+49 151 68543875
Hendrik Töpper
hto@whistleblowersoftware.com
+49 151 68543875
Physische Speicherung
AWS (Amazon Web Services) ist für die Handhabung der physischen Sicherheit der Infrastruktur verantwortlich. AWS ist so aufgebaut, dass nicht nur wirklich skalierbare Cloud-Lösungen möglich sind, sondern auch die höchsten Erwartungen an die Sicherheit erfüllt werden.
Um den Schrems II Erfordernissen gerecht zu werden, unterstützt Whistleblower Software by Formalize eine vollständige Ende-zu-Ende-Verschlüsselung gemäß den Empfehlungen der Europäischen Union. Klicken Sie hier, um mehr zu lesen.
Die Daten werden auf Servern von einer Einrichtung gespeichert, die ISO 27001, ISO 27017, ISO 27017 und SOC 1, SOC 2 & SOC 3 -zertifiziert sind. Um den vollen Überblick über die Compliance-Programme zu erhalten, klicken Sie hier.
Standort
Alle Daten und Backups werden bei AWS in Frankfurt gespeichert. Die Backups werden in verschiedenen Verfügbarkeitszonen gespeichert, um die Verfügbarkeit der Daten zu gewährleisten.
Verschaffen Sie sich einen Überblick über die Perimeter-, Infrastruktur-, Daten- und die Umgebungsschicht des Rechenzentrums, indem Sie hier klicken.
Die höchste Priorität des Entwicklungsteams von Whistleblower Software by Formalize ist es, maximale Sicherheit zu gewährleisten. Wir tun dies durch präventive Funktionen wie Ende-zu-Ende-Verschlüsselung, Multi-Faktor-Authentifizierung (MFA) und durch einen kontinuierlichen Fokus auf einen hochwertigen, sauberen und sicheren Code, Code-Reviews, unsere Qualitätssicherungsumgebung (QA) und durch manuelle und automatisierte Tests.
Whistleblower Software by Formalize nimmt die gemeinsame Verantwortung für die Sicherheit zwischen unserer Cloud-Infrastruktur und unserer Anwendung ernst. Um Ihnen einen Einblick in einige der Best Practices zu geben, die wir befolgen, klicken Sie hier.
Systembeschreibung
Ein Dokument, das das System und seine Sicherheit erklärt
Um Schwachstellen aufzuspüren, führt Whistleblower Software by Formalize häufig eine Reihe automatisierter und manueller Tests durch, um kritische Schwachstellen wie das Potenzial für Cross-Site-Script (XSS)-Attacken, SQL-Injections, sitzungsbezogene Schwachstellen und mehr zu prüfen.
Um höchste Sicherheit zu gewährleisten, führen wir außerdem regelmäßig Penetrationstests von Dritten durch.
Whistleblower Software by Formalize verfügt über die perfekten Voraussetzungen für die Durchsetzung des Netzwerk-Firewall-Schutzes in großem Umfang über AWS. Dies hilft uns potenzielle DDoS-Angriffe und andere potenzielle Angriffe zu entschärfen. Whistleblower Software by Formalize minimiert das Risiko durch eine feinkörnige Netzwerksegmentierung. Zusätzlich wird unser System kontinuierlich auf Bedrohungen sowohl auf Netzwerk- als auch auf Anwendungsebene überwacht.
Whistleblower Software by Formalize legt Wert auf den Schutz der Privatsphäre, und wir tun dies, indem wir unser gesamtes System um Sicherheit und Datenschutz herum aufbauen, die über die Best Practices der Branche hinausgehen.
Selbst unsere Software-Entwickler können Ihre Fälle nicht sehen, dank unserer Ende-zu-Ende-Verschlüsselung. Alle fallbezogenen Freitextformulare und Texteingabefelder werden vor der Speicherung in unserer Datenbank verschlüsselt. Nur Ihr Unternehmen erhält die Schlüssel zum Entsperren der Informationen. Das bedeutet auch, dass im Falle eines Falles kein Eindringling in der Lage ist, Fallinformationen aus der Datenbank zu lesen.
Der Entwicklungsprozess von Whistleblower Software by Formalize basiert auf "Privacy by Design", das aus sieben Prinzipien besteht, wie ein hohes Maß an Sicherheit rund um private sensible Informationen und Sicherheit im Allgemeinen. Zum Beispiel durch die sogenannten Privacy Enhancing Technologies (PETs) und organisatorische Maßnahmen.
Der Kernaspekt von Privacy by Design ist, dass wir unsere IT-Systeme und organisatorischen Prozesse von Anfang an kohärent mit Datenschutz und Transparenz aufbauen und sie nicht als sekundäres Element betrachten.
Whistleblower Software by Formalize verwendet eine Ende-zu-Ende-Verschlüsselung (E2EE), um einen hohen Standard des Datenschutzes bei der Kommunikation über unsere Plattform zu gewährleisten. Die Informationen werden mit dem eindeutigen Schlüssel Ihres Unternehmens verschlüsselt, bevor sie über eine SSL-Verbindung gesendet werden, und dann in unserer AWS-Datenbank gespeichert werden. Wenn die Informationen z. B. von Ihrem Unternehmen oder der hinweisgebenden Person gelesen werden möchten, werden die verschlüsselten Daten direkt in Ihrem Browser mit Ihrem eindeutigen Verschlüsselungskey empfangen und entschlüsselt.
Ihr einzigartiger Verschlüsselungskey kann außerhalb unserer AWS-Umgebung gespeichert werden, um die höchste Sicherheit zu ermöglichen. Das bedeutet, dass Mitarbeitende von Whistleblower Software by Formalize Ihre Fälle und andere datenschutzrelevante Informationen nicht von Ihrem Konto lesen können. Dies bietet ebenfalls einen umfassenden Schutz gegen MITM-Angriffe.
Darüber hinaus stellt dies sicher, dass Whistleblower Software by Formalize vollständig konform mit Schrems || (DSGVO) ist, da die Software den transatlantischen Zugriff von jeder staatlichen Institution verhindert.
Sowohl die gesendeten Daten (bei der Übertragung) sind TLS verschlüsselt, als auch die gespeicherten Daten (im Ruhezustand) sind verschlüsselt.
Der Case-Hub ist standardmäßig durch ein Passwort geschützt. Eine zusätzliche Sicherheitsebene kann durch die Aktivierung der Multi-Faktor-Authentifizierung eingerichtet werden. Dadurch müssen sich die Benutzer:innen z. B. per SMS verifizieren, bevor sie sich in das System einloggen können.
Sobald sich Benutzer:innen im System befinden, müssen ihnen Berechtigungen erteilt werden, um auf bestimmte Inhalte zugreifen oder zusätzliche Vorgänge durchführen zu können. Außerdem gewährt das System nicht automatisch Zugang zu allen Fällen. Auf der Ebene der Fälle kann der Zugriff auf einzelne Personen beschränkt werden, sodass sichergestellt ist, dass keine (im System angelegten) unbefugten Personen auf die Fälle zugreifen können. Dies kann auch auf der Ebene der Kategorien geschehen, sodass beim Anlegen neuer Fälle bestimmten Personen automatisch der Zugang zu Fällen gewährt wird, die z. B. als der Kategorie "Geldwäsche" zugehörig gekennzeichnet sind.
Darüber hinaus ist es auch möglich, Regeln wie "Archivierungsberechtigungen" anzuwenden. Beispielsweise kann so festgelegt werden, dass ein Fall nur dann archiviert werden kann, wenn 2 oder mehr Fallbearbeitende zustimmen.
Whistleblower Software by Formalize ist transparent für Whistleblower und Fallmanager:innen aufgebaut. Zum Beispiel ist es für die Fallbearbeitenden jederzeit möglich, in den Aktivitätsprotokollen alle Falländerungen und Aktionen einzusehen.
Bei der Erstellung einer Meldung, kann die hinweisgebende Person, basierend auf der ausgewählten Kategorie und Abteilung, sehen, wer den Fall erhalten wird. Nach der Einreichung eines Falles, kann sich die hinweisgebende Person jederzeit in die bestehende Meldung einloggen, um weitere Informationen hinzuzufügen oder mit dem Unternehmen zu kommunizieren, auch wenn sie anonym gemeldet hat. In der Übersicht kann der Whistleblower den aktuellen Status der Fallbearbeitung und die beteiligten Personen sehen. Screener und Fallbearbeiter:innen können Fälle anonymisieren oder pseudonymisieren, wenn mehrere Fallbearbeitende involviert sind, wobei alle für den Whistleblower weiterhin sichtbar sind.
Whistleblower Software by Formalize ist so konzipiert, dass alle wichtigsten Whistleblowing- und Datenschutzgesetze vollständig erfüllt sind, auch für Unternehmen, die mehrere Rechtsordnungen abdecken. Einschließlich:
EU-Hinweisgeberschutzrichtlinie 2019/19378
US SOX Act Abschnitt 301 zur Unternehmensverantwortung
U.K. FCA
Deutscher Corporate Governance Kodex
Französisch Loi Sapin II
Dazu gehört natürlich auch die EU-Richtlinie zum Schutz von Whistleblowern, bei der wir die entsprechenden lokalen Gesetzgebungen genau verfolgen, um alle lokalen Anforderungen erfüllen zu können.
Um sicherzustellen, dass wir als Unternehmen die Best Practices für Informationssicherheit befolgen, haben wir das Managementsystem ISO/IEC 27001:2022 implementiert. Das Zertifikat belegt, dass die Aktivitäten von Whistleblower Software by Formalize den international anerkannten Standards für das Management von Entwicklung, Vertrieb und Service von Whistleblower-Lösungen entsprechen.
Fordern Sie den ISAE-3000 Type 2-Bericht unseres unabhängigen Wirtschaftsprüfers über die Maßnahmen zur Informationssicherheit und zum Datenschutz in Bezug auf die Datenverarbeitungsvereinbarung mit den Datenverantwortlichen an. In der externen Prüfung können Sie mehr über die Funktionsweise des Systems sowie über die organisatorischen und technischen Sicherheitsmaßnahmen lesen, die wir implementiert haben. Das ISAE 3000 Type 2 Audit wird jährlich durchgeführt und baut auf dem ISO 27001 Standard auf.
ENS (Spanisches Nationales Sicherheitssystem) verpflichtet den öffentlichen Sektor in Spanien und Unternehmen, die öffentliche Einrichtungen mit Technologie beliefern, zur Einhaltung hoher Sicherheitsstandards. Diese Regelungen gewährleisten die Sicherheit der Systeme, Daten und Kommunikation zum Schutz des Einzelnen. Whistleblower Software by Formalize ist mit der Stufe „Alta“ zertifiziert, was die höchste erreichbare Stufe bedeutet.
Eine WCAG-Zertifizierung ist ein Qualitätssiegel zum Nachweis der Barrierefreiheit im Internet gemäß den internationalen W3C-Richtlinien (WCAG) und erleichtert Menschen mit Seh- oder Hörbehinderungen die Navigation durch Webseiten. Dadurch wird das Produkt für Menschen mit Behinderungen zugänglicher und integrativer. Das Zertifikat würdigt Bemühungen zur Barrierefreiheit im Internet und stellt die Einhaltung gesetzlicher Anforderungen sicher.
WCAG 2.1 AA Silber
Durchgeführt am 27. September 2023 von TÜV TRUST IT.
Durch den Fokus von Whistleblower Software by Formalize auf Privacy by Design war es uns möglich, mehrere Funktionen in das Produkt einzuführen, um nicht nur die Gesetzgebung, sondern auch Best-Practice-Datenschutzinitiativen zu berücksichtigen.
Whistleblower Software by Formalize ist konform mit wichtigen Datenschutzgesetzen, einschließlich der DSGVO . Lesen Sie mehr darüber, wie unsere Lösung Schrems II durch E2EE einhält, hier.
Wir führen regelmäßig externe DSGVO-Audits durch.
+49 151 68543875
Hendrik Töpper
hto@whistleblowersoftware.com
+49 151 68543875
5/5 Sterne auf G2
