Υιοθετούμε διεθνή πρότυπα ασφάλειας

Ακολουθούμε το Σύστημα Διαχείρισης Ασφαλείας Πληροφοριών ISO27001 και το προσαρμόζουμε κατάλληλα με τα νέα πρότυπα:

  • ISO27701 (Διαχείριση Ιδιωτικότητας Πληροφοριών).
  • ISO27017 (Μηχανισμοί Ελέγχου Ασφάλειας Πληροφοριών στις Υπηρεσίες Cloud).
  • ISO27018 (Προστασία των Προσωπικών Δεδομένων στα Δημόσια Clouds).

Η Διεύθυνση Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών και οι Διευθύνσεις Πληροφορικής έχουν πιστοποιηθεί σύμφωνα με τα πρότυπα ISO27001 και ISO20000 (Bureau Veritas), καθώς και με το πρότυπο ISO22301 (TÜV Austria).

 

Cybersecurity

Λαμβάνουμε μέτρα για την πρόληψη και αντιμετώπιση κυβερνοαπειλών

Εντάσσουμε την κυβερνοασφάλεια στη διακυβέρνησή μας

Η Διεύθυνση Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών έχει την ευθύνη για τη χάραξη και την εποπτεία της πολιτικής, των διαδικασιών και των μηχανισμών για την κυβερνοασφάλεια και την ασφάλεια πληροφοριών. Εφαρμόζει το Στρατηγικό Σχέδιο 2021-2023 με βάση το νέο μοντέλο Αξιολόγησης Ωριμότητας Κυβερνοασφάλειας.

Εκπαιδεύουμε τους ανθρώπους μας

Το 2021 προσφέραμε σε περισσότερους από 6.000 εργαζομένους μας ένα εξειδικευμένο πρόγραμμα ευαισθητοποίησης στην κυβερνοασφάλεια με εξ αποστάσεως εκπαίδευση. Το πρόγραμμα εστίαζε στα σημαντικότερα θέματα και τις σύγχρονες απειλές κυβερνοασφάλειας. Επίσης, 500 εργαζόμενοι παρακολούθησαν προσομοιωμένη «Εκστρατεία περί ηλεκτρονικού ψαρέματος (phishing) μέσω ηλεκτρονικού ταχυδρομείου».

Στελέχη της Διεύθυνσης Κυβερνοασφάλειας και Ασφάλειας Πληροφοριών παρακολούθησαν εκπαιδευτικό πρόγραμμα ασφάλειας πληροφοριών και σχετικά workshop για την προστασία των δεδομένων και την ασφάλεια στο Cloud.

Διαχειριζόμαστε κινδύνους και περιστατικά κυβερνοασφάλειας

Ο Τομέας Διαχείρισης Κινδύνων Κυβερνοασφάλειας συμμετείχε ενεργά στον σχεδιασμό της νέας πλατφόρμας GRC (Governance, Risk, Compliance), που περιλαμβάνει δεδομένα κινδύνων κυβερνοασφάλειας και δεδομένα λειτουργιών αντιμετώπισης συμβάντων.

Η Ομάδα Αντιμετώπισης Περιστατικών Ασφαλείας (Alpha Bank CSIRT) επέκτεινε τις δυνατότητες παρακολούθησης των υπηρεσιών και υποδομών ακόμα και στο περιβάλλον Cloud και έθεσε τις βάσεις για την υλοποίηση μοντέλου λειτουργίας Cyber Threat Intelligence.

Η Ομάδα ανταλλάσσει κρίσιμες πληροφορίες για τις τρέχουσες απειλές με εθνικούς και διεθνείς οργανισμούς:

  • Εθνικό CSIRT (Υπουργείο Εθνικής Άμυνας).
  • Εθνική Αρχή Κυβερνοασφάλειας (Υπουργείο Ψηφιακής Διακυβέρνησης).
  • FIRST (Forum of Incident Response and Security Teams).
  • FS-ISAC (Financial Services Information Sharing and Analysis Center).

Προστατεύουμε την ταυτότητα και την πρόσβαση χρηστών

Αναπροσαρμόσαμε τη διακυβέρνηση της Διαχείρισης Ταυτότητας και Πρόσβασης Χρηστών (IAM Governance), όσον αφορά τη διαχείριση προσβάσεων. Δοκιμάσαμε και αξιολογήσαμε σύγχρονες μεθόδους ταυτοποίησης χωρίς τη χρήση κωδικών πρόσβασης (password-less), αλλά με χρήση ασφαλέστερων τεχνολογιών, όπως βιομετρικά και ψηφιακά πιστοποιητικά.

Βελτιώνουμε τις υποδομές μας

Αναπτύσσουμε τον σχεδιασμό και την υλοποίηση σε περιβάλλοντα Cloud και υιοθετούμε νέες ευέλικτες (agile) μεθοδολογίες για τις καθημερινές εργασίες και λειτουργίες μας. Επιπλέον:

  • Βελτιστοποιούμε την παρακολούθηση του δικτύου και της περιμετρικής ασφάλειας.
  • Ενισχύουμε με σύγχρονες τεχνικές αντιμετώπισης επιθέσεων τους μηχανισμούς ασφαλείας που προστατεύουν τις διαδικτυακές υπηρεσίες μας.
  • Εφαρμόζουμε οριζόντια μέτρα ασφαλείας για περιβάλλοντα Cloud.
  • Αυξάνουμε την προστασία των τερματικών συσκευών.

Προστατεύουμε τα προσωπικά δεδομένα

Εφαρμόζουμε τη νομοθεσία

Με σεβασμό στα δικαιώματα και τις ελευθερίες, συμμορφωνόμαστε με την ισχύουσα νομοθεσία κατά τη συλλογή και επεξεργασία των προσωπικών δεδομένων και εφαρμόζουμε τον Γενικό Κανονισμό Προστασίας Δεδομένων 2016/679 (GDPR) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου.

Ο Υπεύθυνος Προστασίας Δεδομένων Ομίλου ενημερώνει τη Διοίκηση και την Επιτροπή Ελέγχου του Διοικητικού Συμβουλίου για το επίπεδο συμμόρφωσής μας με την νομοθεσία.

Λαμβάνουμε μέτρα προστασίας

Με συντονισμένες ενέργειες διασφαλίζουμε τα προσωπικά δεδομένα των πελατών μας:

  • Επικαιροποιούμε τακτικά το έντυπο «Ενημέρωση για την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα» που βρίσκεται αναρτημένο στον ιστότοπό μας.
  • Ενημερώσαμε το Αρχείο Επεξεργασίας Δραστηριοτήτων, ώστε να συμπεριλάβει το Πιστοποιητικό Πελάτη για Ηλεκτρονική Υπογραφή και την αυτοματοποιημένη λήψη απόφασης με το πιστωτικό προφίλ του πελάτη, με σκοπό την αξιολόγηση του κινδύνου σε περιπτώσεις έγκρισης ή απόρριψης αίτησης για δάνειο ή πίστωση.
  • Λαμβάνουμε τη συγκατάθεση των φυσικών προσώπων για την επεξεργασία των δεδομένων τους, και παρέχουμε τη δυνατότητα διαχείρισης και ανάκλησης.
  • Εκτιμούμε τις επιπτώσεις στις ελευθερίες και τα δικαιώματα των φυσικών προσώπων από ροές επεξεργασίας προσωπικών δεδομένων που ενέχουν υψηλό κίνδυνο, και εφαρμόζουμε μέτρα για τον μετριασμό του.

Επιπλέον, το 2021 προσφέραμε επικαιροποιημένο εκπαιδευτικό πρόγραμμα διαχείρισης και προστασίας προσωπικών δεδομένων εξ αποστάσεως. Το παρακολούθησαν περισσότερα από 4.000 στελέχη μας στην Ελλάδα.

Απολογισμοί και εκθέσεις ESG
Προωθούμε τη διαφάνεια και τη λογοδοσία μέσα από ολοκληρωμένη ενημέρωση. Παρακολουθούμε τις οικονομικές, περιβαλλοντικές και κοινωνικές επιδόσεις μας, και συμμορφωνόμαστε με διεθνή πρότυπα και κανόνες για να παρέχουμε πλήρεις και αξιόπιστες γνωστοποιήσεις.
ΒΡΙΣΚΩ ΑΠΟΛΟΓΙΣΜΟΥΣ ΚΑΙ ΕΚΘΕΣΕΙΣ ESG