Verhindern Sie Leaks in Ihrem Unternehmen
sensibelsten Angelegenheiten. Wählen Sie die höchste Sicherheit.

ISAE 3000 Audit-Abzeichen.
ISAE 3000
Bericht des unabhängigen Wirtschaftsprüfers ISAE 3000 über die Maßnahmen zur Informationssicherheit und zum Datenschutz in Bezug auf die Vereinbarung der Datenverarbeiter mit den Datenverantwortlichen.
ISO 27001-Hosting-Abzeichen.
ISO 27001-Server
Die Daten werden sicher bei der ISO 27001-zertifizierten AWS gehostet.
Penetrationstest-Abzeichen.
Penetrationstest
Zuletzt durchgeführt im Mai 2021 von Zencurity
Kristoffer Abell von Whistleblower Software
Haben Sie Fragen?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com

Sicherheit

Datenspeicherung

Physikalische Speicherung

AWS (Amazon Web Services) ist für die Handhabung der physischen Sicherheit der Infrastruktur verantwortlich. AWS ist so aufgebaut, dass nicht nur wirklich skalierbare Cloud-Lösungen möglich sind, sondern auch die höchsten Erwartungen an die Sicherheit erfüllt werden.

Um den Schrems II Erfordernissen gerecht zu werden, unterstützt Whistleblower Software eine vollständige End-to-End-Verschlüsselung gemäß den Empfehlungen der Europäischen Union. Klicken Sie hier, um mehr zu lesen.

Die Daten werden auf Servern von einer Einrichtung gespeichert, die ISO 27001, ISO 27017, ISO 27017 und SOC 1, SOC 2 & SOC 3 -zertifiziert. Um den vollen Überblick über die Compliance-Programme zu erhalten, Klicken Sie hier.

Standort

Alle Daten und Backups werden bei AWS in Frankfurt gespeichert. Die Backups werden in verschiedenen Verfügbarkeitszonen gespeichert, um die Verfügbarkeit der Daten zu gewährleisten.

Verschaffen Sie sich einen Überblick über die Perimeter-, Infrastruktur-, Daten- und die Umgebungsschicht des Rechenzentrums, klicken Sie hier.

Anwendungssicherheit

Die höchste Priorität des Entwicklungsteams von Whistleblower Software ist es, maximale Sicherheit zu gewährleisten. Wir tun dies durch präventive Funktionen wie End-to-End-Verschlüsselung, Multi-Faktor-Authentifizierung (MFA) und durch einen kontinuierlichen Fokus auf hochwertigen, sauberen und sicheren Code, Code-Reviews, unsere Qualitätssicherungsumgebung (QA) und durch manuelle und automatisierte Tests.

Whistleblower Software nimmt die gemeinsame Verantwortung für die Sicherheit zwischen unserer Cloud-Infrastruktur und unserer Anwendung ernst. Um Ihnen einen Einblick in einige der Best Practices zu geben, die wir befolgen, hier klicken.

Systembeschreibung

Ein Dokument, das das System und seine Sicherheit erklärt

Um Schwachstellen aufzuspüren, führt Whistleblower Software häufig eine Reihe von automatisierten und manuellen Tests durch, um kritische Schwachstellen wie das Potenzial für Cross-Site-Script (XSS)-Attacken, SQL-Injections, sitzungsbezogene Schwachstellen und mehr zu überprüfen.

Um höchste Sicherheit zu gewährleisten, führen wir außerdem regelmäßig Penetrationstests von Dritten durch.

Penetrationstest-Abzeichen.

Penetrationstest

Durchgeführt am 1. April 2021 von Zencurity ApS.

Netzwerkschutz

Whistleblower Software hat die perfekten Voraussetzungen für die Durchsetzung von Netzwerk-Firewall-Schutz in großem Umfang durch AWS, was uns hilft, potenzielle DDoS-Angriffe und andere potenzielle Exploits zu entschärfen. Whistleblower Software minimiert das Risiko durch eine feinkörnige Netzwerksegmentierung und unser System wird kontinuierlich auf Threads sowohl auf Netzwerk- als auch auf Anwendungsebene überwacht.

Datenschutz

Wir können Ihre Daten nicht sehen

Whistleblower Software legt Wert auf den Schutz der Privatsphäre, und wir tun dies, indem wir unser gesamtes System um Sicherheit und Datenschutz herum aufbauen, die über die Best Practices der Branche hinausgehen.

Selbst unsere Software-Entwickler können Ihre Fälle nicht sehen, da Ende-zu-Ende-Verschlüsselung. Alle fallbezogenen Freitextformulare und Texteingabefelder werden vor der Speicherung in unserer Datenbank verschlüsselt. Nur Ihr Unternehmen erhält die Schlüssel zum Entsperren der Informationen. Das bedeutet auch, dass im Falle eines Falles kein Eindringling in der Lage ist, Fallinformationen aus der Datenbank zu lesen.

Anonymität für Whistleblower

In den meisten Ländern ist es eine bewährte Praxis, den Hinweisgebern zu erlauben, vertraulich zu berichten, da der Hinweisgeber oft gesetzlich besser geschützt ist, wenn er identifizierbar ist. In manchen Fällen fällt es Whistleblowern jedoch schwer, sich zu melden, weil sie mögliche persönliche Konsequenzen fürchten.
Daher ist die Whistleblower-Software in der Lage, dem Whistleblower zu erlauben, anonym zu melden, aber auch für Screener und Fallbearbeiter, Fälle zu anonymisieren oder zu pseudonymisieren, falls mehrere Fallbearbeiter beteiligt sind. Die Werkzeuge zum Schutz der Identität des Hinweisgebers können der Schlüssel sein, um einen Vorfall rechtzeitig zu melden.

Privacy by design

Der Entwicklungsprozess von Whistleblower Software basiert auf "Privacy by Design", das aus sieben Prinzipien besteht, wie ein hohes Maß an Sicherheit rund um private sensible Informationen und Sicherheit im Allgemeinen gewährleistet werden kann. Zum Beispiel durch die sogenannten Privacy Enhancing Technologies (PETs) und organisatorische Maßnahmen.

Der Kernaspekt von Privacy by Design ist, dass wir unsere IT-Systeme und organisatorischen Prozesse von Anfang an kohärent mit Datenschutz und Transparenz aufbauen und sie nicht als sekundäres Element betrachten.

Besondere Maßnahmen

Ende-zu-Ende-Verschlüsselung

Whistleblower Software verwendet eine Ende-zu-Ende-Verschlüsselung (E2EE), um einen hohen Standard des Datenschutzes bei der Kommunikation über unsere Plattform zu gewährleisten. Die Informationen werden mit dem eindeutigen Schlüssel Ihres Unternehmens verschlüsselt, bevor sie über eine SSL-Verbindung gesendet werden, wo sie dann in unserer AWS-Datenbank gespeichert werden. Wenn die Informationen dann z. B. von Ihrem Unternehmen oder dem Hinweisgeber gelesen werden sollen, werden die verschlüsselten Daten direkt in Ihrem Browser mit Ihrem eindeutigen Entschlüsselungsschlüssel empfangen und entschlüsselt.

Ihr einzigartiger Entschlüsselungsschlüssel kann außerhalb unserer AWS-Umgebung gespeichert werden, um die höchste Sicherheit zu ermöglichen. Das bedeutet, dass Mitarbeiter von Whistleblower Software Ihre Fälle und andere datenschutzrelevante Informationen nicht von Ihrem Konto lesen können. Dies ist auch ein umfassender Schutz gegen MITM-Angriffe.

Darüber hinaus stellt dies sicher, dass die Whistleblower Software vollständig konform mit Schrems || (GDPR) ist, da sie den transatlantischen Zugriff von jeder staatlichen Institution verhindert.

Die gesendeten Daten (bei der Übertragung) werden mit TLS verschlüsselt und die gespeicherten Daten (im Ruhezustand) werden ebenfalls verschlüsselt.

Zugangskontrolle

Der Case-Hub ist standardmäßig durch ein Passwort geschützt. Eine zusätzliche Sicherheitsebene kann durch Aktivieren der Multi-Faktor-Authentifizierung eingerichtet werden. Dadurch müssen sich die Benutzer z. B. per SMS verifizieren, bevor sie das System betreten können.

Sobald sie sich im System befinden, müssen Benutzern und externen Beratern Berechtigungen erteilt werden, um auf bestimmte Inhalte zuzugreifen oder zusätzliche Vorgänge auszuführen. Außerdem gibt das System den Benutzern keinen Zugriff auf alle Fälle. Auf der Fallebene kann der Zugriff auf einzelne Personen vergeben werden, so dass sichergestellt ist, dass keine unberechtigten Personen (im System angelegt) auf Fälle zugreifen können. Dies kann auch auf Kategorieebene geschehen, so dass beim Anlegen neuer Fälle bestimmte Personen automatisch Zugriff auf z. B. Fälle erhalten, die als zur Kategorie "Geldwäsche" gehörend markiert sind.

Darüber hinaus ist es auch möglich, Regeln wie "Archivierungsberechtigungen" anzuwenden. So kann z. B. festgelegt werden, dass ein Fall nur dann archiviert werden kann, wenn 2 oder alle Fallbearbeiter zustimmen.

Transparenz & Logging

Die Whistleblower Software ist so aufgebaut, dass sie für Whistleblower und Fallmanager transparent ist. Zum Beispiel ist es für Fallmanager jederzeit möglich, in der Zeit zurück zu gehen, um alle Falländerungen und Aktionen des Fallbearbeiters durch die Aktivitätsprotokolle zu sehen.

Über den Meldekanal kann der Hinweisgeber sehen, wer den Fall basierend auf der von ihm gewählten Kategorie und Abteilung bearbeiten wird. Nach dem Einreichen kann der Hinweisgeber jederzeit auf die Mitteilung zugreifen, um weitere Informationen hinzuzufügen oder einfach mit dem Unternehmen zu kommunizieren, auch wenn er anonym gemeldet hat. In der Übersicht kann der Hinweisgeber den aktuellen Status der Fallbearbeitung und die beteiligten Personen sehen. Screener und Fallbearbeiter können Fälle anonymisieren oder pseudonymisieren, wenn mehrere Fallbearbeiter involviert sind, wobei alle für den Whistleblower weiterhin sichtbar sind.

Compliance

Whistleblower-Gesetze

Die Whistleblower-Software ist so konzipiert, dass sie die wichtigsten Whistleblowing- und Datenschutzgesetze vollständig erfüllt, auch für Unternehmen, die mehrere Rechtsordnungen abdecken. Einschließlich:

EU-Hinweisgeberschutzrichtlinie 2019/19378

US SOX Act Abschnitt 301 zur Unternehmensverantwortung

U.K. FCA

Deutscher Corporate Governance Kodex

Französisch Loi Sapin II

Dazu gehört natürlich auch die EU-Richtlinie zum Schutz von Whistleblowern, bei der wir die entsprechenden lokalen Gesetzgebungen genau verfolgen, um alle lokalen Anforderungen erfüllen zu können.

Wir bereiten uns darauf vor, die bevorstehende ISO 37002 -Standard, der weltweit einheitliche Richtlinien für Whistleblowing-Management-Systeme vorgibt.

ISAE 3000

Fordern Sie den ISAE-3000-Bericht unseres unabhängigen Wirtschaftsprüfers über die Maßnahmen zur Informationssicherheit und zum Datenschutz in Bezug auf die Datenverarbeitungsvereinbarung mit den Datenverantwortlichen an. In der externen Prüfung können Sie mehr über die Funktionsweise des Systems sowie über die organisatorischen und technischen Sicherheitsmaßnahmen lesen, die wir implementiert haben. Das ISAE 3000 Audit wird jährlich durchgeführt und baut auf dem ISO 27001 Standard auf.

ISAE 3000 Audit-Abzeichen.

ISAE 3000

Durchgeführt am 1. Juni 2021 von Beierholm.

DSGVO-geprüft

Durch den Fokus von Whistleblower Software auf Privacy by Design Es war einfach, mehrere Funktionen in das Produkt einzuführen, um nicht nur die Gesetzgebung, sondern auch Best-Practice-Datenschutzinitiativen zu berücksichtigen.

Die Whistleblower-Software ist konform mit wichtigen Datenschutzgesetzen, einschließlich DSGVO . Lesen Sie mehr darüber, wie unsere Lösung die Schrems II durch E2EE berücksichtigt werden, hier.

Wir führen regelmäßig externe DSGVO-Audits durch.

Kristoffer Abell von Whistleblower Software
Haben Sie Fragen?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com