+420 228 889 960
Kristoffer Abell
kab@whistleblowersoftware.com
+420 228 889 960
Fyzické úložiště
AWS (Amazon Web Services) odpovídá za fyzické zabezpečení infrastruktury. AWS je navrženo tak, aby nejen umožňovalo skutečně škálovatelná cloudová řešení, ale také aby splnilo nejvyšší očekávání v oblasti zabezpečení.
V reakci na rozsudek Schrems | | Whistleblower Software by Formalize podporuje kompletní koncové šifrování v souladu s doporučeními Evropské unie. Klikněte sem a přečtěte si více.
Data jsou uložena na serverech ze zařízení, které je certifikováno podle norem ISO 27001, ISO 27017, ISO 27017 a SOC 1, SOC 2 a SOC 3 Chcete-li získat úplný přehled o compliance programech, klikněte zde.
Umístění
Všechna data a zálohy jsou uloženy u AWS ve Frankfurtu. Zálohy jsou uloženy v různých zónách dostupnosti, aby byla zajištěna dostupnost dat.
Získejte přehled o vrstvě perimetru datových center, vrstvě infrastruktury, datové vrstvě a vrstvě prostředí, klikněte zde.
Nejvyšší prioritou vývojového týmu Whistleblower Software by Formalize je zajistit maximální bezpečnost. Té dosahujeme prostřednictvím preventivních funkcí, jako je koncové šifrování, vícefaktorová autentizace (MFA) a neustálé zaměření na kvalitní, čistý a bezpečný kód, revize kódu, naše prostředí pro zajištění kvality (QA) a manuální a automatické testy.
Whistleblower Software by Formalize přistupuje seriózně ke sdílené odpovědnosti za bezpečnost mezi naší cloudovou infrastrukturou a našimi aplikacemi. Chcete-li se seznámit s některými osvědčenými postupy, kterými se řídíme, klikněte zde.
Popis systému
Dokument vysvětlující systém a jeho zabezpečení
Společnost Whistleblower Software by Formalize často provádí řadu automatizovaných a manuálních testů, aby zjistila kritické zranitelnosti, jako jsou potenciální útoky typu XSS (Cross Site Script), SQL-injections, zranitelnosti související s relacemi a další.
Pro zajištění nejvyšší bezpečnosti provádíme také pravidelné penetrační testy od třetích stran.
Whistleblower Software by Formalize má ideální podmínky pro zajištění ochrany síťového firewallu ve velkém měřítku prostřednictvím AWS, což nám pomáhá zmírnit potenciální útoky DDoS a další potenciální zneužití. Společnost Whistleblower Software by Formalize minimalizuje rizika díky jemné segmentaci sítě a náš systém je nepřetržitě monitorován z hlediska hrozeb jak na úrovni sítě, tak na úrovni aplikací.
Whistleblower Software by Formalize klade důraz na ochranu soukromí, a to tím, že celý náš systém staví na zabezpečení a ochraně soukromí, které přesahují rámec osvědčených postupů v tomto odvětví.
Dokonce ani naši vývojáři softwaru nemohou vidět vaše oznámení díky našemu Koncové šifrování. Všechny volné textové formuláře a pole pro zadávání textu související s případem jsou před uložením do naší databáze zašifrovány. Klíče k odemčení informací obdrží pouze vaše společnost. To také znamená, že pokud by došlo k nejhoršímu, žádný narušitel nebude moci z databáze přečíst informace o případu.
Vývojový proces společnosti Whistleblower Software by Formalize je založen na principu Privacy by Design, který se skládá ze sedmi zásad, jak zajistit vysokou úroveň zabezpečení citlivých soukromých informací a bezpečnosti obecně. Například prostřednictvím takzvaných Privacy Enhancing Technologies (PETs) a organizačních opatření.
Podstatou Privacy by Design je, že naše IT systémy a organizační procesy od samého počátku budujeme soudržně na základě ochrany soukromí a transparentnosti a nepovažujeme je za druhotný prvek.
Whistleblower Software by Formalize používá End-to-End Encryption (E2EE) k zajištění vysokého standardu ochrany osobních údajů při komunikaci prostřednictvím naší platformy. Informace jsou zašifrovány pomocí jedinečného klíče vaší společnosti, než jsou odeslány prostřednictvím připojení SSL, kde se poté uloží do naší databáze AWS. Když si pak má informace přečíst například vaše společnost nebo whistleblower, zašifrovaná data jsou přijata a dešifrována přímo ve vašem prohlížeči pomocí vašeho jedinečného dešifrovacího klíče.
Váš jedinečný dešifrovací klíč může být uložen mimo naše prostředí AWS, aby bylo zajištěno nejvyšší zabezpečení. To znamená, že zaměstnanci Whistleblower Software by Formalize nemohou číst vaše případy a další informace související s ochranou soukromí z vašeho účtu. Jedná se také o rozsáhlou ochranu proti MITM útokům.
Tím je navíc zajištěno, že Whistleblower Software by Formalize je plně v souladu s nařízením Schrems || (GDPR), protože zabraňuje přeshraničnímu přístupu z jakékoli státní instituce.
Odesílaná data (při přenosu) jsou šifrována pomocí protokolu TLS a data uložená (v klidovém stavu) jsou rovněž šifrována.
Case-hub je standardně chráněn heslem. Další vrstvu zabezpečení lze zavést povolením vícefaktorové autentizace. To vyžaduje, aby se uživatelé před vstupem do systému ověřili například pomocí SMS.
Po vstupu do systému musí být uživatelům a externím poradcům udělena oprávnění k přístupu k určitému obsahu nebo k provádění dalších operací. Systém navíc neposkytuje uživatelům přístup ke všem případům. Na úrovni případů lze přístup udělit jednotlivcům, takže je zajištěno, že k případům (vytvořeným v systému) nemají přístup neoprávněné osoby. To lze provést i na úrovni kategorií, takže při vytváření nových případů mají určité osoby automaticky přístup například k případům, které jsou označeny jako spadající do kategorie "praní špinavých peněz".
Kromě toho je také možné použít pravidla, jako jsou „oprávnění k archivaci“. To by například mohlo vyžadovat, aby každý případ mohl být archivován pouze v případě, že s tím souhlasí 2 nebo všichni zpracovatelé případů.
Whistleblower Software by Formalize je navržen tak, aby byl transparentní pro oznamovatele a manažery případů. Manažeři případů mají například vždy možnost vrátit se zpět v čase a prostřednictvím záznamů o činnosti se podívat na všechny změny v případu a činnosti řešitele případu.
Prostřednictvím oznamovacího kanálu může oznamovatel zjistit, kdo se bude případem zabývat na základě kategorie a oddělení, které si zvolil. Po odeslání má oznamovatel kdykoli přístup ke svému oznámení, aby doplnil další informace nebo jen komunikoval se společností, a to i v případě, že oznámení podal anonymně. V tomto přehledu bude mít oznamovatel možnost vidět aktuální stav vyřizování případu a osoby, které se na něm podílejí. Prověřovatelé a řešitelé případů mohou případy anonymizovat nebo pseudonymizovat, pokud je do případu zapojeno více řešitelů, přičemž všichni budou pro oznamovatele stále viditelní.
Oznamovací systém je vytvořen tak, aby byl plně v souladu s hlavními zákony o whistleblowingu a ochraně osobních údajů, a to i pro podniky, které spadají pod více právních jurisdikcí. Včetně:
EU směrnice o ochraně oznamovatelů 2019/19378
Sekce 301 zákona USA SOX o společenské odpovědnosti
UK FCA
Německý kodex správy a řízení společností
Francouzský zákon Loi Sapin II
To samozřejmě zahrnuje EU směrnici o ochraně oznamovatelů, kde pečlivě sledujeme související místní legislativu, abychom byli schopni splnit všechny místní požadavky.
Abychom zajistili, že jako organizace dodržujeme osvědčené postupy pro bezpečnost informací, zavedli jsme systém řízení ISO/IEC 27001:2022. Certifikát dokládá, že činnost společnosti Whistleblower Software by Formalize se řídí mezinárodně uznávanými standardy pro řízení vývoje, prodeje a správy whistleblowingových řešení.
Vyžádejte si zprávu našeho nezávislého auditora ISAE 3000 Type 2 o zabezpečení informací a opatřeních na ochranu údajů v souvislosti s dohodou zpracovatele údajů se správci údajů. V externím auditu se můžete dočíst více o fungování systému a o organizačních a technických bezpečnostních opatřeních, která jsme zavedli. Audit ISAE 3000 Type 2 se provádí každoročně a je postaven na normě ISO 27001.
ENS (španělský národní bezpečnostní systém) vyžaduje, aby veřejný sektor ve Španělsku a společnosti dodávající technologie veřejným subjektům dodržovaly vysoké bezpečnostní standardy. Tyto předpisy zaručují bezpečnost systémů, dat a komunikace na ochranu jednotlivců. Whistleblower Software by Formalize je certifikován na úrovni „Alta“, což znamená nejvyšší dosažitelnou úroveň.
Certifikace ENS - úroveň: Vysoká
Provedeno 3. května 2023 společností BDO.
Certifikace WCAG je pečetí kvality prokazující přístupnost webu podle mezinárodních směrnic W3C (WCAG), která usnadňuje lidem se zrakovým nebo sluchovým postižením procházení webových stránek. Díky tomu je produkt přístupnější a inkluzivnější pro osoby se zdravotním postižením. Certifikát uznává úsilí o přístupnost webu a zajišťuje soulad s právními požadavky.
WCAG 2.1 AA Stříbrná
Provedeno 27. září 2023 společností TÜV TRUST IT.
Vzhledem k zaměření Whistleblower Software by Formalize na Privacy by Design , bylo snadné zavést do produktu několik funkcí, které vyhovují nejen legislativě, ale také iniciativám v oblasti ochrany soukromí osvědčených postupů.
Whistleblower Software by Formalize je v souladu s hlavními zákony na ochranu soukromí, včetně GDPR . Více informací o tom, jak naše řešení zohledňuje Schrems II prostřednictvím E2EE, najdete zde.
Provádíme pravidelné externí audity GDPR.
+420 228 889 960
Kristoffer Abell
kab@whistleblowersoftware.com
+420 228 889 960
5/5 hvězdiček na G2
