Zabraňte únikům citlivých záležitostí
Zvojte nejvyšší bezpečnost.

Certifikovaný odznak ISO 27001.
ISO/IEC 27001:2013
Abychom zajistili, že jako organizace dodržujeme osvědčené postupy pro bezpečnost informací, zavedli jsme systém řízení ISO/IEC 27001:2013.
Odznak auditu ISAE 3000.
ISAE 3000
Správa nezávislého auditora ISAE 3000 o zabezpečení informací a opatřeních na ochranu údajů ve vztahu ke smlouvě o zpracování údajů se správci údajů.
Hostitelský odznak ISO 27001.
Servery ISO 27001
Data jsou bezpečně hostována pomocí AWS s certifikací ISO 27001.
Odznak penetrační zkoušky.
Penetrační test
Poslední provedení v květnu 2021 od Zencurity
Kristoffer Abell z whistleblower Software
Máte dotaz?
+420 228 889 960
Kristoffer Abell
kab@whistleblowersoftware.com

Bezpečnost

Datové úložiště

Fyzické úložiště

AWS (Amazon Web Services) odpovídá za fyzické zabezpečení infrastruktury. AWS je navrženo tak, aby nejen umožňovalo skutečně škálovatelná cloudová řešení, ale také aby splnilo nejvyšší očekávání v oblasti zabezpečení.

V reakci na rozsudek Schrems | | Whistleblower Software podporuje kompletní šifrování End-to-End v souladu s doporučeními Evropské unie. Klikněte sem a přečtěte si více.

Data jsou uložena na serverech ze zařízení, které je certifikováno podle norem ISO 27001, ISO 27017, ISO 27017 a SOC 1, SOC 2 a SOC 3 . Chcete-li získat úplný přehled o compliance programech, klikněte zde.

Umístění

Všechna data a zálohy jsou uloženy u AWS ve Frankfurtu. Zálohy jsou uloženy v různých zónách dostupnosti, aby byla zajištěna dostupnost dat.

Získejte přehled o vrstvě perimetru datových center, vrstvě infrastruktury, datové vrstvě a vrstvě prostředí,tvy a vrstvy prostředí, klikněte zde.

Zabezpečení aplikací

Nejvyšší prioritou vývojového týmu Whistleblower Software je zajistit maximální bezpečnost. Té dosahujeme prostřednictvím preventivních funkcí, jako je šifrování End-to-End, vícefaktorová autentizace (MFA) a neustálé zaměření na kvalitní, čistý a bezpečný kód, revize kódu, naše prostředí pro zajištění kvality (QA) a manuální a automatické testy.

Whistleblower Software přistupuje seriózně ke sdílené odpovědnosti za bezpečnost mezi naší cloudovou infrastrukturou a našimi aplikacemi. Chcete-li se seznámit s některými osvědčenými postupy, kterými se řídíme, klikněte zde.

Popis systému

Dokument vysvětlující systém a jeho zabezpečení

Společnost Whistleblower Software často provádí řadu automatizovaných a manuálních testů, aby zjistila kritické zranitelnosti, jako jsou potenciální útoky typu XSS (Cross Site Script), SQL-injections, zranitelnosti související s relacemi a další.

Pro zajištění nejvyšší bezpečnosti provádíme také pravidelné penetrační testy od třetích stran.

Odznak penetrační zkoušky.

Penetrační test

Provedeno 1. dubna 2021 společností Zencurity ApS.

Ochrana sítě

Whistleblower Software má ideální podmínky pro zajištění ochrany síťového firewallu ve velkém měřítku prostřednictvím AWS, což nám pomáhá zmírnit potenciální útoky DDoS a další potenciální zneužití. Společnost Whistleblower Software minimalizuje rizika díky jemné segmentaci sítě a náš systém je nepřetržitě monitorován z hlediska hrozeb jak na úrovni sítě, tak na úrovni aplikací.

Soukromí

Vaše data nevidíme

Whistleblower Software klade důraz na ochranu soukromí, a to tím, že celý náš systém staví na zabezpečení a ochraně soukromí, které přesahují rámec osvědčených postupů v tomto odvětví.

Dokonce ani naši vývojáři softwaru nemohou vidět vaše případy díky našemu End-to-End šifrování. Všechny volné textové formuláře a pole pro zadávání textu související s případem jsou před uložením do naší databáze zašifrovány. Klíče k odemčení informací obdrží pouze vaše společnost. To také znamená, že pokud by došlo k nejhoršímu, žádný narušitel nebude moci z databáze přečíst informace o případu.

Anonymita oznamovatele

Ve většině zemí je osvědčeným postupem umožnit oznamovatelům podat důvěrné oznámení, a to z toho důvodu větší ochrany oznamovatele před zákonem, pokud je možné jej identifikovat. V některých případech však mohou mít whistlebloweři s ohlašováním potíže kvůli obavám z možných osobních následků.
Software pro oznamovatele proto umožňuje oznamovateli podat anonymní oznámení, ale také prověřovatelům a zpracovatelům případů anonymizovat nebo pseudonymizovat oznámení v případě, že se na nich podílí více zpracovatelů. Mít k dispozici nástroje na ochranu identity oznamovatele může být klíčem k tomu, aby byl případ nahlášen včas.

Privacy by Design

Vývojový proces společnosti Whistleblower Software je založen na principu Privacy by Design, který se skládá ze sedmi zásad, jak zajistit vysokou úroveň zabezpečení citlivých soukromých informací a bezpečnosti obecně. Například prostřednictvím takzvaných Privacy Enhancing Technologies (PETs) a organizačních opatření.

Podstatou Privacy by Design je, že naše IT systémy a organizační procesy od samého počátku budujeme soudržně na základě ochrany soukromí a transparentnosti a nepovažujeme je za druhotný prvek.

Zvláštní opatření

End-to-End šifrování

Whistleblower Software používá End-to-End Encryption (E2EE) k zajištění vysokého standardu ochrany osobních údajů při komunikaci prostřednictvím naší platformy. Informace jsou zašifrovány pomocí jedinečného klíče vaší společnosti, než jsou odeslány prostřednictvím připojení SSL, kde se poté uloží do naší databáze AWS. Když si pak má informace přečíst například vaše společnost nebo whistleblower, zašifrovaná data jsou přijata a dešifrována přímo ve vašem prohlížeči pomocí vašeho jedinečného dešifrovacího klíče.

Váš jedinečný dešifrovací klíč může být uložen mimo naše prostředí AWS, aby bylo zajištěno nejvyšší zabezpečení. To znamená, že zaměstnanci Whistleblower Software nemohou číst vaše případy a další informace související s ochranou soukromí z vašeho účtu. Jedná se také o rozsáhlou ochranu proti MITM útokům.

Tím je navíc zajištěno, že Whistleblower Software je plně v souladu s nařízením Schrems || (GDPR), protože zabraňuje přeshraničnímu přístupu z jakékoli státní instituce.

Odesílaná data (při přenosu) jsou šifrována pomocí protokolu TLS a data uložená (v klidovém stavu) jsou rovněž šifrována.

Řízení přístupu

Case-hub je standardně chráněn heslem. Další vrstvu zabezpečení lze zavést povolením vícefaktorové autentizace. To vyžaduje, aby se uživatelé před vstupem do systému ověřili například pomocí SMS.

Po vstupu do systému musí být uživatelům a externím poradcům udělena oprávnění k přístupu k určitému obsahu nebo k provádění dalších operací. Systém navíc neposkytuje uživatelům přístup ke všem případům. Na úrovni případů lze přístup udělit jednotlivcům, takže je zajištěno, že k případům (vytvořeným v systému) nemají přístup neoprávněné osoby. To lze provést i na úrovni kategorií, takže při vytváření nových případů mají určité osoby automaticky přístup například k případům, které jsou označeny jako spadající do kategorie "praní špinavých peněz".

Kromě toho je také možné použít pravidla, jako jsou „oprávnění k archivaci“. To by například mohlo vyžadovat, aby každý případ mohl být archivován pouze v případě, že s tím souhlasí 2 nebo všichni zpracovatelé případů.

Transparentnost a protokolování

Whistleblower Software je navržen tak, aby byl transparentní pro oznamovatele a manažery případů. Manažeři případů mají například vždy možnost vrátit se zpět v čase a prostřednictvím záznamů o činnosti se podívat na všechny změny v případu a činnosti řešitele případu.

Prostřednictvím oznamovacího kanálu může oznamovatel zjistit, kdo se bude případem zabývat na základě kategorie a oddělení, které si zvolil. Po odeslání má oznamovatel kdykoli přístup ke svému oznámení, aby doplnil další informace nebo jen komunikoval se společností, a to i v případě, že oznámení podal anonymně. V tomto přehledu bude mít oznamovatel možnost vidět aktuální stav vyřizování případu a osoby, které se na něm podílejí. Prověřovatelé a řešitelé případů mohou případy anonymizovat nebo pseudonymizovat, pokud je do případu zapojeno více řešitelů, přičemž všichni budou pro oznamovatele stále viditelní.

Compliance

Zákony o oznamovatelích

Software pro whistleblowery je vytvořen tak, aby byl plně v souladu s hlavními zákony o whistleblowingu a ochraně osobních údajů, a to i pro podniky, které spadají pod více právních jurisdikcí. Včetně:

EU směrnice o ochraně oznamovatelů 2019/19378

Sekce 301 zákona USA SOX o společenské odpovědnosti

UK FCA

Německý kodex správy a řízení společností

Francouzský zákon Loi Sapin II

To samozřejmě zahrnuje EU směrnici o ochraně oznamovatelů, kde pečlivě sledujeme související místní legislativu, abychom byli schopni splnit všechny místní požadavky.

Připravujeme se na to, že budeme schopni podporovat připravovanou normu ISO 37002 , která poskytuje celosvětově standardizované pokyny pro systémy řízení whistleblowingu.

ISO/IEC 27001:2013

Abychom zajistili, že jako organizace dodržujeme osvědčené postupy pro bezpečnost informací, zavedli jsme systém řízení ISO/IEC 27001:2013. Certifikát dokládá, že činnost společnosti Whistleblower Software se řídí mezinárodně uznávanými standardy pro řízení vývoje, prodeje a správy whistleblowingových řešení.

Certifikovaný odznak ISO 27001.

ISO/IEC 27001:2013

Provedeno 1. prosince 2021 společností Intertek.

ISAE 3000

Vyžádejte si zprávu našeho nezávislého auditora ISAE 3000 o zabezpečení informací a opatřeních na ochranu údajů v souvislosti s dohodou zpracovatele údajů se správci údajů. V externím auditu se můžete dočíst více o fungování systému a o organizačních a technických bezpečnostních opatřeních, která jsme zavedli. Audit ISAE 3000 se provádí každoročně a je postaven na normě ISO 27001.

Odznak auditu ISAE 3000.

ISAE 3000

Provedeno 1. června 2021 společností Beierholm.

GDPR auditováno

Vzhledem k zaměření Whistleblower Software na Privacy by Design , bylo snadné zavést do produktu několik funkcí, které vyhovují nejen legislativě, ale také iniciativám v oblasti ochrany soukromí osvědčených postupů.

Whistleblower Software je v souladu s hlavními zákony na ochranu soukromí, včetně GDPR . Více informací o tom, jak naše řešení zohledňuje Schrems II prostřednictvím E2EE, najdete zde.

Provádíme pravidelné externí audity GDPR.

Kristoffer Abell z whistleblower Software
Máte dotaz?
+420 228 889 960
Kristoffer Abell
kab@whistleblowersoftware.com