5,0/5 Sterne auf G2
Verhindern Sie Datenlecks in Ihrem Unternehmen
zu sensiblen Angelegenheiten. Wählen Sie
höchste Sicherheit.
Haben Sie Fragen?
+49 15 77 44 66 259
Hendrik Töpper
hto@whistleblowersoftware.com
+49 15 77 44 66 259
Sicherheit
Datenspeicherung
Physische Speicherung
AWS (Amazon Web Services) ist für die Handhabung der physischen Sicherheit der Infrastruktur verantwortlich. AWS ist so aufgebaut, dass nicht nur wirklich skalierbare Cloud-Lösungen möglich sind, sondern auch die höchsten Erwartungen an die Sicherheit erfüllt werden.
Um den Schrems II Erfordernissen gerecht zu werden, unterstützt Whistleblower Software eine vollständige Ende-zu-Ende-Verschlüsselung gemäß den Empfehlungen der Europäischen Union. Klicken Sie hier, um mehr zu lesen.
Die Daten werden auf Servern von einer Einrichtung gespeichert, die ISO 27001, ISO 27017, ISO 27017 und SOC 1, SOC 2 & SOC 3 -zertifiziert sind. Um den vollen Überblick über die Compliance-Programme zu erhalten, klicken Sie hier.
Standort
Alle Daten und Backups werden bei AWS in Frankfurt gespeichert. Die Backups werden in verschiedenen Verfügbarkeitszonen gespeichert, um die Verfügbarkeit der Daten zu gewährleisten.
Verschaffen Sie sich einen Überblick über die Perimeter-, Infrastruktur-, Daten- und die Umgebungsschicht des Rechenzentrums, indem Sie hier klicken.
Anwendungssicherheit
Die höchste Priorität des Entwicklungsteams von Whistleblower Software ist es, maximale Sicherheit zu gewährleisten. Wir tun dies durch präventive Funktionen wie Ende-zu-Ende-Verschlüsselung, Multi-Faktor-Authentifizierung (MFA) und durch einen kontinuierlichen Fokus auf einen hochwertigen, sauberen und sicheren Code, Code-Reviews, unsere Qualitätssicherungsumgebung (QA) und durch manuelle und automatisierte Tests.
Whistleblower Software nimmt die gemeinsame Verantwortung für die Sicherheit zwischen unserer Cloud-Infrastruktur und unserer Anwendung ernst. Um Ihnen einen Einblick in einige der Best Practices zu geben, die wir befolgen, klicken Sie hier.
Systembeschreibung
Ein Dokument, das das System und seine Sicherheit erklärt
Um Schwachstellen aufzuspüren, führt Whistleblower Software häufig eine Reihe automatisierter und manueller Tests durch, um kritische Schwachstellen wie das Potenzial für Cross-Site-Script (XSS)-Attacken, SQL-Injections, sitzungsbezogene Schwachstellen und mehr zu prüfen.
Um höchste Sicherheit zu gewährleisten, führen wir außerdem regelmäßig Penetrationstests von Dritten durch.
Netzwerkschutz
Whistleblower Software verfügt über die perfekten Voraussetzungen für die Durchsetzung des Netzwerk-Firewall-Schutzes in großem Umfang über AWS. Dies hilft uns potenzielle DDoS-Angriffe und andere potenzielle Angriffe zu entschärfen. Whistleblower Software minimiert das Risiko durch eine feinkörnige Netzwerksegmentierung. Zusätzlich wird unser System kontinuierlich auf Bedrohungen sowohl auf Netzwerk- als auch auf Anwendungsebene überwacht.
Datenschutz
Wir können Ihre Daten nicht sehen
Whistleblower Software legt Wert auf den Schutz der Privatsphäre, und wir tun dies, indem wir unser gesamtes System um Sicherheit und Datenschutz herum aufbauen, die über die Best Practices der Branche hinausgehen.
Selbst unsere Software-Entwickler können Ihre Fälle nicht sehen, dank unserer Ende-zu-Ende-Verschlüsselung. Alle fallbezogenen Freitextformulare und Texteingabefelder werden vor der Speicherung in unserer Datenbank verschlüsselt. Nur Ihr Unternehmen erhält die Schlüssel zum Entsperren der Informationen. Das bedeutet auch, dass im Falle eines Falles kein Eindringling in der Lage ist, Fallinformationen aus der Datenbank zu lesen.
Anonymität für Whistleblower
Privacy by design
Der Entwicklungsprozess von Whistleblower Software basiert auf "Privacy by Design", das aus sieben Prinzipien besteht, wie ein hohes Maß an Sicherheit rund um private sensible Informationen und Sicherheit im Allgemeinen. Zum Beispiel durch die sogenannten Privacy Enhancing Technologies (PETs) und organisatorische Maßnahmen.
Der Kernaspekt von Privacy by Design ist, dass wir unsere IT-Systeme und organisatorischen Prozesse von Anfang an kohärent mit Datenschutz und Transparenz aufbauen und sie nicht als sekundäres Element betrachten.
Besondere Maßnahmen
Ende-zu-Ende-Verschlüsselung
Whistleblower Software verwendet eine Ende-zu-Ende-Verschlüsselung (E2EE), um einen hohen Standard des Datenschutzes bei der Kommunikation über unsere Plattform zu gewährleisten. Die Informationen werden mit dem eindeutigen Schlüssel Ihres Unternehmens verschlüsselt, bevor sie über eine SSL-Verbindung gesendet werden, und dann in unserer AWS-Datenbank gespeichert werden. Wenn die Informationen z. B. von Ihrem Unternehmen oder der hinweisgebenden Person gelesen werden möchten, werden die verschlüsselten Daten direkt in Ihrem Browser mit Ihrem eindeutigen Verschlüsselungskey empfangen und entschlüsselt.
Ihr einzigartiger Verschlüsselungskey kann außerhalb unserer AWS-Umgebung gespeichert werden, um die höchste Sicherheit zu ermöglichen. Das bedeutet, dass Mitarbeitende von Whistleblower Software Ihre Fälle und andere datenschutzrelevante Informationen nicht von Ihrem Konto lesen können. Dies bietet ebenfalls einen umfassenden Schutz gegen MITM-Angriffe.
Darüber hinaus stellt dies sicher, dass Whistleblower Software vollständig konform mit Schrems || (DSGVO) ist, da die Software den transatlantischen Zugriff von jeder staatlichen Institution verhindert.
Sowohl die gesendeten Daten (bei der Übertragung) sind TLS verschlüsselt, als auch die gespeicherten Daten (im Ruhezustand) sind verschlüsselt.
Zugangskontrolle
Der Case-Hub ist standardmäßig durch ein Passwort geschützt. Eine zusätzliche Sicherheitsebene kann durch die Aktivierung der Multi-Faktor-Authentifizierung eingerichtet werden. Dadurch müssen sich die Benutzer:innen z. B. per SMS verifizieren, bevor sie sich in das System einloggen können.
Sobald sich Benutzer:innen im System befinden, müssen ihnen Berechtigungen erteilt werden, um auf bestimmte Inhalte zugreifen oder zusätzliche Vorgänge durchführen zu können. Außerdem gewährt das System nicht automatisch Zugang zu allen Fällen. Auf der Ebene der Fälle kann der Zugriff auf einzelne Personen beschränkt werden, sodass sichergestellt ist, dass keine (im System angelegten) unbefugten Personen auf die Fälle zugreifen können. Dies kann auch auf der Ebene der Kategorien geschehen, sodass beim Anlegen neuer Fälle bestimmten Personen automatisch der Zugang zu Fällen gewährt wird, die z. B. als der Kategorie "Geldwäsche" zugehörig gekennzeichnet sind.
Darüber hinaus ist es auch möglich, Regeln wie "Archivierungsberechtigungen" anzuwenden. Beispielsweise kann so festgelegt werden, dass ein Fall nur dann archiviert werden kann, wenn 2 oder mehr Fallbearbeitende zustimmen.
Transparenz & Logging
Whistleblower Software ist transparent für Whistleblower und Fallmanager:innen aufgebaut. Zum Beispiel ist es für die Fallbearbeitenden jederzeit möglich, in den Aktivitätsprotokollen alle Falländerungen und Aktionen einzusehen.
Bei der Erstellung einer Meldung, kann die hinweisgebende Person, basierend auf der ausgewählten Kategorie und Abteilung, sehen, wer den Fall erhalten wird. Nach der Einreichung eines Falles, kann sich die hinweisgebende Person jederzeit in die bestehende Meldung einloggen, um weitere Informationen hinzuzufügen oder mit dem Unternehmen zu kommunizieren, auch wenn sie anonym gemeldet hat. In der Übersicht kann der Whistleblower den aktuellen Status der Fallbearbeitung und die beteiligten Personen sehen. Screener und Fallbearbeiter:innen können Fälle anonymisieren oder pseudonymisieren, wenn mehrere Fallbearbeitende involviert sind, wobei alle für den Whistleblower weiterhin sichtbar sind.
Compliance
Whistleblower-Gesetze
Whistleblower Software ist so konzipiert, dass alle wichtigsten Whistleblowing- und Datenschutzgesetze vollständig erfüllt sind, auch für Unternehmen, die mehrere Rechtsordnungen abdecken. Einschließlich:
EU-Hinweisgeberschutzrichtlinie 2019/19378
US SOX Act Abschnitt 301 zur Unternehmensverantwortung
U.K. FCA
Deutscher Corporate Governance Kodex
Französisch Loi Sapin II
Dazu gehört natürlich auch die EU-Richtlinie zum Schutz von Whistleblowern, bei der wir die entsprechenden lokalen Gesetzgebungen genau verfolgen, um alle lokalen Anforderungen erfüllen zu können.
Wir bereiten uns darauf vor, die bevorstehende ISO 37002 -Norm zu unterstützen, der weltweit einheitliche Richtlinien für Whistleblowing-Management-Systeme.
ISO/IEC 27001:2013
Um sicherzustellen, dass wir als Unternehmen die Best Practices für Informationssicherheit befolgen, haben wir das Managementsystem ISO/IEC 27001:2013 implementiert. Das Zertifikat belegt, dass die Aktivitäten von Whistleblower Software den international anerkannten Standards für das Management von Entwicklung, Vertrieb und Service von Whistleblower-Lösungen entsprechen.
ISAE 3000
Fordern Sie den ISAE-3000-Bericht unseres unabhängigen Wirtschaftsprüfers über die Maßnahmen zur Informationssicherheit und zum Datenschutz in Bezug auf die Datenverarbeitungsvereinbarung mit den Datenverantwortlichen an. In der externen Prüfung können Sie mehr über die Funktionsweise des Systems sowie über die organisatorischen und technischen Sicherheitsmaßnahmen lesen, die wir implementiert haben. Das ISAE 3000 Audit wird jährlich durchgeführt und baut auf dem ISO 27001 Standard auf.
DSGVO-geprüft
Durch den Fokus von Whistleblower Software auf Privacy by Design war es uns möglich, mehrere Funktionen in das Produkt einzuführen, um nicht nur die Gesetzgebung, sondern auch Best-Practice-Datenschutzinitiativen zu berücksichtigen.
Whistleblower Software ist konform mit wichtigen Datenschutzgesetzen, einschließlich der DSGVO . Lesen Sie mehr darüber, wie unsere Lösung Schrems II durch E2EE einhält, hier.
Wir führen regelmäßig externe DSGVO-Audits durch.
Haben Sie Fragen?
+49 15 77 44 66 259
Hendrik Töpper
hto@whistleblowersoftware.com
+49 15 77 44 66 259