+45 71 99 63 83
Daniel Hager
dha@whistleblowersoftware.com
+45 71 99 63 83
Fysisk opbevaring
AWS (Amazon Web Services) er ansvarlig for at håndtere infrastrukturens fysiske sikkerhed. AWS er bygget til ikke kun at give mulighed for virkelig skalerbare cloud-løsninger, men også til at imødekomme de højeste forventninger til sikkerhed.
For at adressere Schrems || bekendtgørelsen, så understøtter Whistleblower Software by Formalize fuld End-til-End-kryptering i overensstemmelse med Den Europæiske Unions anbefalinger. Klik her for at læse mere.
Dataene gemmes på servere fra en facilitet, der er ISO 27001, ISO 27017, ISO 27017 og SOC 1, SOC 2 & SOC 3 -certificeret. For at få det fulde overblik over compliance-programmerne, klik her.
Beliggenhed
Alle data og sikkerhedskopier gemmes hos AWS i Frankfurt. Sikkerhedskopier gemmes i forskellige tilgængelighedszoner for at sikre datatilgængelighed.
Få en forståelse af datacentrenes perimeterlag, infrastrukturlag, datalag og miljølag, klik her.
Whistleblower Software by Formalizes udviklingsteams højeste prioritet er at sikre maksimal sikkerhed. Vi gør dette gennem forebyggende funktioner såsom End-til-End-kryptering, Multi-Factor Authentication (MFA) og gennem et kontinuerligt fokus på høj kvalitet, ren og sikker kode, kodereview, vores kvalitetssikringsmiljø (QA) og gennem manual og automatiserede tests.
Whistleblower Software by Formalize tager det fælles ansvar for sikkerhed mellem vores cloudinfrastruktur og vores applikation seriøst. For at give dig et glimt af nogle af de bedste fremgangsmåder, vi følger, klik her.
Systembeskrivelse
Et dokument, der forklarer om systemet og dets sikkerhed
For at få øje på svagheder udfører Whistleblower Software by Formalize ofte en række automatiserede og manuelle test for at kontrollere kritiske sårbarheder, såsom potentialet for Cross Site Script (XSS) -angreb, SQL-injektioner, session-relaterede sårbarheder og mere.
For at sikre den højeste sikkerhed gennemfører vi også regelmæssige penetrationstests fra tredjeparter.
Whistleblower Software by Formalize har de perfekte betingelser for at håndhæve Network Firewall-beskyttelse i skala gennem AWS, hvilket hjælper os med at afbøde potentielle DDoS-angreb og andre potentielle udnyttelser. Whistleblower Software by Formalize minimerer risiko gennem finkornet netværkssegmentering, og vores system overvåges løbende for trusler på både netværksniveau og på applikationsniveau.
Whistleblower Software by Formalize værdsætter privatlivets fred, og vi gør det ved at bygge hele vores system omkring sikkerhed og privatliv, der går ud over bedste praksis for branchen.
Selv vores softwareudviklere kan ikke se dine sager på grund af vores End-til-End-kryptering. Alle sagsrelaterede fritekstformularer og tekstinputfelter krypteres, før de gemmes i vores database. Dit firma vil være den eneste part, der modtager nøglerne til at låse op for oplysningerne. Dette betyder også, at hvis det værste skulle ske, vil enhver ubuden gæst ikke være i stand til at læse sagsoplysninger fra databasen.
Whistleblower Software by Formalizes udviklingsproces er baseret på Privacy by Design, som består af syv principper for, hvordan man kan sikre et højt sikkerhedsniveau omkring privat følsom information og sikkerhed generelt. For eksempel gennem de såkaldte Privacy Enhancing Technologies (PETs) og organisatoriske foranstaltninger.
Kernen i Privacy by Design er, at vi bygger vores IT-systemer og organisatoriske processer sammenhængende omkring privacy og gennemsigtighed fra starten og ikke betragter det som et sekundært element.
Whistleblower-software bruger End-til-End-kryptering (E2EE) for at sikre en høj standard for databeskyttelse i kommunikation gennem vores platform. Oplysninger krypteres via din virksomheds unikke nøgle, inden de sendes via en SSL-forbindelse, hvor de derefter gemmes i vores AWS-database. Når oplysningerne derefter skal læses af din virksomhed eller whistleblower, modtages og dekrypteres de krypterede data direkte i din browser med din unikke dekrypteringsnøgle.
Din unikke dekrypteringsnøgle kan gemmes uden for vores AWS-miljø for at muliggøre den højeste sikkerhed. Dette betyder, at Whistleblower Software by Formalize-medarbejdere ikke kan læse dine sager og andre privatlivsrelaterede oplysninger fra din konto. Dette er også en omfattende beskyttelse mod MITM-angreb.
Derudover sikrer dette, at Whistleblower Software by Formalize er fuldt ud kompatibel med Schrems || (GDPR), da det forhindrer tværatlantisk adgang fra enhver statslig institution.
Data, der sendes (i transit), krypteres ved hjælp af TLS, og data gemt (i hvile) er også krypteret.
Adgang til systemet er som standard beskyttet med adgangskode. Et ekstra lag af sikkerhed kan sættes op ved at aktivere To-faktor-godkendelse. Dette kræver, at brugerne verificerer ved f.eks. SMS, før de kan gå videre til systemet.
Når man er inde i systemet, skal brugere og eksterne rådgivere have tilladelse til at få adgang til bestemt indhold eller udføre yderligere handlinger. Desuden giver systemet ikke brugerne adgang til alle sager. På sagsniveau kan adgang gives til enkeltpersoner, så det sikres, at ingen uautoriserede personer (oprettet i systemet) har adgang til sager. Dette kan også gøres på kategoriniveau, så visse personer automatisk får adgang til f.eks. sager, der er markeret som inden for "hvidvaskning af penge", når der oprettes nye sager.
Derudover er det også muligt at anvende regler såsom “arkivtilladelser”. For eksempel kan dette kræve, at ethvert tilfælde kun kan arkiveres, hvis 2 eller alle sagsbehandlere er enige.
Whistleblower Software by Formalize er bygget til at være gennemsigtig for whistleblowere og sagsbehandlere. For eksempel er det altid muligt for sagsbehandlere at gå tilbage i tiden for at se sagsændringer og sagsbehandlingshandlinger gennem aktivitetslogs.
Via indrapporteringskanalen kan whistlebloweren se, hvem der håndterer sagen ud fra den kategori og afdeling, de har valgt. Efter indsendelse kan whistleblower til enhver tid få adgang til sagen og tilføje flere oplysninger eller kommunikere med virksomheden, selvom de indrapporterede anonymt. I denne oversigt vil whistleblower være i stand til at se den aktuelle status for sagsbehandlingen og de involverede personer. Screenere og sagsbehandlere kan anonymisere eller pseudonymisere sager, hvis der er tale om flere sagsbehandlere, som stadig er synlige for whistlebloweren.
Whistleblower-software er bygget til at være fuldt ud compliant med vigtige love om whistleblowing og privatliv, selv for virksomheder, der spænder over flere juridiske jurisdiktioner. Inklusiv:
EU-direktivet om beskyttelse af whistleblower 2019/19378
US SOX Act afsnit 301 om virksomhedsansvar
UK FCA
Tysk Corporate Governance Code
Fransk Loi Sapin II
Dette inkluderer naturligvis EU Whistleblower Protection Directive, hvor vi følger relaterede lokale lovgivninger nøje for at være i stand til at opfylde alle lokale krav.
Vi forbereder os på at kunne understøtte det kommende ISO 37002 -standard, der giver globalt standardiserede retningslinjer for whistleblowing-styringssystemer.
For at sikre, at vi som organisation følger bedste praksis for informationssikkerhed, har vi implementeret ISO/IEC 27001:2013 ledelsessystemet. Certifikatet beviser, at Whistleblower Software by Formalizes aktiviteter overholder de internationalt anerkendte standarder for styring af udvikling, salg og service af whistleblowerløsninger.
Anmod om vores uafhængige revisors ISAE 3000 Type 2-rapport om informationssikkerhed og databeskyttelsesforanstaltninger i forbindelse med databehandleraftalen med dataansvarlige. I den eksterne revision kan du læse mere om, hvordan systemet fungerer, samt organisatoriske og tekniske sikkerhedsforanstaltninger, vi har implementeret. ISAE 3000 Type 2 Audit udføres årligt og er bygget op omkring ISO 27001-standarden.
ENS (Spanish National Security System) gør det obligatorisk for den offentlige sektor i Spanien og virksomheder, der leverer teknologi til offentlige enheder, at leve op til høje sikkerhedsstandarder. Disse regler garanterer sikkerheden af systemerne, dataene og kommunikationen for at beskytte enkeltpersoner. Whistleblower Software by Formalize er certificeret med niveauet "Alta", hvilket betyder det højest opnåelige niveau.
En WCAG-certificering er et kvalitetsstempel, der beviser webtilgængelighed i henhold til de internationale W3C-retningslinjer (WCAG), hvilket gør det nemmere for personer med syns- eller høringsnedsættelse at navigere gennem websider. Dette gør produktet mere tilgængeligt og inkluderende for mennesker med handicap. Certifikatet anerkender indsatsen for webtilgængelighed og sikrer overholdelse af lovkrav.
På grund af Whistleblower Software by Formalizes fokus på Privacy by Design , det har været let at introducere flere funktioner i produktet for at imødekomme ikke kun lovgivning, men også bedste praksis for privatlivets fred.
Whistleblower-software er compliant med love om privatlivets fred, herunder GDPR . Læs mere om, hvordan vores løsning tager Schrems II i betragtning via. E2EE, her.
Vi udfører regelmæssige eksterne GDPR-revisioner.
+45 71 99 63 83
Daniel Hager
dha@whistleblowersoftware.com
+45 71 99 63 83
5/5 stjerner på G2
