Dal 2006, il Sistema di Gestione della Sicurezza delle Informazioni (SGSI) di BPS è certificato ISO27000 dall'ente di certificazione DNV ed è in costante evoluzione.
In particolare, l'ambito che rientra nel Sistema di Gestione della Sicurezza delle Informazioni (SGSI) di BPS e nelle conseguenti verifiche ai fini della certificazione, è il seguente:
Sistema di gestione della sicurezza delle informazioni relativo alla progettazione, sviluppo e mantenimento dei servizi di online Banking, di strumenti e di servizi a supporto della progettazione e dello sviluppo applicativo e della gestione dei sistemi e delle reti informatiche siti nella Server Farm.
SGSI contempla, in particolare, tecnologie, organizzazione e processi a presidio della sicurezza ICT, e dunque di quanto inteso riferirsi alla così detta cyber security.
I requisiti e i controlli contemplati dalla ISO/IEC 27701, non soltanto tengono in considerazione la normativa tecnica internazionale vigente (ISO/IEC 27001, ISO/IEC 27002, il privacy framework ed i principi espressi nella ISO/IEC 29100, ISO/IEC 27018, ISO/IEC 29151), ma fanno altresì esplicito riferimento alla specifica normativa comunitaria in materia di protezione dei dati personali (GDPR), indicando in modo chiaro ed analitico gli adempimenti che competono al titolare e al responsabile del "trattamento".
Conseguentemente, i modelli di valutazione e presidio dei rischi della sicurezza dei sistemi informativi potranno essere integrati e correlati con quelli dedicati ai rischi privacy, tenendo ovviamente conto delle specificità introdotte dal GDPR.