizację przepisów RODO wprowadzono następujące procedury: Zasady zarządzania ryzykiem przetwarzania danych osobowych w PZU i PZU Życie oraz Instrukcję (metodykę) przeprowadzania identyfikacji i oceny ryzyka przetwarzania danych osobowych w PZU i PZU Życie. Poza tym wprowadzono cykliczne raportowanie do zarządów PZU i PZU Życie obejmujące dane na temat wykonanych analiz DPIA. Na bieżąco prowadzony jest monitoring procesów oraz sprawdzenie wykonania wydanych rekomendacji. Dzięki wprowadzonym mechanizmom identyfikowane są obszary wymagające wdrożenia zmian na etapie ochrony danych w fazie projektowania (ang. privacy by design) oraz domyślnej ochrony danych (ang. privacy by default), wydawane są rekomendacje dotyczące podniesienia bezpieczeństwa projektowanego przetwarzania danych osobowych. Prowadzone są również analizy DPIA dla istniejących procesów, cykliczne sprawdzanie zmian, jakie zostały wprowadzone i ich skutku na proces przetwarzania danych osobowych.
Dzięki podjętym działaniom udało się wprowadzić uregulowany i uszczelniony proces analizy DPIA nałożony na administratora przez art. 35 (Ocena skutków dla ochrony danych) RODO z wykorzystaniem systemu Jira. Wprowadzono oceny produktów projektu pod kątem wpływu skutków przetwarzania dla ochrony danych w zakresie systemu Jira. Mając na uwadze bezpieczeństwo danych realizacja tematów, które nie uzyskają oceny pod kątem RODO jest blokowana. Prowadzona wielotorowo ocena skutków przetwarzania dla ochrony danych zapewnia zgodność przetwarzania danych osobowych z przepisami prawa. W 2020 roku oceniono 996 elementów procesów w tym: oceny 565 inicjatyw/tematów, 416 podtematów, 6 Proof of Concept, 11 analiz do bieżących procesów oraz 33 pełne badania DPIA.
W przyszłości działania Grupy PZU będą ukierunkowane m.in. na prowadzenie bieżących analiz pod kątem ochrony danych w fazie projektowania (ang. privacy by design) i domyślnej ochrony danych (ang. privacy by default) oraz bieżącą analizę procesów a także analizę DPIA na podstawie zgłoszonych incydentów. Przeprowadzane będą sprawdzenia aktualności dokumentacji regulującej przedmiotowy proces.
Proces opiniowania spraw (w tym inicjatyw, dokumentów, umów, procesów i in.) pod kątem zgodności z obowiązującymi przepisami z zakresu ochrony danych osobowych, politykami i procedurami przyjętymi w PZU i PZU Życie oraz dobrymi praktykami rynkowymi.
Wdrożenie w PZU i PZU Życie procesu opiniowania przyczynia się do zapewnienia zgodności przetwarzania danych z przepisami prawa, rozliczalności oraz wdrożenia zasady ochrony danych w fazie projektowania (ang. privacy by design). Pozwala na wczesnym etapie zidentyfikować nieprawidłowości i dostosować działania do obowiązujących norm.
Wprowadzony proces opiniowania obejmuje wszelkie inicjatywy, dokumenty, procesy, umowy itp., w których występuje lub może wystąpić element związany z tematyką danych osobowych. Aby jak najlepiej realizować ten proces powstała dedykowana skrzynka mailowa, na którą kierowane są zapytania z jednostek biznesowych. Sprawy rozdzielane są pomiędzy pracowników wyspecjalizowanych w różnych obszarach ochrony danych, opiniowanie kończy się wydaniem rekomendacji uwzględniającej obowiązujące przepisy prawa, istniejące rekomendacje Urzędu Ochrony Danych Osobowych oraz dobre praktyki rynkowe. Wszystkie opiniowane sprawy odnotowywane są w rejestrze w celu zapewnienia rozliczalności.
W 2020 roku zaopiniowano łącznie ponad 1700 spraw w PZU i PZU Życie. Proces opiniowania pozwala na identyfikację ewentualnych nieprawidłowości i ich korektę oraz przyczynia się do wzrostu świadomości pracowników w zakresie ochrony i bezpieczeństwa przetwarzania danych osobowych.
Bezpieczeństwo informacji i cyberbezpieczeństwo to nie tylko sprawne systemy i odpowiednie procedury. Nie mniej ważna jest świadomość zagrożeń i znajomość zasad wśród pracowników i współpracowników. W związku z tym nowo zatrudnione osoby biorą udział w szkoleniach wdrożeniowych, podczas których poznają zasady bezpieczeństwa, a następnie przechodzą obowiązkowe szkolenie e-learningowe. Na bieżąco prowadzone są też szkolenia odświeżające oraz wewnętrzne kampanie informacyjne z zakresu bezpieczeństwa informacji, ochrony danych osobowych i cyberbezpieczeństwa. Najczęściej te zagadnienia są poruszane wspólnie, gdyż nawzajem się uzupełniają. W 2020 roku dla pracowników i agentów poszczególnych jednostek przeprowadzono dedykowane szkolenia odświeżające z tej tematyki, głównie w formie webinarów. Ich uczestnikami byli m.in. pracownicy oddziałów, agenci wyłączni oraz centra operacji i obsługi szkód i świadczeń (tj. osoby zajmujące się gromadzeniem, przechowywaniem, przetwarzaniem i zarządzaniem danymi). Wiosną 2020 roku, kiedy w wyniku pandemii COVID-19 organizacja zaczęła przechodzić na pracę zdalną, przypomniano pracownikom zasady pracy poza biurem, a w maju zorganizowano kampanię informacyjną pt. „Nie daj się zaskoczyć – bądź cyberczujny!”. W ramach której oprócz publikacji artykułów i porad, odbyło się spotkanie on-line z ekspertem zewnętrznym na temat cyberbezpieczeństwa, w szczególności zagrożeń w czasie pandemii i podczas pracy poza biurem.
W 2020 roku kontynuowano szkolenia pracowników na specjalnej uruchomionej w 2018 roku platformie szkoleniowej GoPhish, która w przystępny sposób wyjaśnia i podnosi świadomość pracowników w obszarze zagrożeń płynących m.in. z wiadomości zawierających złośliwe elementy oraz nakłaniających do otwarcia podejrzanych stron i załączników.
W spółkach PZU oraz Grupy Pekao, a także w kilku spółkach zagranicznych wdrożono procedury zarządzania bezpieczeństwem procesów informatycznych. W Grupie PZU Zdrowie w tym obszarze zaimplementowano „Pakiet regulacji dotyczący przetwarzania danych osobowych”, w tym polityki bezpieczeństwa zawierające wymagania dotyczące procesów IT. Z kolei w PTE PZU wprowadzono wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w powszechnych towarzystwach emerytalnych wydane przez KNF. W Banku Pekao w celu zagwarantowania kompleksowych działań w obszarze ochrony danych osobowych wdrożono szereg regulacji wewnętrznych odnoszących się do poszczególnych obszarów funkcjonowania Banku są to m.in. „Polityka Bezpieczeństwa Informacji wraz z Dokumentami Polityki Bezpieczeństwa Informacji”, polityka bezpieczeństwa aplikacji Banku, procedura rozpatrywania żądań osób, których dane dotyczą na gruncie RODO przez Bank, procedura zarządzania naruszeniami ochrony danych osobowych w Banku, a także zapisy dotyczące ochrony informacji elektronicznej. Restrykcyjne procedury bezpieczeństwa zapewniające poufność, integralność oraz dostępność przetwarzanych informacji obowiązują również w całej Grupie Kapitałowej Alior Banku. Funkcjonująca Polityka Bezpieczeństwa oraz wszystkie procedury w tym obszarze są na bieżąco aktualizowane w odpowiedzi na zmieniające się uwarunkowania rynku w zakresie cyberbezpieczeństwa, a także nowe wymagania i wytyczne regulatorów. Alior Bank jako operator usługi kluczowej, w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa (implementującej wymagania europejskiej dyrektywy NIST), spełnia wysokie wymagania w zakresie cyberbezpieczeństwa wynikające z przepisów prawa oraz rekomendacji KNF. Poza tym w 2020 roku rozbudowano systemy monitorujące i chroniące środki finansowe klientów w bankowości elektronicznej (np. FDS – ang. Fraud Detection System oraz Tarcza Malware - autorskie rozwiązanie opracowane przez ekspertów banku zajmujących się cyberbezpieczeństwem).
[GRI 418-1]
W 2020 roku w Grupie PZU zgłoszono dosobowych z czego 212 w PZU, 143 w PZU Życie, 21 w Grupie Alior, 11 w Grupie Pekao, 7 w LINK4 oraz 6 w PZU Zdrowie.
W 2020 roku ilość skarg na działalność PZU złożonych przez podmioty zewnętrzne do organu nadzoru wyniosła 17, natomiast na PZU Życie złożono 4 skargi. W 2019 roku na PZU złożono 8 skarg, natomiast na PZU Życie 2 skargi. W 1 z przypadków w 2020 roku organ nadzoru udzielił spółce PZU upomnienia za naruszenie art. 6 ust. 1 RODO. W pozostałych przypadkach skarg organ nadzoru odmówił uwzględnienia wniosku, umorzył postepowanie lub nie podjął jeszcze decyzji.
W 2020 roku przeprowadzono dwie kampanie szkoleniowe polegające na tym, że pracownikom, którzy nieopatrznie otworzyli link do spreparowanych wiadomości, wyświetlał się film szkoleniowy Biura Bezpieczeństwa z informacją, jak unikać takich zagrożeń w przyszłości. Poza tym pracownicy mieli możliwość uczestniczenia w szeregu szkoleń, warsztatów i konferencji oraz pozyskania nowych certyfikacji (SANS:GIAC Certified Detection Analyst (GCDA), 210-250 SECFND - Understanding Cisco Cybersecurity Fundamentals, Mile2 – Certified Information Systems Security Officer C) ISSO, Certified Professional Ethical Hacker C)PEH, AttackIQ Academy Survey: Foundations of MITRE ATT&CK.
Zgodnie z opublikowanymi danym istnieje konieczność ciągłego prowadzenia kampanii antyphishingowych. Spośród osób, które zainteresowała treść e-maila, aż 43% kliknęło w podany link, a 30% podało swoje dane do logowania. W 2020 roku stworzono specjalne szkolenie e-learningowe Phishing quiz, dzięki któremu można poznać, jak odróżnić bezpieczne wiadomości od niebezpiecznych.
W 2020 roku przeprowadzono:
