ENG A wersja-kontrastowa
Brak notatek
Koszyk jest pusty
Wyślij do drukarki
Usuń
  • [102-11]
    Zasada ostrożności

Ryzyko niefinansowe obejmuje funkcje zarządzania ryzykiem operacyjnym i ryzykiem braku zgodności (ComplianceZapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami.Zapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami.) oparte na wspólnych ramach określających jasne zasady i standardy identyfikacji, oceny, monitorowania, ograniczania i raportowania ryzyka. Nadzór nad procesami zarządzania ryzykiem niefinansowym pełni Komitet Ryzyka Niefinansowego powołany przez Zarząd BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A.. Zarząd BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. akceptuje wspólną Deklarację Apetytu na Ryzyko Niefinansowe, która jest zatwierdzana przez Radę Nadzorczą. Zgodność z deklarowanym apetytem na ryzyko jest monitorowana z wykorzystaniem okresowego Raportu o stanie ryzyka niefinansowego (NFRD).

Wspólne ramy zarządzania ryzykiem niefinansowym pozwalają nam aktywnie identyfikować główne zagrożenia i luki, oraz związane z nimi ryzyka, które mogą powodować niepożądane zdarzenia. Wspierają je takie procesy jak samoocena ryzyka i kontroli, analizy scenariuszowe, monitorowanie kluczowych wskaźników ryzyka czy testowanie kluczowych kontroli. Wyniki analiz zdarzeń wewnętrznych i zewnętrznych stale poprawiają adekwatność i efektywność funkcjonującego w BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. systemu kontroli wewnętrznej.

Wierzymy, że skuteczne środowisko kontroli jest niezbędne do budowy i utrzymania zrównoważonego biznesu, a także zachowuje i zwiększa zaufanie klientów, pracowników i akcjonariuszy.

Ryzyko operacyjne

Ryzyko operacyjne rozumiemy jako możliwość wystąpienia bezpośredniej lub pośredniej straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów lub ze zdarzeń zewnętrznych. Jako element ryzyka operacyjnego uznajemy ryzyko prawne.

Definicja ryzyka operacyjnego jest szeroka i obejmuje następujące obszary:

Definicja ryzyka operacyjnego jest szeroka i obejmuje następujące obszary:

  • ryzyko błędów w kontroli,
  • ryzyko niedozwolonych działań,
  • ryzyko błędów w przetwarzaniu,
  • ryzyko niewłaściwych praktyk kadrowych i bezpieczeństwa miejsca pracy,

 

  • ryzyko naruszenia bezpieczeństwa osób i zasobów,
  • ryzyko informacji (ang. IT risk),
  • ryzyko zakłócenia ciągłości działalności,
  • ryzyko oszustw wewnętrznych i zewnętrznych.

Definicje tych ryzyk znajdują się w Rocznym Skonsolidowanym Sprawozdaniu Finansowym Grupy Kapitałowej ING BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. Śląskiego S.A. za 2018 rok na stronie 207

_C2A7561 _C2A7561

Naszym celem w zarządzaniu ryzykiem operacyjnym jest ciągła poprawa bezpieczeństwa BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. i naszych klientów, obniżenie kosztów funkcjonowania i poprawa efektywności działania.

Zarząd BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. – po uzyskaniu akceptacji Rady Nadzorczej – określił strategię zarządzania ryzykiem operacyjnym. Wprowadził spójny pakiet wewnętrznych dokumentów normatywnych. Uregulowany tam zakres, zasady i obowiązki jednostek organizacyjnych oraz pracowników mają na celu ograniczanie skutków i prawdopodobieństwa strat finansowych i reputacyjnych w tym obszarze. Strategia zarządzania ryzykiem operacyjnym naszego banku uwzględnia wymagania prawne i regulacyjne oraz wykorzystuje dobre praktyki Grupy ING.

Ponadto Zarząd – także w porozumieniu z Radą Nadzorczą – w deklaracji apetytu na ryzyko określił maksymalne dopuszczalne limity strat, limity kapitałowe oraz zakres ryzyka, jaki jest skłonny podjąć, realizując zaplanowane cele biznesowe – przy zachowaniu pełnej zgodności z prawem i regulacjami. Poziom wykorzystania limitów jest monitorowany i przedstawiany okresowo Zarządowi, Komitetowi Ryzyka oraz Radzie Nadzorczej.

System zarządzania ryzykiem operacyjnym dotyczy wszystkich sfer naszej działalności oraz działalności grupy kapitałowej, współpracy z klientami, dostawcami i partnerami. Stanowi spójną, stałą praktykę. Obejmuje ona następujące elementy:

  • identyfikację i ocenę ryzyka,
  • ograniczanie ryzyka i monitorowanie działań ograniczających,
  • wykonywanie kontroli,
  • monitorowanie i zapewnienie jakości.

Zarządzanie ryzykiem operacyjnym w naszym banku opieramy na następujących ogólnych zasadach:

  • utrzymujemy kompletną, spójną i transparentną strukturę zarządzania ryzykiem operacyjnym z jasno przypisanym zakresem zadań i odpowiedzialności,
  • rozpoznajemy charakter środowiska wewnętrznego i zewnętrznego – w tym ograniczenia oraz słabości – wyciągamy wnioski ze zdarzeń zewnętrznych i wewnętrznych, aby ustalić przyczyny zdarzenia oraz rozpoznać ewentualne nieprawidłowości w środowisku kontrolnym lub określić nierozpoznane ekspozycje na ryzyko,
  • identyfikujemy przyczyny, rodzaje i poziomy ryzyka, które jesteśmy gotowi podjąć. Wyznaczamy standardy działań kontrolnych i ograniczających,
  • mamy skuteczną i spójną identyfikację i kontrolę ryzyka dla wszystkich produktów, działań, procesów i systemów funkcjonujących w BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A.,
  • monitorujemy i raportujemy wielkość wymaganego kapitału, profil ryzyka oraz ekspozycji na ryzyko,
  • ciągle zwracamy uwagę na podnoszenie świadomości pracowników oraz managerów. Zapewniamy, aby pracownicy posiadali odpowiednie kwalifikacje w celu wykonywania czynności związanych z zarządzaniem ryzykiem niefinansowym oraz byli wyposażeni w odpowiednie narzędzia.

Priorytetem jest efektywność procesów zarządzania ryzykiem oraz wysoka jakość wykorzystywanych danych.

Jako główne czynniki mające wpływ na poziom ryzyka uznajemy:

  • wiedzę i kompetencje pracowników,
  • warunki pracy,
  • odpowiedni podział obowiązków i nadzór nad ich wypełnianiem,
  • poziom bezpieczeństwa informacyjnego,
  • integralność procesów biznesowych oraz systemów informatycznych i technicznych,
  • czynności zlecone na zewnątrz (outsourcing),
  • jakość dokumentacji wewnętrznej i zewnętrznej,
  • zdarzenia zewnętrzne związane ze zmianami w środowisku biznesowym,
  • klęski żywiołowe, awarie i katastrofy.

Rok 2018 obfitował w wiele zdarzeń związanych z publikacją informacji o nowych lukach w bezpieczeństwie produktów IT różnych dostawców oraz nowych metodach realizacji włamań, cyberprzestępstw i oszustw jakich dokonywano na całym świecie. Widoczne trendy jakie można wyróżnić na tej podstawie są następujące:

  • wzrasta ilość nadużyć i zaawansowanie socjotechnik stosowanych wobec osób fizycznych,
  • wzrasta ilość ataków oraz stopień technologicznego zaawansowania ataków realizowanych za pomocą złośliwego oprogramowania (ang. Malware),
  • wzrasta stopień zaawansowania celowanych ataków na przedsiębiorstwa i instytucje (głównie finansowe) realizowane przez dobrze zorganizowane grupy cyberprzestępców.

BankBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. mając na uwadze bieżące trendy nieustannie dostosowuje własny system cyberzabezpieczeń na poziomie lokalnym jak i całej grupy ING w celu zapobieżenia aktom cyberprzestępstw wobec klientów, pracowników oraz systemowi teleinformatycznemu BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A..

Nieustannie doskonalimy rozwiązania i systemy bezpieczeństwa służące do ochrony naszych klientów, jak i samego BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A., ustawicznie testując ich rzeczywistą efektywność poprzez m.in. wykonywanie testów penetracyjnych infrastruktury i aplikacji bankowych, zaawansowanych testów APT (ang. Advanced Persistent Threat), testów odporności na ataki DDoS (ang. Distributed Denial of Service) i wiele innych.

Utrzymujemy i aktualizujemy istniejące oraz wdrażamy nowe narzędzia do wczesnego wykrywania wszelkiego rodzaju oszustw i nadużyć, zaawansowanych ataków celowanych, w tym także zapobiegania wyciekowi informacji czy realizacji nieautoryzowanego transferu dużych środków pieniężnych z systemu bankowego.

Działamy na rzecz poprawy przeciwdziałania cyberprzestępczości w ramach programów podejmowanych w Grupie ING. Aktywnie współpracujemy z innymi instytucjami finansowymi, organami rządowymi i organami ścigania oraz dostawcami usług internetowych, szczególnie po uznaniu naszego banku operatorem kluczowej usługi w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa.

W ubiegłym roku bank realizował wiele działań mających na celu podniesienie poziomu świadomości pracowników BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. w zakresie zagrożeń cyberbezpieczeństwa oraz realizował programy mające na celu podniesienie umiejętności pracowników IT i zespołów odpowiedzialnych za zapewnienie odpowiedniego poziomu cyberbezpieczeństwa BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A.. Wzorem lat ubiegłych kontynuowaliśmy informowanie klientów naszego banku o zmieniających się zagrożeniach i dostarczaliśmy informacje w tym zakresie użytkownikom końcowym systemów bankowych.

Dzięki skoordynowanym działaniom mającym na celu zapewnienie optymalnego poziomu cyberbezpieczeństwa w 2018 roku BankBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. nie zanotował istotnych incydentów cyberbezpieczeństwa lub oszustw jakie wynikałby ze słabości bankowego systemu zabezpieczeń.

Przeciwdziałanie cyberprzestępczości jest jednym z kluczowych aspektów tworzenia przez nasz bank bezpiecznych, elektronicznych kanałów kontaktu z klientem. Ze względu na pojawiające się nowe zagrożenia, jak i rozwój istniejących metod ataków, stale monitorujemy rynek, reagujemy elastycznie oraz w dynamiczny sposób chronimy klientów. Dotyczy to szerokiej gamy ataków, od DoS (DDoS), poprzez APT, aż do wykrywania niebezpiecznego oprogramowania, którym zarażone mogą być komputery i smartfony użytkowników.

Równocześnie, na bieżąco informujemy klientów o istniejących zagrożeniach, edukujemy i wskazujemy jak należy się zachować, aby bezpiecznie korzystać z bankowości internetowej i mobilnej.

Stale rozwijamy narzędzia, algorytmy i reguły służące do wykrywania różnego rodzaju oszustw i nadużyć, w tym także zapobieganiu wyciekowi danych. Wiele z tych zadań realizujemy wspólnie z innymi jednostkami Grupy ING, a także we współpracy z instytucjami finansowymi, organami państwa i organami ścigania. Nawiązujemy współpracę z dostawcami nowoczesnych technologii, celem wprowadzenia nowych faktorów autoryzacji opartych np. o biometrię czy zachowania klienta.

W 2018 roku kontynuowaliśmy doskonalenie systemu zarządzania ryzykiem operacyjnym, jednocześnie mając na uwadze zapewnienia zgodności z nowymi wymogami regulacyjnymi, w tym między innymi:

  • wzmocnienie zasad agregacji i raportowania danych w ryzyku mające bezpośredni wpływ na procesy zarządzania ryzykiem oraz podejmowanie decyzji (weryfikacja kontroli wynikających z BCBS 239),
  • zapewnienie bezpieczeństwa danych osobowych zgodnie z wymogami RODO (ang. GDPR),
  • przegląd struktury organizacyjnej oraz procesów identyfikacji, zarządzania, monitorowania i raportowania ryzyka oraz ram systemu kontroli wewnętrznej w oparciu o wytyczne EBAAng. European Banking Authority - Europejski Urząd Nadzoru Bankowego.Ang. European Banking Authority - Europejski Urząd Nadzoru Bankowego. (ang. EBA Guidelines on internal governance),
  • przygotowanie naszego banku do funkcjonowania po wdrożeniu dyrektywy PSD2, w tym zmiany w systemach, dotyczące Silnego Uwierzytelnienia Klienta,
  • analizy skutków możliwych scenariuszy wyjścia Wielkiej Brytanii ze struktur Unii Europejskiej (ang. BrexitPotoczna nazwa procesu, w którym Wielka Brytania opuszcza struktury Unii Europejskiej.Potoczna nazwa procesu, w którym Wielka Brytania opuszcza struktury Unii Europejskiej.).

W ramach przeglądu istniejących procesów:

  • wdrożyliśmy nowy model klasyfikacji zasobów informatycznych oparty na klasyfikacji danych oraz usprawniliśmy model technicznych analiz ryzyka,
  • określiliśmy zasady zarządzania ryzykiem dla nowego modelu organizacji pracy w naszym banku (Agile) oraz nowego sposobu wdrażania innowacji (PACEJest to zorganizowany proces wspierający innowacyjność w Grupie ING. Zachęca do szybkiego wprowadzania na rynek nowych produktów i usług opracowanych przez małe, niezależne i interdyscyplinarne zespoły.Jest to zorganizowany proces wspierający innowacyjność w Grupie ING. Zachęca do szybkiego wprowadzania na rynek nowych produktów i usług opracowanych przez małe, niezależne i interdyscyplinarne zespoły.),
  • doprecyzowaliśmy kryteria oceny adekwatności i skuteczności systemu kontroli wewnętrznej oraz rozszerzyliśmy kryteria istotności procesów dla systemu kontroli wewnętrznej,
  • wzmacnialiśmy świadomość ryzyka skupiając się na cyberbezpieczeństwie, zarządzaniu ciągłością działania oraz nowymi metodami i narzędziami wykorzystywanymi w zarządzania ryzykiem,
  • wprowadziliśmy nowe lub uaktualniliśmy istniejące regulacje, m.in. dotyczące zarządzania danymi, monitorowania bezpieczeństwa, zarządzania zmianą, odporności na cyberprzestępczość i narzędzi użytkownika końcowego.

Stale podnosimy jakość wykorzystywanych danych, poszerzamy możliwości wykorzystywania zaawansowanych metod analiz danych w procesach identyfikacji oraz monitorowania zagrożeń a także automatyzujemy czynności operacyjne związane z zarządzaniem ryzykiem.

W odniesieniu do zaistniałych awarii skutkujących niedostępnością usług dogłębnie przeanalizowaliśmy ich przyczyny i podjęliśmy działania, które zminimalizują ryzyko wystąpienia podobnych sytuacji w przyszłości.

Rok 2018 to przede wszystkim dostosowanie zabezpieczeń wielu systemów do obowiązujących wymogów technicznych i prawnych mających na celu lepszą ochronę danych klientów przetwarzanych w naszych systemach oraz rozpoczęcie działania banku w ramach krajowego systemu cyberbezpieczeństwa.

Ryzyko braku zgodności (Compliance)

Misją naszego banku w zakresie zapewnienia zgodności jest budowanie kultury korporacyjnej opartej na znajomości i przestrzeganiu przepisów prawa, regulacji wewnętrznych, standardów rynkowych oraz Wartości i Zachowań ING, określonych w Pomarańczowym Kodzie.

Rada Nadzorcza BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności w BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A., a Zarząd BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. odpowiada za efektywne zarządzanie w BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. ryzykiem braku zgodności, w tym za: wdrożenie rozwiązań organizacyjnych, regulacji i procedur, umożliwiających efektywne zarządzanie ryzykiem braku zgodności oraz za zapewnienie adekwatnych zasobów i środków wymaganych dla realizacji zadań.

Departament ComplianceZapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami.Zapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami. jest jednostką organizacyjną, która pełni rolę komórki ds. zarządzania ryzykiem braku zgodności i odpowiada za organizację i funkcjonowanie procesu zarządzania ryzykiem braku zgodności, rozumianego jako proces identyfikacji, oceny, kontroli i monitorowania ryzyka braku zgodności działalności banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi oraz przedstawianie raportów w tym zakresie.

W 2018 roku BankBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. kontynuował prace w celu implementacji wymogów regulacyjnych: Dyrektywy MIFID II i polskich przepisów wykonawczych, Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, jak również regulacji dotyczących przeciwdziałaniu wykorzystania sektora finansowego do wyłudzeń skarbowych (STIRSystem Teleinformatyczny Izby Rozliczeniowej - zespół algorytmów analizujących dostarczane obowiązkowo przez banki i SKOK-i dane finansowe dotyczące przedsiębiorców służący identyfikacji potencjalnych wyłudzeń VAT.System Teleinformatyczny Izby Rozliczeniowej - zespół algorytmów analizujących dostarczane obowiązkowo przez banki i SKOK-i dane finansowe dotyczące przedsiębiorców służący identyfikacji potencjalnych wyłudzeń VAT. i Split Payment). Zintensyfikował również działania w zakresie wdrożenia wymagań Rozporządzenia o ochronie danych osobowych. W celu implementacji wymogów zostały wprowadzone regulacje wewnętrzne, dostosowane procesy biznesowe (w tym również systemy IT) oraz podjęto działania szkoleniowe.

W celu efektywnego zarządzania ryzykiem braku zgodności, Departament ComplianceZapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami.Zapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami. kontynuował wykonywanie niezależnych kontroli, opracowania i monitorowania realizacji programów szkoleniowych, wydawania zaleceń i rekomendacji w procesie opiniowania zmian produktowych, legislacyjnych oraz materiałów marketingowych.

Rada Nadzorcza BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. sprawuje nadzór nad zarządzaniem ryzykiem braku zgodności w BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A., a Zarząd BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. odpowiada za efektywne zarządzanie w BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. ryzykiem braku zgodności, w tym za: wdrożenie rozwiązań organizacyjnych, regulacji i procedur, umożliwiających efektywne zarządzanie ryzykiem braku zgodności oraz za zapewnienie adekwatnych zasobów i środków wymaganych dla realizacji zadań.

Departament ComplianceZapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami.Zapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami. jest jednostką organizacyjną, która pełni rolę komórki ds. zarządzania ryzykiem braku zgodności i odpowiada za organizację i funkcjonowanie procesu zarządzania ryzykiem braku zgodności, rozumianego jako proces identyfikacji, oceny, kontroli i monitorowania ryzyka braku zgodności działalności banku z przepisami prawa, regulacjami wewnętrznymi i standardami rynkowymi oraz przedstawianie raportów w tym zakresie.

W 2018 roku BankBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. kontynuował prace w celu implementacji wymogów regulacyjnych: Dyrektywy MIFID II i polskich przepisów wykonawczych, Ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, jak również regulacji dotyczących przeciwdziałaniu wykorzystania sektora finansowego do wyłudzeń skarbowych (STIRSystem Teleinformatyczny Izby Rozliczeniowej - zespół algorytmów analizujących dostarczane obowiązkowo przez banki i SKOK-i dane finansowe dotyczące przedsiębiorców służący identyfikacji potencjalnych wyłudzeń VAT.System Teleinformatyczny Izby Rozliczeniowej - zespół algorytmów analizujących dostarczane obowiązkowo przez banki i SKOK-i dane finansowe dotyczące przedsiębiorców służący identyfikacji potencjalnych wyłudzeń VAT. i Split Payment). Zintensyfikował również działania w zakresie wdrożenia wymagań Rozporządzenia o ochronie danych osobowych. W celu implementacji wymogów zostały wprowadzone regulacje wewnętrzne, dostosowane procesy biznesowe (w tym również systemy IT) oraz podjęto działania szkoleniowe.

W celu efektywnego zarządzania ryzykiem braku zgodności, Departament ComplianceZapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami.Zapewnienie zgodności działania z regulacjami prawnymi, normami czy zaleceniami. kontynuował wykonywanie niezależnych kontroli, opracowania i monitorowania realizacji programów szkoleniowych, wydawania zaleceń i rekomendacji w procesie opiniowania zmian produktowych, legislacyjnych oraz materiałów marketingowych.

Bezpieczeństwo transakcji i stabilność systemów IT

  • [103-1]
    Wyjaśnienie istotności tematu dla organizacji i jego zakresu
  • [103-2]
    Podejście do zarządzania tematem i jego elementy
  • [103-3]
    Ewaluacja podejścia do zarządzania

Bezpieczeństwo środków i danych naszych klientów oraz partnerów jest kluczową kwestią, na którą zwracamy szczególną uwagę w naszych codziennych działaniach. Na bieżąco obserwujemy zagrożenia i analizujemy ich wpływ na infrastrukturę teleinformatyczną (aplikacje, systemy, sieci), a także nasze procesy biznesowe, procesy naszych partnerów oraz ich potencjalny wpływ na klientów. Na tej podstawie projektujemy i wdrażamy odpowiednie rozwiązania organizacyjne i techniczne w obszarach prewencji, detekcji i reakcji. Nasze systemy teleinformatyczne chronią wielowarstwowe mechanizmy i systemy cyberbezpieczeństwa.

Niezwykle ważnym aspektem wysiłków BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. zmierzających do zapewnienia właściwego poziomu usług bankowych dla klientów jest zapewnienie stabilności działania systemów.

Dla zapewnienia wysokiego poziomu stabilności działania systemów informatycznych, BankBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. podejmuje szereg działań, w tym m.in.:

  • zapewnienie odpowiedniego procesu zarządzania zmianami w systemach informatycznych, które gwarantują przeprowadzenie adekwatnych testów wpływu zmian na działanie systemów,
  • zapewnienie właściwej architektura systemów krytycznych gwarantującej pełną redundantność komponentów i odporność na awarie,
  • zaimplementowane mechanizmy monitoringu poprawności działania systemów, pozwalające na wczesne wykrywanie symptomów błędnego działania komponentów i szybką diagnostykę błędów,
  • zaimplementowany procesu zarządzania wzrostem zapotrzebowania na zasoby gwarantujący dostosowanie zasobów sprzętowych i oprogramowania do zmian w wolumenach biznesowych i zmianach sposobu działania klientów.

Proces zarządzania bezpieczeństwem IT

Stopniowe otwieranie ekosystemu bankowego na świat zewnętrzny, zmiana zachowań społecznych w Internecie i postępująca digitalizacja usług wprowadza nowe wyzwania dla jednostek zajmujących się cyberbezpieczeństwem oraz przeciwdziałaniem oszustom. Bank jako organizacja zaufania publicznego, której głównym zadaniem jest strzec środków powierzonych przez klientów, musi nieustannie nadążać za zmiennością cyfrowego świata, innowacyjnością i postępującą doskonałością operacyjną cyberprzestępców, stosując wiele, często nowatorskich i niestandardowych metod zapobiegania cyberprzestępczości.
Maciej Ogórkiewicz
Dyrektor Departamentu Bezpieczeństwa IT

W BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. działa Rada Bezpieczeństwa Środowiska Teleinformatycznego. Składa się z m.in. kierownictwa jednostek: biznesowych, IT, cyberbezpieczeństwa, ryzyka operacyjnego, bezpieczeństwa danych, przeciwdziałania oszustwom. Rada ta wydaje kierunkowe decyzje technologiczne i proceduralne w zakresie zapewniającym adekwatny poziom cyberbezpieczeństwa BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A..

Dla każdej technologii teleinformatycznej w naszym banku opracowujemy wzorcowe wymagania bezpieczeństwa, a ich skuteczność i poprawność wdrożenia jest regularnie weryfikowana w ramach testów i przeglądów bezpieczeństwa, jak również audytów wewnętrznych i zewnętrznych. Takie audyty i testy wykonywane są przez renomowane firmy eksperckie.

Komponenty systemu teleinformatycznego BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. są poddawane ciągłemu procesowi skanowania mającemu na celu wykrycie wszelkich podatności oraz ich niezwłoczną likwidację. Ponadto, systemy bankowe (sieć, infrastruktura i aplikacje) posiadają wdrożony monitoring bezpieczeństwa, który pozwala wykrywać wszelkie anomalie, działania niepożądane i incydenty bezpieczeństwa.

Procesy mające na celu zapewnienie bezpieczeństwa są poddawane nieustannej kontroli efektywności, co pozwala stale doskonalić nasze procesy i procedury związane z przeciwdziałaniem, wykrywaniem i reagowaniem na zagrożenia, jak również podejmowaniem działań eliminujących ich potencjalne skutki (np. niedostępność usług bankowych). W ramach tych działań, wdrożyliśmy dodatkowe mechanizmy uwierzytelniania i monitorowania aktywności użytkowników systemów teleinformatycznych oraz uszczelniliśmy warstwę ochrony przed złośliwym oprogramowaniem (takim jak np. ransomware).

Stosujemy rozwiązania wiodących dostawców narzędzi i usług z obszaru cyberbezpieczeństwa oraz unikalne rozwiązania opracowane przez naszych specjalistów. Jednocześnie stale współpracujemy z podmiotami Grupy ING oraz innymi firmami i organizacjami w Polsce (banki, stowarzyszenia branżowe, policja). Pozwala nam to obserwować trendy, wykrywać nowe podatności i z wyprzedzeniem przeciwdziałać zagrożeniom w obszarze bezpieczeństwa IT.

Adekwatnego poziomu bezpieczeństwa wymagamy również od współpracujących z nami Partnerów.

W ramach naszej bankowości internetowej, stosujemy następujące rozwiązania bezpieczeństwa:

  • Autoryzacja transakcji kodem jednorazowym – metoda ta umożliwia autoryzację dyspozycji w systemie bankowości internetowej za pomocą kodu autoryzacyjnego. Użytkownik otrzymuje kod przez SMS lub system Halo Śląski. Kod generowany jest do jednej konkretnej dyspozycji i ma ograniczony czas ważności. Wraz z kodem klient otrzymuje informację o szczegółach transakcji, co pozwala dodatkowo zweryfikować dyspozycję.
  • Szyfrowane połączenie internetowe – dostęp do systemów bankowych jest możliwy tylko po podaniu identyfikatora i hasła. Komunikacja pomiędzy komputerami klientów a serwerem BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. jest szyfrowana protokołem TLS. Serwis ingbank.pl oraz system bankowości internetowej chronione są certyfikatami cyfrowymi o wysokim poziomie zaufania, które zabezpieczają połączenie po szyfrowanym protokole HTTPS. To gwarantuje w pełni bezpieczne przesyłanie danych w formie zaszyfrowanej, zabezpiecza je przed zmianami z zewnątrz oraz uwierzytelnia komputery komunikujące się ze sobą.
  • 3D Secure (standard płatności kartą przez internet) – gdy nasi klienci płacą kartą w sklepie internetowym obsługującym 3D Secure, płatność potwierdzają dodatkowo jednorazowym kodem SMS. Aby korzystać z płatności w 3D Secure w naszym banku, nie trzeba niczego uruchamiać ani aktywować – wystarczy karta obsługująca płatności internetowe.
  • Hasło maskowane – logowanie do systemu bankowości internetowej odbywa się bez podania całego hasła – system automatycznie losuje tylko wybrane znaki.
  • Automatyczne wylogowanie w razie bezczynności użytkownika – po upływie 15 minut bezczynności użytkownika, system wykonuje automatyczne wylogowanie.

W odniesieniu do bankowości mobilnej, stosujemy następujące rozwiązania bezpieczeństwa:

  • Autoryzacja transakcji w aplikacji mobilnej – metoda ta jest dostępna dla klientów, którzy korzystają z systemu bankowości internetowej Moje ING, wykonają przelew na komputerze i mają zainstalowaną aplikację Moje ING mobile; stosowana jest zamiennie z kodem SMS.
  • Logowanie odciskiem palca – opcja ta jest dostępna dla telefonów z czytnikiem linii papilarnych. Aktywacja tej metody logowania, dostępna jest po zalogowaniu do aplikacji.
  • Twardy limit dzienny – limit kwotowy, do którego mogą zostać wykonane przelewy w danym dniu przez aplikację mobilną.
  • Automatyczne wylogowanie w razie bezczynności użytkownika – po upływie 60 sekund bezczynności użytkownika, system automatycznie wykonuje wylogowanie.

W przypadku uzasadnionego podejrzenia zagrożenia cyberprzestępczością lub oszustwem wobec klientów banku, blokujemy usługi w chroniąc klientów przed przejęciem ich danych lub środków przez osoby nieupoważnione.

Bezpieczeństwo danych osobowych

  • [103-1]
    Wyjaśnienie istotności tematu dla organizacji i jego zakresu
  • [103-2]
    Podejście do zarządzania tematem i jego elementy
  • [103-3]
    Ewaluacja podejścia do zarządzania
Po dwóch latach pracy zakończyliśmy wdrożenie wymagań ogólnego rozporządzenia o ochronie danych osobowych. Wprowadziliśmy zmiany w naszych systemach informatycznych. Zmieniliśmy procesy obsługi klienta. Szkolimy pracowników. Aktywnie współpracujemy z innymi bankami i w ramach Związku Banków Polskich, wypracowujemy wspólny Kodeks Postępowania. Wszystko po to, aby jeszcze lepiej chronić dane osobowe.
Lilianna Rother-Obrączka
Inspektor Ochrony Danych

Stabilność systemów IT to również ochrona danych osobowych klientów, partnerów biznesowych i pracowników. Jednak poza bezpieczeństwem informatycznym, dbamy również o bezpieczeństwo fizyczne danych i informacji przechowywanych w BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A.. Nasz regulamin ściśle określa obecność osób postronnych w naszych biurach, zakłada wobec nich stałe towarzystwo pracowników BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. i wyklucza m.in. podłączanie niezweryfikowanych urządzeń do naszej sieci teleinformatycznej. Regularnie testujemy nasze fizyczne zabezpieczenia, a wnioski z kontroli stają się dla nas inspiracją dla zmian. Testowanie zabezpieczeń fizycznych stało się w BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. nieodłącznym elementem testów APT badających odporność cyberbezpieczeństwa BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A..

W ostatnim roku nie stwierdziliśmy uzasadnionych skarg dotyczących naruszenia prywatności klienta.

Dbamy o wysoki poziom świadomości pracowników naszego banku na temat ochrony danych osobowych, finansowych i biznesowych zapewniając obowiązek odbycia obowiązkowego cyklu szkoleń dla wszystkich pracowników. Oprócz tego nieustannie realizowane są programy mające na celu ustawiczne zwiększanie kompetencji pracowników w zakresie ochrony danych, wskazując jak ważna jest ochrona prywatności klientów, partnerów biznesowych oraz samych pracowników. Wykorzystujemy w tym zakresie spotkania, warsztaty a także cykliczną komunikację do pracowników.

Wypracowane przez nas rozwiązania w zakresie bezpieczeństwa zapewniają skuteczną ochronę infrastruktury teleinformatycznej BankuBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A.. Bezpieczeństwo korzystania z usług bankowych zależy także od naszych klientów, dlatego dzielimy się z nimi informacjami o potencjalnych zagrożeniach i rekomendujemy rozwiązania bezpieczeństwa na urządzeniach, przez które klienci korzystają z bankowości. Do dyspozycji każdego klienta naszego banku oddajemy zbiór zasad prawidłowego korzystania z bankowości on-line:

  • podpowiadamy, jak stworzyć bezpieczne hasło,
  • informujemy na bieżąco na temat zagrożeń w bankowości internetowej,
  • przypominamy o zasadach bezpiecznego bankowania,
  • wyjaśniamy, jak zabezpieczyć się przed kradzieżą danych w Internecie,
  • uczymy, jak chronić urządzenia, z których korzystają klienci,
  • blokujemy usługi w uzasadnionych przypadkach chroniąc klientów przed przejęciem ich danych przez osoby nieupoważnione,
  • uświadamiamy zagrożenia podczas rozmów z naszymi klientami, którzy odwiedzają nas w placówce,
  • spotykamy się z seniorami aby świadomość zagrożeń pozwalała im skuteczniej się chronić,
  • uczestniczymy w warsztatach dla środowisk akademickich mających na celu podnoszenie świadomości.

Dbamy o klientów detalicznych, ale nie zapominamy również o bezpieczeństwie klientów biznesowych. Podobnie jak w latach ubiegłych kontynuujemy konferencje dla klientów strategicznych, w trakcie których prezentujemy zagrożenia związane z cyberprzestępczością oraz mechanizmy naszych aplikacji i rozwiązań, które pozwalają przeciwdziałać nadużyciom.

W ostatnim roku BankBank pisany dużą literą oznacza ING Bank Śląski S.A.Bank pisany dużą literą oznacza ING Bank Śląski S.A. wdrożył wymagania związane z wprowadzeniem Rozporządzenia Unii Europejskiej dotyczącego ochrony danych osobowych. Zaktualizowaliśmy wzory dokumentów, zmieniliśmy regulacje wewnętrzne, dostosowaliśmy procesy biznesowe oraz przygotowaliśmy odpowiednie szkolenia dla pracowników. Wprowadziliśmy również nowe procesy, takie jak realizacja prawa do przenoszenia danych, czy też ocena skutków przetwarzania danych osobowych. Współpracujemy również, w ramach Związku Banków Polskich z innymi bankami, w celu wypracowania wspólnego kodeksu postępowania.

W roku 2018 dokonaliśmy rewizji klasyfikacji wszystkich systemów i aplikacji bankowych jakie przetwarzają dane osobowe oraz ponownie zdefiniowaliśmy dla nich poziomy krytyczności. Adekwatnie do zmian, dostosowaliśmy wymagane prawem, regulacjami wewnętrznymi oraz dobrymi praktykami zabezpieczenia techniczne i proceduralne w celu lepszej ochrony danych naszych klientów.

Ryzyko środowiskowe i społeczne

ryz-sridow ryz-sridow

Jako bank mamy wpływ na finansowanie i kredytowanie przedsięwzięć mogących wywierać znaczący negatywny wpływ na społeczeństwo i środowisko. Poszanowanie praw człowieka, ochrona środowiska naturalnego oraz zrównoważony rozwój stanowią ważny element długoterminowej strategii budowania wartości naszego banku. Jesteśmy świadomi zagrożeń płynących z nieodpowiedzialnego korzystania z zasobów naturalnych. Wspieramy klientów w prowadzeniu działalności w sposób zrównoważony oraz zachęcamy do ciągłego doskonalenia się w tym zakresie. Wymagamy, aby nasi klienci prowadzili działalność zgodnie z przepisami regulującymi zagadnienia społeczno-środowiskowe oraz aby posiadali wszystkie wymagane prawem pozwolenia i licencje. Dlatego chcąc unikać zagrożeń związanych z finansowaniem przedsięwzięć wywierających negatywny wpływ na środowisko stosujemy ocenę ryzyka środowiskowego i społecznego oraz Politykę wykluczeń.

Najważniejsze ryzyka społeczno-środowiskowe, obejmują:

  • naruszanie praw człowieka na skutek pracy przymusowej, zatrudniania dzieci, nieodpowiednich warunków pracy, stosowania przemocy. Ryzyko występuje przede wszystkim w leśnictwie i plantacjach oraz przetwórstwie przemysłowym,
  • zagrożenie dla zdrowia pracowników oraz lokalnych społeczności na skutek skażenia środowiska, kontaktu ze szkodliwymi materiałami chemicznymi, przenoszenia na ludzi chorób zwierzęcych, nieprzestrzegania prawa pracy. Ryzyko związane jest przede wszystkim z przemysłem chemicznym, energetyką, górnictwem, produkcją metali oraz hodowlą zwierząt,
  • zagrożenie dla zdrowia i życia konsumentów na skutek spożywania szkodliwych dla zdrowia produktów. Ryzyko występuje przede wszystkim w przemyśle tytoniowym,
  • kontrowersyjną politykę handlową, polegającą na kontraktowaniu skrajnie niskich cen za produkty wytwarzane
    w krajach słabo rozwiniętych gospodarczo. Ryzyko związane jest przede wszystkim z przetwórstwem przemysłowym,
  • niehumanitarne traktowanie zwierząt w procesie hodowli, transportu, uboju lub przeprowadzania eksperymentów medycznych (dobrostan zwierząt),
  • utratę różnorodności biologicznej oraz niekontrolowane rozprzestrzenienie się gatunków inwazyjnych, w tym modyfikowanych genetycznie; erozja oraz degradacja gleb. Ryzyko związane jest przede wszystkim z leśnictwem i plantacjami,
  • zanieczyszczenie gleb i wód metalami ciężkimi, odpadami, ściekami oraz wzrost zużycia wody na obszarach ubogich w zasoby wodne. Ryzyko związane jest przede wszystkim z hodowlą zwierząt, leśnictwem i plantacjami, przetwórstwem przemysłowym, przemysłem chemicznym, energetyką, górnictwem oraz produkcją metali

Zarządzanie ryzykiem środowiskowym i społecznym

Ocena ryzyka środowiskowego i społecznego obejmuje klienta oraz transakcję. Oceny dokonujemy według naszej najlepszej wiedzy. Na poziomie klienta oceniamy, czy działalność prowadzona jest z poszanowaniem praw człowieka, zasadami ochrony środowiska naturalnego oraz czy nie jest objęta polityką wykluczeń. Na poziomie transakcji oceniamy, czy jest ona zgodna z wymaganiami polityk szczegółowych.

Polityka wykluczeń dotyczy działalności, z którymi związane jest szczególnie wysokie ryzyko naruszania praw człowieka oraz ryzyko negatywnego wpływu na środowisko naturalne i zasady zrównoważonego rozwoju. Nie nawiązujemy relacji z klientami, których podstawowa działalność objęta jest polityką wykluczeń.

Identyfikujemy oraz odpowiednio zarządzamy relacjami z klientami, którzy działają w obszarach bardziej podatnych na zagrożenia społeczne lub środowiskowe. Stosujemy szczegółowe polityki, które mają za zadanie wspierać ochronę środowiska oraz minimalizować występujące ryzyka w narażonych obszarach.

Polityki szczegółowe dotyczą następujących obszarów:

  • Dobrostan zwierząt,
  • Leśnictwo i plantacje,
  • Przetwórstwo przemysłowe,
  • Przemysł chemiczny oraz wykorzystywanie chemikaliów,
  • Obronność oraz przemysł zbrojeniowy,
  • Górnictwo węgla, energetyka węglowa oraz działalności powiązane,
  • Pozostałe górnictwo i energetyka, petrochemia oraz produkcja metali.

W celu lepszego zarządzania ryzykiem stworzyliśmy dla naszych pracowników Instrukcję ryzyka środowiskowego i społecznego. Wspiera ona identyfikację oraz odpowiednie zarządzanie relacjami z klientami, którzy działają w obszarach znacząco wpływających na środowisko, w którym żyjemy.

ustawienia zamknij
zamknij

Zmień walutę na:

Zmień:

arrow-left
arrow-right
Jesteś w ścieżce Wybierz ścieżkę
Wybierz Klient Pracownik Rynek i media arrow-down
Wróc do ustawień domyślnych
zamknij

Wyniki wyszukiwania: