Beskyt din virksomheds
mest følsomme sager. Vælg den højeste sikkerhed.

ISAE 3000-revisionsmærke.
ISAE 3000
Uafhængig revisors ISAE 3000-rapport om informationssikkerhed og databeskyttelsesforanstaltninger i forhold til databehandleraftalen med dataansvarlige.
ISO 27001 hosting-badge.
ISO 27001-servere
Data hostes sikkert hos ISO 27001-certificeret AWS.
Penetration test badge.
Penetration test
Sidst udført maj 2021 af Zencurity
Kristoffer Abell fra whistleblower Software
Nogen spørgsmål?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com

Sikkerhed

Data opbevaring

Fysisk opbevaring

AWS (Amazon Web Services) er ansvarlig for at håndtere infrastrukturens fysiske sikkerhed. AWS er bygget til ikke kun at give mulighed for virkelig skalerbare cloud-løsninger, men også til at imødekomme de højeste forventninger til sikkerhed.

For at adressere Schrems || bekendtgørelsen, så understøtter Whistleblower Software fuld End-til-End-kryptering i overensstemmelse med Den Europæiske Unions anbefalinger. Klik her for at læse mere.

Dataene gemmes på servere fra en facilitet, der er ISO 27001, ISO 27017, ISO 27017 og SOC 1, SOC 2 & SOC 3 -certificeret. For at få det fulde overblik over compliance-programmerne, klik her.

Beliggenhed

Alle data og sikkerhedskopier gemmes hos AWS i Frankfurt. Sikkerhedskopier gemmes i forskellige tilgængelighedszoner for at sikre datatilgængelighed.

Få en forståelse af datacentrenes perimeterlag, infrastrukturlag, datalag og miljølag, klik her.

Applikationssikkerhed

Whistleblower Softwares udviklingsteams højeste prioritet er at sikre maksimal sikkerhed. Vi gør dette gennem forebyggende funktioner såsom End-til-End-kryptering, Multi-Factor Authentication (MFA) og gennem et kontinuerligt fokus på høj kvalitet, ren og sikker kode, kodereview, vores kvalitetssikringsmiljø (QA) og gennem manual og automatiserede tests.

Whistleblower Software tager det fælles ansvar for sikkerhed mellem vores cloudinfrastruktur og vores applikation seriøst. For at give dig et glimt af nogle af de bedste fremgangsmåder, vi følger, klik her.

Systembeskrivelse

Et dokument, der forklarer om systemet og dets sikkerhed

For at få øje på svagheder udfører Whistleblower Software ofte en række automatiserede og manuelle test for at kontrollere kritiske sårbarheder, såsom potentialet for Cross Site Script (XSS) -angreb, SQL-injektioner, session-relaterede sårbarheder og mere.

For at sikre den højeste sikkerhed gennemfører vi også regelmæssige penetrationstests fra tredjeparter.

Penetration test badge.

Penetration test

Udført d.1. april 2021 ved Zencurity ApS.

Netværksbeskyttelse

Whistleblower Software har de perfekte betingelser for at håndhæve Network Firewall-beskyttelse i skala gennem AWS, hvilket hjælper os med at afbøde potentielle DDoS-angreb og andre potentielle udnyttelser. Whistleblower Software minimerer risiko gennem finkornet netværkssegmentering, og vores system overvåges løbende for trusler på både netværksniveau og på applikationsniveau.

Privatliv

Vi kan ikke se dine data

Whistleblower Software værdsætter privatlivets fred, og vi gør det ved at bygge hele vores system omkring sikkerhed og privatliv, der går ud over bedste praksis for branchen.

Selv vores softwareudviklere kan ikke se dine sager på grund af vores End-til-End-kryptering. Alle sagsrelaterede fritekstformularer og tekstinputfelter krypteres, før de gemmes i vores database. Dit firma vil være den eneste part, der modtager nøglerne til at låse op for oplysningerne. Dette betyder også, at hvis det værste skulle ske, vil enhver ubuden gæst ikke være i stand til at læse sagsoplysninger fra databasen.

Whistleblower anonymitet

I de fleste lande er det en bedste praksis at give whistleblowere mulighed for at rapportere fortroligt på grund af det faktum, at whistleblower ofte er bedre beskyttet ved lov, hvis de kan identificeres. I nogle tilfælde kan whistleblowere dog have svært ved at rapportere på grund af frygt for mulige personlige konsekvenser.
Derfor er Whistleblower Software i stand til at give whistleblower mulighed for at rapportere anonymt, men også for screenere og sagsbehandlere til at anonymisere eller pseudonymisere sager, hvis flere sagsbehandlere er involveret. At have værktøjerne til at beskytte whistleblower's identitet kan være nøglen til at få en hændelse rapporteret i tide.

Privacy by design

Whistleblower Softwares udviklingsproces er baseret på Privacy by Design, som består af syv principper for, hvordan man kan sikre et højt sikkerhedsniveau omkring privat følsom information og sikkerhed generelt. For eksempel gennem de såkaldte Privacy Enhancing Technologies (PETs) og organisatoriske foranstaltninger.

Kernen i Privacy by Design er, at vi bygger vores IT-systemer og organisatoriske processer sammenhængende omkring privacy og gennemsigtighed fra starten og ikke betragter det som et sekundært element.

Særlige foranstaltninger

End-til-End-kryptering

Whistleblower-software bruger End-til-End-kryptering (E2EE) for at sikre en høj standard for databeskyttelse i kommunikation gennem vores platform. Oplysninger krypteres via din virksomheds unikke nøgle, inden de sendes via en SSL-forbindelse, hvor de derefter gemmes i vores AWS-database. Når oplysningerne derefter skal læses af din virksomhed eller whistleblower, modtages og dekrypteres de krypterede data direkte i din browser med din unikke dekrypteringsnøgle.

Din unikke dekrypteringsnøgle kan gemmes uden for vores AWS-miljø for at muliggøre den højeste sikkerhed. Dette betyder, at Whistleblower Software-medarbejdere ikke kan læse dine sager og andre privatlivsrelaterede oplysninger fra din konto. Dette er også en omfattende beskyttelse mod MITM-angreb.

Derudover sikrer dette, at Whistleblower Software er fuldt ud kompatibel med Schrems || (GDPR), da det forhindrer tværatlantisk adgang fra enhver statslig institution.

Data, der sendes (i transit), krypteres ved hjælp af TLS, og data gemt (i hvile) er også krypteret.

Adgangskontrol

Adgang til systemet er som standard beskyttet med adgangskode. Et ekstra lag af sikkerhed kan sættes op ved at aktivere To-faktor-godkendelse. Dette kræver, at brugerne verificerer ved f.eks. SMS, før de kan gå videre til systemet.

Når man er inde i systemet, skal brugere og eksterne rådgivere have tilladelse til at få adgang til bestemt indhold eller udføre yderligere handlinger. Desuden giver systemet ikke brugerne adgang til alle sager. På sagsniveau kan adgang gives til enkeltpersoner, så det sikres, at ingen uautoriserede personer (oprettet i systemet) har adgang til sager. Dette kan også gøres på kategoriniveau, så visse personer automatisk får adgang til f.eks. sager, der er markeret som inden for "hvidvaskning af penge", når der oprettes nye sager.

Derudover er det også muligt at anvende regler såsom “arkivtilladelser”. For eksempel kan dette kræve, at ethvert tilfælde kun kan arkiveres, hvis 2 eller alle sagsbehandlere er enige.

Gennemsigtighed og logning

Whistleblower Software er bygget til at være gennemsigtig for whistleblowere og sagsbehandlere. For eksempel er det altid muligt for sagsbehandlere at gå tilbage i tiden for at se sagsændringer og sagsbehandlingshandlinger gennem aktivitetslogs.

Via indrapporteringskanalen kan whistlebloweren se, hvem der håndterer sagen ud fra den kategori og afdeling, de har valgt. Efter indsendelse kan whistleblower til enhver tid få adgang til sagen og tilføje flere oplysninger eller kommunikere med virksomheden, selvom de indrapporterede anonymt. I denne oversigt vil whistleblower være i stand til at se den aktuelle status for sagsbehandlingen og de involverede personer. Screenere og sagsbehandlere kan anonymisere eller pseudonymisere sager, hvis der er tale om flere sagsbehandlere, som stadig er synlige for whistlebloweren.

Overholdelse

Whistleblower love

Whistleblower-software er bygget til at være fuldt ud compliant med vigtige love om whistleblowing og privatliv, selv for virksomheder, der spænder over flere juridiske jurisdiktioner. Inklusiv:

EU-direktivet om beskyttelse af whistleblower 2019/19378

US SOX Act afsnit 301 om virksomhedsansvar

UK FCA

Tysk Corporate Governance Code

Fransk Loi Sapin II

Dette inkluderer naturligvis EU Whistleblower Protection Directive, hvor vi følger relaterede lokale lovgivninger nøje for at være i stand til at opfylde alle lokale krav.

Vi forbereder os på at kunne understøtte det kommende ISO 37002 -standard, der giver globalt standardiserede retningslinjer for whistleblowing-styringssystemer.

ISAE 3000

Anmod om vores uafhængige revisors ISAE 3000-rapport om informationssikkerhed og databeskyttelsesforanstaltninger i forbindelse med databehandleraftalen med dataansvarlige. I den eksterne revision kan du læse mere om, hvordan systemet fungerer, samt organisatoriske og tekniske sikkerhedsforanstaltninger, vi har implementeret. ISAE 3000 Audit udføres årligt og er bygget op omkring ISO 27001-standarden.

ISAE 3000-revisionsmærke.

ISAE 3000

Udført d. 1. juni 2021 af Beierholm.

GDPR revideret

På grund af Whistleblower Softwares fokus på Privacy by Design , det har været let at introducere flere funktioner i produktet for at imødekomme ikke kun lovgivning, men også bedste praksis for privatlivets fred.

Whistleblower-software er compliant med love om privatlivets fred, herunder GDPR . Læs mere om, hvordan vores løsning tager Schrems II i betragtning via. E2EE, her.

Vi udfører regelmæssige eksterne GDPR-revisioner.

Kristoffer Abell fra whistleblower Software
Nogen spørgsmål?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com