zamknąć

Mapa nawigacji

Pobierz nasze dobre praktyki
Interaktywna nawigacja to narzędzie wykraczające poza standardową nawigację zintegrowanych treści (dostępną w górnej belce raportu). Nowe podejście pozwalana na poruszanie się w dwóch dodatkowych wymiarach biznesu Grupy PZU, tj.:
  • strategii (ubezpieczenia, zdrowie, inwestycje, finanse);
  • zrównoważonego rozwoju (sprzedaż, pracownicy, zaangażowanie społeczne, środowisko naturalne i etyka).
Wyżej wymienione obszary zostały dodatkowo uzupełnione o powiązane wskaźniki GRI, w ramach każdego wybranego zagadnienia.
Pracownicy
Społeczeństwo
Etyka
Środowisko
Produkty
Krótka charakterystyka
Zdrowie
Banki
Inwestycje
Ubezpieczenia
PRAKTYKI
BIZNESOWE
Dane pozafinansowe
Dane strategiczne

W tym rozdziale

Krótka charakterystyka Grupy PZU
Efektywność finansowa Grupy Kapitałowej PZU
Model biznesowy [UoR] [IIRC]
Model tworzenia wartości Grupy PZU [IIRC]
Struktura Grupy Kapitałowej PZU
Ubezpieczenia majątkowe i pozostałe osobowe (PZU, LINK4 oraz TUW PZUW)
Ubezpieczenia na życie (PZU Życie)
Bankowość (Bank Pekao, Alior Bank)
Fundusze inwestycyjne (TFI PZU)
Działalność zagraniczna
Usługi medyczne (Obszar Zdrowie)
Fundusze emerytalne (PTE PZU)
Pozostałe obszary działalności

GRI

102-7 Skala działalności
201-1 Bezpośrednia wartość ekonomiczna wytworzona i podzielona

W tym rozdziale

Kwestie pracownicze
Zarządzanie Kapitałem Ludzkim
Warunki pracy
Rozwój pracowników
Dzielenie się wiedzą

GRI

102-8 Dane dotyczące pracowników oraz innych osób świadczących pracę na rzecz organizacji
103-2 Podejście do zarządzania i jego elementy
401-1 Pracownicy nowo zatrudnieni oraz odejścia
403-2 Wskaźnik urazów, chorób zawodowych, dni straconych oraz nieobecności w pracy oraz liczba wypadków śmiertelnych związanych z pracą
404-1 Średnia liczba godzin szkoleniowych w roku przypadających na pracownika
404-2 Programy rozwoju umiejętności menedżerskich i kształcenia ustawicznego, które wspierają ciągłość zatrudnienia pracowników oraz ułatwiają proces przejścia na emeryturę
404-3 Odsetek pracowników podlegających regularnym ocenom jakości pracy i przeglądom rozwoju kariery zawodowej, według płci i kategorii zatrudnienia
G4-FS16 Inicjatywy mające na celu edukację finansową według typu odbiorców

W tym rozdziale

Zaangażowanie społeczne Grupy PZU
Bezpieczeństwo
Zdrowie
Mecenat kultury
Poprawa warunków życia w lokalnym otoczeniu

GRI

102-12 Zewnętrzne, przyjęte lub popierane przez organizację ekonomiczne, środowiskowe i społeczne deklaracje, zasady i inne inicjatywy
103-2 Podejście do zarządzania i jego elementy

W tym rozdziale

Biznes w obliczu zmian klimatu
Bezpośrednie oddziaływanie na środowisko

GRI

103-2 Podejście do zarządzania i jego elementy
301-1 Wykorzystane surowce/materiały według wagi i objętości
302-1 Zużycie energii przez organizację z uwzględnieniem rodzaju surowców
302-4 Redukcja zużycia energii
303-1 Łączny pobór wody w podziale na źródła
305-1 Łączne emisje bezpośrednie (zakres 1)
305-2 Łączne emisje pośrednie związane z energią (zakres 2)
305-3 Inne emisje pośrednie (zakres 3)
305-4 Intensywność emisji gazów cieplarnianych
307-1 Wartość pieniężna kar i całkowita liczba sankcji pozafinansowych za nieprzestrzeganie prawa oraz/lub regulacji dotyczących ochrony środowiska

W tym rozdziale

Etyczne podstawy prowadzenia biznesu
Ład korporacyjny i zarządzanie ryzykiem z uwzględnieniem czynników ESG i klimatycznych
Przeciwdziałanie korupcji i konfliktowi interesów
Różnorodność i poszanowanie praw człowieka
System zgłaszania nieprawidłowości
Bezpieczeństwo transakcji
Współpraca z dostawcami

GRI

102-5 Forma własności i struktura prawna organizacji
102-9 Opis łańcucha dostaw
102-11 Wyjaśnienie, czy i w jaki sposób organizacja stosuje zasadę ostrożności.
102-12 Zewnętrzne, przyjęte lub popierane przez organizację ekonomiczne, środowiskowe i społeczne deklaracje, zasady i inne inicjatywy
102-15 Opis kluczowych wpływów, szans i ryzyk
102-16 Wartości organizacji, kodeks etyki, zasady i normy zachowań.
102-17 Wewnętrzne i zewnętrzne mechanizmy umożliwiające uzyskanie porady dot. zachowań w kwestiach etycznych i prawnych oraz spraw związanych z integralnością organizacji
102-18 Struktura nadzorcza organizacji wraz z komisjami podlegającymi pod najwyższy organ nadzorczy
103-2 Podejście do zarządzania i jego elementy
103-3 Ewaluacja podejścia do zarządzania
205-1 Działania oceniane pod kątem zagrożeń związanych z korupcją
205-2 Komunikacja i szkolenia w zakresie polityki i procedur antykorupcyjnych organizacji
205-3 Potwierdzone przypadki korupcji i podjęte działania
206-1 Kroki prawne podjęte wobec organizacji dotyczące przypadków naruszeń zasad wolnej konkurencji oraz praktyk monopolistycznych
405-1 Skład ciał nadzorczych i kadry pracowniczej w podziale na kategorie pracowników według płci, wieku oraz innych wskaźników różnorodności
406-1 Całkowita liczba przypadków dyskryminacji oraz działania naprawcze podjęte w tej kwestii
419-1 Niezgodność z przepisami prawa i regulacjami społeczno-ekonomicznymi

W tym rozdziale

Nowy model działania Grupy PZU
Ubezpieczenia
Zdrowie
Bankowość i partnerstwa strategiczne
Zarządzanie markami Grupy PZU
Klient w centrum uwagi
Innowacje
Odpowiedzialna sprzedaż
Cyberbezpieczeństwo

GRI

103-2 Podejście do zarządzania i jego elementy
G4-FS13 Punkty dostępu na terenach słabo zaludnionych i słabiej rozwiniętych gospodarczo
G4-FS14 Inicjatywy podjęte w celu poprawy dostępu do usług finansowych dla osób defaworyzowanych
G4-FS15 Polityki zapewniające uczciwe projektowanie i sprzedaż produktów i usług finansowych
417-1 Wymogi wewnętrzne w zakresie oznakowania produktów i usług oraz informacji na ich temat
417-2 Przypadki niezgodności z regulacjami oraz dobrowolnymi kodeksami dotyczącymi oznakowania produktów i usług oraz informacji na ich temat
417-3 Przypadki niezgodności z regulacjami i dobrowolnymi kodeksami w dotyczącymi komunikacji marketingowej
418-1 Uzasadnione skargi dotyczące naruszenia prywatności klienta i utraty danych

W tym rozdziale

Model operacyjny
Efektywność finansowa Grupy Kapitałowej PZU
Klient w centrum uwagi
Innowacje
Odpowiedzialna sprzedaż
Cyberbezpieczeństwo
Klimat
Biznes w obliczu zmian klimatu
Bezpośrednie oddziaływanie na środowisko
Pracownicy
Warunki pracy
Rozwój pracowników
Dzielenie się wiedzą
Ryzyko i etyka
Bezpieczeństwo
Ład korporacyjny i zarządzanie ryzykiem z uwzględnieniem czynników ESG i klimatycznych
Przeciwdziałanie korupcji i konfliktowi interesów
Różnorodność i poszanowanie praw człowieka
System zgłaszania nieprawidłowości
Bezpieczeństwo transakcji
Współpraca z dostawcami
Dialog z otoczeniem
Apetyt na ryzyko
Profil ryzyka Grupy PZU
Działalność reasekuracyjna
Biznes
Sektor ubezpieczeniowy w Polsce i krajach bałtyckich na tle Europy
Ubezpieczenia majątkowe i pozostałe osobowe (PZU, LINK4 oraz TUW PZUW)
Ubezpieczenia na życie (PZU Życie)
Działalność zagraniczna
Ubezpieczenia
Udział segmentów branżowych w tworzeniu skonsolidowanego wyniku

W tym rozdziale

Model operacyjny
Klient w centrum uwagi
Odpowiedzialna sprzedaż
Klimat
Bezpośrednie oddziaływanie na środowisko
Pracownicy
Warunki pracy
Rozwój pracowników
Zarządzanie Kapitałem Ludzkim
CSR
Zaangażowanie społeczne Grupy PZU
Ryzyko i etyka
Etyczne podstawy prowadzenia biznesu
Ład korporacyjny i zarządzanie ryzykiem z uwzględnieniem czynników ESG i klimatycznych
Różnorodność i poszanowanie praw człowieka
System zgłaszania nieprawidłowości
Bezpieczeństwo transakcji
Apetyt na ryzyko
Profil ryzyka Grupy PZU
Rynek
Sektor bankowy w Polsce na tle Europy
Bankowość (Bank Pekao, Alior Bank)
Bankowość i partnerstwa strategiczne
Biznes
Udział segmentów branżowych w tworzeniu skonsolidowanego wyniku
Sektor bankowy na GPW

W tym rozdziale

Model operacyjny
Klient w centrum uwagi
Klimat
Biznes w obliczu zmian klimatu
Pracownicy
Warunki pracy
Ryzyko i etyka
Etyczne podstawy prowadzenia biznesu
Różnorodność i poszanowanie praw człowieka
Biznes
Sytuacja na rynkach finansowych
Bankowość (Bank Pekao, Alior Bank)
Fundusze inwestycyjne (TFI PZU)
Udział segmentów branżowych w tworzeniu skonsolidowanego wyniku

W tym rozdziale

Model operacyjny
Klient w centrum uwagi
Zdrowie
Pracownicy
Warunki pracy
Rozwój pracowników
Ryzyko i etyka
Różnorodność i poszanowanie praw człowieka
System zgłaszania nieprawidłowości
Biznes
Usługi medyczne (Obszar Zdrowie)

W tym rozdziale

Model operacyjny
Innowacje
Odpowiedzialna sprzedaż
Cyberbezpieczeństwo
Klimat
Biznes w obliczu zmian klimatu
Bezpośrednie oddziaływanie na środowisko
Pracownicy
Warunki pracy
Rozwój pracowników
Dzielenie się wiedzą
CSR
Zaangażowanie społeczne Grupy PZU
Bezpieczeństwo
Zdrowie
Poprawa warunków życia w lokalnym otoczeniu
Ryzyko i etyka
Etyczne podstawy prowadzenia biznesu
Ład korporacyjny i zarządzanie ryzykiem z uwzględnieniem czynników ESG i klimatycznych
Przeciwdziałanie korupcji i konfliktowi interesów
Różnorodność i poszanowanie praw człowieka
Bezpieczeństwo transakcji
Współpraca z dostawcami
Dialog z otoczeniem
a a a

Cyberbezpieczeństwo

Raport Roczny 2019 > Cyberbezpieczeństwo
Facebook Twitter All
Zintegrowana Nawigacja
Ubezpieczenia
Zdrowie
Inwestycje
Bankowość
Najlepsze Praktyki
Porównaj
Chronimy dane osobowe - „dane osobowe wszystkich osób – w szczególności dane klientów, pracowników, kontrahentów i użytkowników naszych stron internetowych – podlegają ścisłej ochronie. Dotyczy to wszystkich danych, które umożliwiają identyfikację osoby. Przepisy prawa o ochronie danych osobowych dotyczą każdego stanowiska pracy i wszystkich systemów informatycznych, z których korzystają pracownicy. Dostęp do takich danych otrzymują wyłącznie osoby, którym jest on niezbędny ze względu na wykonywaną pracę.”

„Dane o naszych relacjach z klientami, ich tożsamości i sytuacji finansowej stały się we współczesnym świecie niezwykle wrażliwe. O ich bezpieczeństwo trzeba dbać za wszelką cenę, a klientów informować o procedurach chroniących poufność przy każdej okazji. W sposób szczególny dbamy o przepływ informacji poprzez naszą stronę internetową, tak, aby dyskrecja współpracy z nami była w pełni zagwarantowana. Wprowadzamy najbardziej wyśrubowane standardy ochrony systemów informatycznych wyznaczanych przez polskie, europejskie i światowe regulacje.”

Tomasz Cichoń, Dyrektor Biura Bezpieczeństwa PZU i PZU Życie

Polityki Grupy PZU

Do kwestii bezpieczeństwa informatycznego Grupa PZU podchodzi z ogromną uwagą. W firmie funkcjonuje i jest rozwijany wielowarstwowy system ochrony przeciw zagrożeniom cyberbezpieczeństwa. W niektórych spółkach wdrażane są dodatkowo wewnętrzne procedury, np. w spółkach Pekao Faktoring, Medica i REVIMED obowiązuje Procedura zarządzania bezpieczeństwem procesów IT.

W 2018 roku uruchomiono specjalną platformę szkoleniową GoPhish, która w przystępny sposób wyjaśnia zagrożenia płynące m.in. z wiadomości zawierających złośliwe elementy oraz nakłaniających do otwarcia podejrzanych stron. W 2019 roku szkolenia kontynuowano.

W 2019 roku udało się powstrzymać: 

ok 25 tys. potencjalnych infekcji

ponad 198 mln prób połączenia w celu wysłania złośliwych wiadomości e-mail

ponad 882 tys. ataków wysokiego ryzyka

odwołania do ponad 8,5 mln niebezpiecznych zasobów

Dodatkowo:

zablokowano ponad 2,3 mln złośliwych wiadomości e-mail

40 tys. przeprowadzonych analiz

zaopiniowano 599 inicjatyw

przeprowadzono 183 manualne testy bezpieczeństwa

wykryto 300 tys. podatności na zagrożenia, w tym 28 tys. krytycznych

W przyszłości planowane jest dalsze rozwijanie systemów ochrony, m.in. wdrożenie produkcyjne systemu IPS, automatyzacja procesów SOC przez zakup systemu typu SOAR (Security Orchestration Automation and Response), przegląd rynku pod kątem narzędzi do analizy statycznej i dynamicznej kodu, rozbudowa już istniejących i zakupionych narzędzi bezpieczeństwa (np. PIM, VA, EDR), a także przeprowadzenie następnych kampanii antyphishingowych i innych form edukacji pracowników i agentów PZU.   

DOBRA PRAKTYKA

Przeprowadzono cztery kampanie szkoleniowe polegające na tym, że pracownikom, którzy nieopatrznie otworzyli link do spreparowanych wiadomości, wyświetlał się film szkoleniowy Biura Bezpieczeństwa z informacją, jak unikać takich zagrożeń w przyszłości. Dodatkowo pracownicy mieli możliwość uczestniczenia w szeregu szkoleń, warsztatów i konferencji oraz pozyskania nowych certyfikacji (SANS GMON, Certified Information Security Manager – CISM).

Zgodnie z opublikowanymi danymi istnieje konieczność ciągłego prowadzenia kampanii antyphishingowych. Spośród osób, które zainteresowała treść e-maila, aż 88% kliknęło w podany link, a 67% podało swoje dane do logowania.

W 2019 roku przeprowadzono:

DOBRA PRAKTYKA

CyberSec – konferencje poświęcone cyberbezpieczeństwu

Celem wydarzeń jest budowanie świadomości ryzyka i kosztów związanych z zagrożeniami występującymi w sieci, w epoce przyspieszającej transformacji cyfrowej oraz rewolucji technologicznej, która zmienia funkcjonowanie wszystkich gałęzi gospodarki i obszarów życia obywateli. Incydenty związane z bezpieczeństwem grożą utratą zaufania klientów, a z drugiej strony odpowiednie zaadresowanie tego problemu może dać przewagę konkurencyjną.

PZU, jako doświadczony podmiot sektora finansowego, podchodzi do innowacji w szczególny sposób, uwzględniając kwestie bezpieczeństwa i zaufania.

PZU wspiera co roku organizacyjnie oraz merytorycznie konferencje poświęcone cyberbezpieczeństwu, organizowane przez Stowarzyszenie Instytut Kościuszki.

W 2019 roku były to konferencje:

  • CyberSec – Brussels Leaders’ Foresight 2019 w Brukseli;
  • CyberSec CEE 2019 w Katowicach.

W ramach tych konferencji odbyły się panele dyskusyjne, które skupiały się m.in. na takich zagadnieniach, jak: obrona cyfrowych demokracji, obrona antydronowa, bezpieczeństwo IIoT, cyfrowa transformacja usług finansowych, zagrożenia wynikające ze stosowania sztucznej inteligencji, wsparcie procesu tworzenia europejskiego systemu cyberbezpieczeństwa czy budowanie świadomości zagrożeń wśród rządów, organizacji międzynarodowych oraz kluczowych podmiotów sektora prywatnego.

W trakcie wydarzenia w Katowicach podpisana została deklaracja przedstawiająca w 10 punktach rekomendacje w kwestii zabezpieczenia światowego cyfrowego DNA. W merytorycznych dyskusjach brali udział przedstawiciele PZU. 

W spółkach PZU oraz Grupy Pekao, a także w kilku spółkach zagranicznych wdrożono procedury zarządzania bezpieczeństwem procesów informatycznych. W Grupie PZU Zdrowie w tym obszarze zaimplementowano pakiet regulacji dotyczących przetwarzania danych osobowych, w tym polityki bezpieczeństwa zawierające wymagania dotyczące procesów IT. Z kolei w PTE PZU wprowadzono wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w powszechnych towarzystwach emerytalnych wydane przez KNF.

W 2019 roku w całej Grupie PZU odnotowano 3 705 przypadków incydentów w zakresie wycieku danych osobowych, z czego 1 632 w LINK4, 1 368 w PZU, 387 w PZU Życie, 95 przypadków w Grupie Pekao, 71 w Grupie Alior, 42 w Grupie PZU Zdrowie, 70 przypadków wycieku danych w spółkach zagranicznych oraz 40 w pozostałych spółkach Grupy. W 2018 roku w spółkach Grupy PZU zarejestrowano 678 incydentów w zakresie udostępnienia danych bez zgody podmiotu. Z tego 613 przypadków miało miejsce w LINK4, 27 w Grupie Alior, 5 w Grupie PZU Zdrowie, 2 W Grupie Pekao, 28 w spółkach zagranicznych, 2 w PZU Życie i 1 przypadek w PZU SA. Incydenty dotyczyły ujawnienia danych osobowych i danych objętych tajemnicą bankową lub ubezpieczeniową osobom nieuprawnionym. Związane były z przesłaniem korespondencji e-mailowej na niewłaściwy adres do osób nieuprawnionych i w większości wynikały z błędów ludzkich. Poziom zgłoszeń w LINK4 wynika z charakteru tego kanału sprzedaży – kanał direct oparty jest na danych osobowych przekazywanych przez klientów – liczne incydenty były związane z błędami w podanych przez klientów adresach mailowych. Wzrost ilości naruszeń w LINK4 w porównaniu do poprzedniego roku wynikał z większej świadomości pracowników i świadczy o skuteczności szkoleń z zakresu ochrony danych osobowych.

W 2018 roku do PZU oraz PZU Życie zostały złożone trzy skargi przez podmioty zewnętrzne. Skargi dotyczyły udostępnienia danych bez zgody podmiotu i zostały uznane przez organizację. W 2019 roku do PZU złożono łącznie 8 skarg od podmiotów zewnętrznych, natomiast do PZU Życie wpłynęły 3 skargi od podmiotów zewnętrznych. Wszystkie incydenty zostały poddane analizie, co pozwoli na udoskonalenie procesów. W ramach prowadzenia wewnętrznego postępowania wyjaśniającego w PZU potwierdzono 3 przypadki udostępnienia danych bez zgody podmiotu w których doszło do udostępnienia danych osobie trzeciej.

Testy systemów informatycznych


Wdrażanie i sprzedaż produktów oraz dostosowywanie oferty do zmieniających się potrzeb klientów stanowi ogromne wyzwanie dla systemów informatycznych Grupy. Aby zmiany przebiegały płynnie i nie zakłócały obsługi klientów, w organizacji wypracowano powtarzalną procedurę informatyczną zakładającą szeroki wybór testów i sposobów weryfikacji. Procedura gwarantuje wczesne wykrywanie zagrożeń i ewentualnych problemów oraz odpowiednie zarządzanie nimi.