Zabraňte únikům citlivých záležitostí
Zvojte nejvyšší bezpečnost.

Rychlá navigace
  1. Bezpečnost
  2. Soukromí
  3. Zvláštní opatření
  4. Compliance
Certifikovaný odznak ISO 27001.
ISO/IEC 27001:2013
Abychom zajistili, že jako organizace dodržujeme osvědčené postupy pro bezpečnost informací, zavedli jsme systém řízení ISO/IEC 27001:2013.
Odznak auditu ISAE 3000 Type 2.
ISAE 3000 Type 2
Správa nezávislého auditora ISAE 3000 Type 2 o zabezpečení informací a opatřeních na ochranu údajů ve vztahu ke smlouvě o zpracování údajů se správci údajů.
Hostitelský odznak ISO 27001.
Servery ISO 27001
Data jsou bezpečně hostována pomocí AWS s certifikací ISO 27001.
Odznak penetrační zkoušky.
Penetrační test
Poslední provedení v květnu 2023 od TRUESEC
landing-page.security.ens_image_alt
Certifikace ENS
Dodržování bezpečnostních předpisů ENS je pro veřejný sektor ve Španělsku povinné.
WCAG 2.1 AA stříbrný certifikát certifikátu
Certifikace WCAG 2.1 AA
Směrnice pro zpřístupnění webového obsahu (WCAG) mají za cíl usnadnit lidem se zrakovým nebo sluchovým postižením procházení webových stránek.

Máte dotaz?

landing-page.global.any_questions_alt

Kristoffer Abell

kab@whistleblowersoftware.com

+420 228 889 960

Bezpečnost

Datové úložiště

Fyzické úložiště

AWS (Amazon Web Services) odpovídá za fyzické zabezpečení infrastruktury. AWS je navrženo tak, aby nejen umožňovalo skutečně škálovatelná cloudová řešení, ale také aby splnilo nejvyšší očekávání v oblasti zabezpečení.

V reakci na rozsudek Schrems | | Whistleblower Software by Formalize podporuje kompletní koncové šifrování v souladu s doporučeními Evropské unie. Klikněte sem a přečtěte si více.

Data jsou uložena na serverech ze zařízení, které je certifikováno podle norem ISO 27001, ISO 27017, ISO 27017 a SOC 1, SOC 2 a SOC 3 Chcete-li získat úplný přehled o compliance programech, klikněte zde.

Umístění

Všechna data a zálohy jsou uloženy u AWS ve Frankfurtu. Zálohy jsou uloženy v různých zónách dostupnosti, aby byla zajištěna dostupnost dat.

Získejte přehled o vrstvě perimetru datových center, vrstvě infrastruktury, datové vrstvě a vrstvě prostředí, klikněte zde.

Zabezpečení aplikací

Nejvyšší prioritou vývojového týmu Whistleblower Software by Formalize je zajistit maximální bezpečnost. Té dosahujeme prostřednictvím preventivních funkcí, jako je koncové šifrování, vícefaktorová autentizace (MFA) a neustálé zaměření na kvalitní, čistý a bezpečný kód, revize kódu, naše prostředí pro zajištění kvality (QA) a manuální a automatické testy.

Whistleblower Software by Formalize přistupuje seriózně ke sdílené odpovědnosti za bezpečnost mezi naší cloudovou infrastrukturou a našimi aplikacemi. Chcete-li se seznámit s některými osvědčenými postupy, kterými se řídíme, klikněte zde.

Popis systému

Dokument vysvětlující systém a jeho zabezpečení

Společnost Whistleblower Software by Formalize často provádí řadu automatizovaných a manuálních testů, aby zjistila kritické zranitelnosti, jako jsou potenciální útoky typu XSS (Cross Site Script), SQL-injections, zranitelnosti související s relacemi a další.

Pro zajištění nejvyšší bezpečnosti provádíme také pravidelné penetrační testy od třetích stran.

Odznak penetrační zkoušky.

Penetrační test

Provedeno 26. května 2023 společností Truesec A/S.

Ochrana sítě

Whistleblower Software by Formalize má ideální podmínky pro zajištění ochrany síťového firewallu ve velkém měřítku prostřednictvím AWS, což nám pomáhá zmírnit potenciální útoky DDoS a další potenciální zneužití. Společnost Whistleblower Software by Formalize minimalizuje rizika díky jemné segmentaci sítě a náš systém je nepřetržitě monitorován z hlediska hrozeb jak na úrovni sítě, tak na úrovni aplikací.

Soukromí

Vaše data nevidíme

Whistleblower Software by Formalize klade důraz na ochranu soukromí, a to tím, že celý náš systém staví na zabezpečení a ochraně soukromí, které přesahují rámec osvědčených postupů v tomto odvětví.

Dokonce ani naši vývojáři softwaru nemohou vidět vaše oznámení díky našemu Koncové šifrování. Všechny volné textové formuláře a pole pro zadávání textu související s případem jsou před uložením do naší databáze zašifrovány. Klíče k odemčení informací obdrží pouze vaše společnost. To také znamená, že pokud by došlo k nejhoršímu, žádný narušitel nebude moci z databáze přečíst informace o případu.

Anonymita oznamovatele

Ve většině zemí je osvědčeným postupem umožnit oznamovatelům podat důvěrné oznámení, a to z toho důvodu větší ochrany oznamovatele před zákonem, pokud je možné jej identifikovat. V některých případech však mohou mít oznamovatelé s oznamocáním potíže kvůli obavám z možných osobních následků.
Software pro oznamovatele proto umožňuje oznamovateli podat anonymní oznámení, ale také prověřovatelům a zpracovatelům případů anonymizovat nebo pseudonymizovat oznámení v případě, že se na nich podílí více zpracovatelů. Mít k dispozici nástroje na ochranu identity oznamovatele může být klíčem k tomu, aby byl případ nahlášen včas.

Privacy by Design

Vývojový proces společnosti Whistleblower Software by Formalize je založen na principu Privacy by Design, který se skládá ze sedmi zásad, jak zajistit vysokou úroveň zabezpečení citlivých soukromých informací a bezpečnosti obecně. Například prostřednictvím takzvaných Privacy Enhancing Technologies (PETs) a organizačních opatření.

Podstatou Privacy by Design je, že naše IT systémy a organizační procesy od samého počátku budujeme soudržně na základě ochrany soukromí a transparentnosti a nepovažujeme je za druhotný prvek.

Zvláštní opatření

Koncové šifrování

Whistleblower Software by Formalize používá End-to-End Encryption (E2EE) k zajištění vysokého standardu ochrany osobních údajů při komunikaci prostřednictvím naší platformy. Informace jsou zašifrovány pomocí jedinečného klíče vaší společnosti, než jsou odeslány prostřednictvím připojení SSL, kde se poté uloží do naší databáze AWS. Když si pak má informace přečíst například vaše společnost nebo whistleblower, zašifrovaná data jsou přijata a dešifrována přímo ve vašem prohlížeči pomocí vašeho jedinečného dešifrovacího klíče.

Váš jedinečný dešifrovací klíč může být uložen mimo naše prostředí AWS, aby bylo zajištěno nejvyšší zabezpečení. To znamená, že zaměstnanci Whistleblower Software by Formalize nemohou číst vaše případy a další informace související s ochranou soukromí z vašeho účtu. Jedná se také o rozsáhlou ochranu proti MITM útokům.

Tím je navíc zajištěno, že Whistleblower Software by Formalize je plně v souladu s nařízením Schrems || (GDPR), protože zabraňuje přeshraničnímu přístupu z jakékoli státní instituce.

Odesílaná data (při přenosu) jsou šifrována pomocí protokolu TLS a data uložená (v klidovém stavu) jsou rovněž šifrována.

Kontrola přístupu

Case-hub je standardně chráněn heslem. Další vrstvu zabezpečení lze zavést povolením vícefaktorové autentizace. To vyžaduje, aby se uživatelé před vstupem do systému ověřili například pomocí SMS.

Po vstupu do systému musí být uživatelům a externím poradcům udělena oprávnění k přístupu k určitému obsahu nebo k provádění dalších operací. Systém navíc neposkytuje uživatelům přístup ke všem případům. Na úrovni případů lze přístup udělit jednotlivcům, takže je zajištěno, že k případům (vytvořeným v systému) nemají přístup neoprávněné osoby. To lze provést i na úrovni kategorií, takže při vytváření nových případů mají určité osoby automaticky přístup například k případům, které jsou označeny jako spadající do kategorie "praní špinavých peněz".

Kromě toho je také možné použít pravidla, jako jsou „oprávnění k archivaci“. To by například mohlo vyžadovat, aby každý případ mohl být archivován pouze v případě, že s tím souhlasí 2 nebo všichni zpracovatelé případů.

Transparentnost a protokolování

Whistleblower Software by Formalize je navržen tak, aby byl transparentní pro oznamovatele a manažery případů. Manažeři případů mají například vždy možnost vrátit se zpět v čase a prostřednictvím záznamů o činnosti se podívat na všechny změny v případu a činnosti řešitele případu.

Prostřednictvím oznamovacího kanálu může oznamovatel zjistit, kdo se bude případem zabývat na základě kategorie a oddělení, které si zvolil. Po odeslání má oznamovatel kdykoli přístup ke svému oznámení, aby doplnil další informace nebo jen komunikoval se společností, a to i v případě, že oznámení podal anonymně. V tomto přehledu bude mít oznamovatel možnost vidět aktuální stav vyřizování případu a osoby, které se na něm podílejí. Prověřovatelé a řešitelé případů mohou případy anonymizovat nebo pseudonymizovat, pokud je do případu zapojeno více řešitelů, přičemž všichni budou pro oznamovatele stále viditelní.

Compliance

Zákony o whistleblowingu

Oznamovací systém je vytvořen tak, aby byl plně v souladu s hlavními zákony o whistleblowingu a ochraně osobních údajů, a to i pro podniky, které spadají pod více právních jurisdikcí. Včetně:

EU směrnice o ochraně oznamovatelů 2019/19378

Sekce 301 zákona USA SOX o společenské odpovědnosti

UK FCA

Německý kodex správy a řízení společností

Francouzský zákon Loi Sapin II

To samozřejmě zahrnuje EU směrnici o ochraně oznamovatelů, kde pečlivě sledujeme související místní legislativu, abychom byli schopni splnit všechny místní požadavky.

Připravujeme se na to, že budeme schopni podporovat připravovanou normu ISO 37002 , která poskytuje celosvětově standardizované pokyny pro systémy řízení whistleblowingu.

ISO/IEC 27001:2013

Abychom zajistili, že jako organizace dodržujeme osvědčené postupy pro bezpečnost informací, zavedli jsme systém řízení ISO/IEC 27001:2013. Certifikát dokládá, že činnost společnosti Whistleblower Software by Formalize se řídí mezinárodně uznávanými standardy pro řízení vývoje, prodeje a správy whistleblowingových řešení.

Certifikovaný odznak ISO 27001.

ISO/IEC 27001:2013

Provedeno 1. prosince 2021 společností Intertek.

ISAE 3000 Type 2

Vyžádejte si zprávu našeho nezávislého auditora ISAE 3000 Type 2 o zabezpečení informací a opatřeních na ochranu údajů v souvislosti s dohodou zpracovatele údajů se správci údajů. V externím auditu se můžete dočíst více o fungování systému a o organizačních a technických bezpečnostních opatřeních, která jsme zavedli. Audit ISAE 3000 Type 2 se provádí každoročně a je postaven na normě ISO 27001.

Odznak auditu ISAE 3000 Type 2.

ISAE 3000 Type 2

Provedeno 1. června 2023 společností Beierholm.

Certifikace ENS

ENS (španělský národní bezpečnostní systém) vyžaduje, aby veřejný sektor ve Španělsku a společnosti dodávající technologie veřejným subjektům dodržovaly vysoké bezpečnostní standardy. Tyto předpisy zaručují bezpečnost systémů, dat a komunikace na ochranu jednotlivců. Whistleblower Software by Formalize je certifikován na úrovni „Alta“, což znamená nejvyšší dosažitelnou úroveň.

Certifikovaný odznak ENS.

Certifikace ENS - úroveň: Vysoká

Provedeno 3. května 2023 společností BDO.

WCAG 2.1 AA

Certifikace WCAG je pečetí kvality prokazující přístupnost webu podle mezinárodních směrnic W3C (WCAG), která usnadňuje lidem se zrakovým nebo sluchovým postižením procházení webových stránek. Díky tomu je produkt přístupnější a inkluzivnější pro osoby se zdravotním postižením. Certifikát uznává úsilí o přístupnost webu a zajišťuje soulad s právními požadavky.

WCAG 2.1 AA stříbrný certifikát certifikátu

WCAG 2.1 AA Stříbrná

Provedeno 27. září 2023 společností TÜV TRUST IT.

GDPR auditováno

Vzhledem k zaměření Whistleblower Software by Formalize na Privacy by Design , bylo snadné zavést do produktu několik funkcí, které vyhovují nejen legislativě, ale také iniciativám v oblasti ochrany soukromí osvědčených postupů.

Whistleblower Software by Formalize je v souladu s hlavními zákony na ochranu soukromí, včetně GDPR . Více informací o tom, jak naše řešení zohledňuje Schrems II prostřednictvím E2EE, najdete zde.

Provádíme pravidelné externí audity GDPR.

Máte dotaz?

landing-page.global.any_questions_alt

Kristoffer Abell

kab@whistleblowersoftware.com

+420 228 889 960

Zarezervujte si demo

5/5 hvězdiček na G2