Αποτρέψτε τις διαρροές των πιο ευαίσθητων πληροφοριών της εταιρείας σας
των πιο ευαίσθητων πληροφοριών της εταιρείας σας. Επιδιώξτε την
ύψιστη ασφάλεια.
Ασφάλεια
Αποθήκευση δεδομένων
Φυσική αποθήκευση
Η AWS (Amazon Web Services) είναι υπεύθυνη για τη διαχείριση της φυσικής ασφάλειας της υποδομής. Η AWS έχει κατασκευαστεί όχι μόνο για να επιτρέπει πραγματικά κλιμακούμενες λύσεις cloud, αλλά και για να ανταποκρίνεται στις υψηλότερες προσδοκίες για την ασφάλεια.
Για την αντιμετώπιση της απόφασης Schrems || Το Whistleblower Software υποστηρίζει πλήρη κρυπτογράφηση End-to-End σύμφωνα με τις συστάσεις της Ευρωπαϊκής Ένωσης. Κάντε κλικ εδώ για να διαβάσετε περισσότερα.
Τα δεδομένα αποθηκεύονται σε διακομιστές από μια εγκατάσταση που είναι κατά ISO 27001, ISO 27017, ISO 27017 και SOC 1, SOC 2 & SOC 3 -πιστοποιημένη. Για να αποκτήσετε πλήρη εικόνα των προγραμμάτων συμμόρφωσης, κάντε κλικ εδώ.
Τοποθεσία
Όλα τα δεδομένα και τα αντίγραφα ασφαλείας αποθηκεύονται στην AWS στη Φρανκφούρτη. Τα αντίγραφα ασφαλείας αποθηκεύονται σε διαφορετικές ζώνες διαθεσιμότητας για να διασφαλιστεί η διαθεσιμότητα των δεδομένων.
Κατανοήστε το περιμετρικό επίπεδο των κέντρων δεδομένων, το επίπεδο υποδομής, το επίπεδο δεδομένων και το περιβαλλοντικό επίπεδο, κάντε κλικ εδώ.
Ασφάλεια της εφαρμογής
Η ύψιστη προτεραιότητα της ομάδας ανάπτυξης του Whistleblower Software είναι να διασφαλίσει τη μέγιστη δυνατή ασφάλεια. Αυτό το επιτυγχάνουμε μέσω προληπτικών λειτουργιών, όπως η κρυπτογράφηση από άκρο σε άκρο, ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) και μέσω της συνεχούς εστίασης σε υψηλής ποιότητας, καθαρό και ασφαλή κώδικα, αναθεωρήσεις του κώδικα, το περιβάλλον διασφάλισης ποιότητας (QA) και μέσω χειροκίνητων και αυτοματοποιημένων δοκιμών.
Η Whistleblower Software αναλαμβάνει σοβαρά την από κοινού ευθύνη της ασφάλειας μεταξύ της υποδομής cloud και της εφαρμογής μας. Για να σας δώσουμε μια γεύση από μερικές από τις βέλτιστες πρακτικές που ακολουθούμε, κάντε κλικ εδώ.
Περιγραφή του συστήματος
Ένα έγγραφο που εξηγεί το σύστημα και την ασφάλειά του
Για τον εντοπισμό αδυναμιών, το Whistleblower Software πραγματοποιεί συχνά μια σειρά αυτοματοποιημένων και χειροκίνητων δοκιμών για τον έλεγχο κρίσιμων ευπαθειών, όπως πιθανές επιθέσεις Cross Site Script (XSS), SQL-injections, ευπάθειες που σχετίζονται με τη λειτουργία και άλλα.
Για να διασφαλίσουμε την υψηλότερη δυνατή ασφάλεια, πραγματοποιούμε επίσης τακτικές δοκιμές διείσδυσης από τρίτους.
Δοκιμή διείσδυσης
Πραγματοποιήθηκε στις 1η Απριλίου 2021 από Zencurity ApS.
Προστασία δικτύου
Η Whistleblower Software διαθέτει τις ιδανικές συνθήκες για την επιβολή τείχους προστασίας δικτύου σε κλίμακα μέσω της AWS, βοηθώντας μας να μετριάσουμε πιθανές επιθέσεις DDoS και άλλες πιθανές εκμεταλλεύσεις. Η Whistleblower Software ελαχιστοποιεί τον κίνδυνο μέσω της λεπτομερούς τμηματοποίησης του δικτύου και το σύστημά μας παρακολουθείται συνεχώς για απειλές τόσο σε επίπεδο δικτύου όσο και σε επίπεδο εφαρμογών.
Απόρρητο
Δεν έχουμε πρόσβαση στα δεδομένα σας
Το Whistleblower Software εκτιμά την προστασία της ιδιωτικότητας και το κάνουμε αυτό χτίζοντας ολόκληρο το σύστημά μας γύρω από την ασφάλεια και την προστασία της ιδιωτικότητας που υπερβαίνει τις βέλτιστες πρακτικές του κλάδου.
Ακόμα και οι προγραμματιστές μας δεν μπορούν να δουν τις υποθέσεις σας, λόγω της End-to-End κρυπτογράφησης. Όλες οι φόρμες ελεύθερου κειμένου και τα πεδία εισαγωγής κειμένου που σχετίζονται με την υπόθεση κρυπτογραφούνται πριν αποθηκευτούν στη βάση δεδομένων μας. Η εταιρεία σας θα είναι το μοναδικό μέλος που θα λάβει τα κλειδιά για το ξεκλείδωμα των πληροφοριών. Αυτό σημαίνει επίσης ότι, αν συμβεί το χειρότερο, οποιοσδήποτε εισβολέας δεν θα μπορεί να διαβάσει τις πληροφορίες των περιπτώσεων από τη βάση δεδομένων.
Ανωνυμία των πληροφοριοδοτών
Απόρρητο από το σχεδιασμό
Η διαδικασία ανάπτυξης του Whistleblower Software βασίζεται στο "Privacy by Design", το οποίο αποτελείται από επτά αρχές σχετικά με τον τρόπο διασφάλισης ενός υψηλού επιπέδου ασφάλειας γύρω από τις ευαίσθητες ιδιωτικές πληροφορίες και γενικότερα την ασφάλεια. Για παράδειγμα, μέσω των λεγόμενων Τεχνολογιών Ενίσχυσης της Ιδιωτικότητας (Privacy Enhancing Technologies - PETs) και των οργανωτικών μέτρων.
Ο πυρήνας του "Privacy by Design" είναι ότι οικοδομούμε τα πληροφοριακά μας συστήματα και τις οργανωσιακές μας διαδικασίες συνεκτικά γύρω από την προστασία της ιδιωτικότητας και της διαφάνειας από την αρχή και δεν τα θεωρούμε δευτερεύον στοιχείο.
Ειδικά μέτρα
Κρυπτογράφηση End-to-End
Το Whistleblower Software χρησιμοποιεί κρυπτογράφηση από άκρο σε άκρο (E2EE) για να διασφαλίσει ένα υψηλό επίπεδο απορρήτου δεδομένων στις επικοινωνίες μέσω της πλατφόρμας μας. Οι πληροφορίες κρυπτογραφούνται μέσω του μοναδικού κλειδιού της εταιρείας σας, προτού αποσταλούν μέσω μιας σύνδεσης SSL, όπου στη συνέχεια αποθηκεύονται στη βάση δεδομένων AWS. Όταν οι πληροφορίες πρόκειται στη συνέχεια να διαβαστούν από την εταιρεία σας ή τον καταγγέλλοντα, για παράδειγμα, τα κρυπτογραφημένα δεδομένα λαμβάνονται και αποκρυπτογραφούνται απευθείας στο πρόγραμμα περιήγησής σας με το μοναδικό σας κλειδί αποκρυπτογράφησης.
Το μοναδιαίο κλειδί αποκρυπτογράφησης μπορεί να αποθηκευτεί εκτός του περιβάλλοντος AWS, για να διασφαλιστεί η μέγιστη δυνατή ασφάλεια. Αυτό σημαίνει ότι οι υπάλληλοι του Whistleblower Software δεν μπορούν να διαβάσουν τις υποθέσεις σας και άλλες πληροφορίες που σχετίζονται με το απόρρητο από το λογαριασμό σας. Πρόκειται επίσης για μια εκτεταμένη προστασία κατά των επιθέσεων τύπου MITM.
Επιπλέον, αυτό διασφαλίζει ότι το λογισμικό Whistleblower Software συμμορφώνεται πλήρως με το Schrems || (GDPR), καθώς αποτρέπει τη διατλαντική πρόσβαση από οποιοδήποτε κυβερνητικό ίδρυμα.
Τα δεδομένα που αποστέλλονται (κατά τη μεταφορά), κρυπτογραφούνται με τη χρήση TLS και τα δεδομένα που αποθηκεύονται (σε κατάσταση ηρεμίας) επίσης κρυπτογραφούνται.
Έλεγχος πρόσβασης
Η θυρίδα είναι από προεπιλογή προστατευμένη με κωδικό πρόσβασης. Ένα επιπλέον επίπεδο ασφάλειας μπορεί να τεθεί σε εφαρμογή ενεργοποιώντας τον έλεγχο ταυτότητας πολλαπλών παραγόντων. Αυτό προϋποθέτει την επαλήθευση των χρηστών, για παράδειγμα μέσω SMS, προτού μπορέσουν να εισέλθουν στο σύστημα.
Μόλις εισέλθουν στο σύστημα, οι χρήστες και οι εξωτερικοί σύμβουλοι πρέπει να λάβουν δικαιώματα πρόσβασης σε ορισμένο περιεχόμενο ή να εκτελέσουν πρόσθετες λειτουργίες. Επιπλέον, το σύστημα δεν παρέχει στους χρήστες πρόσβαση σε όλες τις υποθέσεις. Σε επίπεδο υποθέσεων, η πρόσβαση μπορεί να δοθεί σε άτομα, ώστε να διασφαλίζεται ότι δεν μπορούν να έχουν πρόσβαση σε υποθέσεις μη εξουσιοδοτημένα άτομα (που έχουν δημιουργηθεί στο σύστημα). Αυτό μπορεί επίσης να γίνει σε επίπεδο κατηγορίας, έτσι ώστε κατά τη δημιουργία νέων υποθέσεων να δίνεται αυτόματα πρόσβαση σε ορισμένα άτομα, για παράδειγμα, σε υποθέσεις που έχουν χαρακτηριστεί ως υπαγόμενες στην κατηγορία "νομιμοποίηση εσόδων από παράνομες δραστηριότητες".
Επιπλέον, είναι επίσης δυνατή η εφαρμογή κανόνων όπως τα "δικαιώματα αρχειοθέτησης". Για παράδειγμα, αυτό θα µπορούσε να προϋποθέτει ότι κάθε υπόθεση µπορεί να αρχειοθετηθεί µόνο εάν συµφωνούν 2 ή όλοι οι χειριστές υποθέσεων.
Διαφάνεια & καταγραφή
Το λογισμικό Whistleblower Software είναι κατασκευασμένο για να είναι διαφανές για τους καταγγέλλοντες και τους διαχειριστές υποθέσεων. Για παράδειγμα, οι διαχειριστές των υποθέσεων μπορούν πάντα να ανατρέξουν στο παρελθόν για να δουν οποιεσδήποτε αλλαγές στην υπόθεση και τις ενέργειες του χειριστή της υπόθεσης μέσω των αρχείων καταγραφής δραστηριοτήτων.
Μέσω του καναλιού αναφοράς, ο πληροφοριοδότης μπορεί να δει ποιος θα χειριστεί την υπόθεση με βάση την κατηγορία και το τμήμα που έχει επιλέξει. Μετά την υποβολή, ο καταγγέλλων μπορεί να έχει πρόσβαση στην επικοινωνία ανά πάσα στιγμή για να προσθέσει περισσότερες πληροφορίες ή απλώς για να επικοινωνήσει με την εταιρεία, ακόμη και αν ανέφερε ανώνυμα. Σε αυτή την επισκόπηση, ο καταγγέλλων θα μπορεί να δει την τρέχουσα κατάσταση του χειρισμού της υπόθεσης και τα άτομα που εμπλέκονται. Οι ελεγκτές και οι χειριστές των υποθέσεων μπορούν να ανωνυμοποιήσουν ή να ψευδωνυμοποιήσουν τις υποθέσεις, εάν στην περίπτωση αυτή εμπλέκονται πολλοί χειριστές υποθέσεων, οι οποίοι εξακολουθούν να είναι όλοι ορατοί στον καταγγέλλοντα.
Συμμόρφωση
Νόμοι περί πληροφοριοδοτών
Το Λογισμικό Whistleblower είναι κατασκευασμένο έτσι ώστε να συμμορφώνεται πλήρως με τους σημαντικότερους νόμους περί καταγγελίας και προστασίας της ιδιωτικότητας, ακόμη και για επιχειρήσεις που καλύπτουν πολλαπλές νομικές δικαιοδοσίες. Συμπεριλαμβανομένων:
Οδηγία 2019/19378 της ΕΕ για την προστασία των πληροφοριοδοτών
Τμήμα 301 του νόμου SOX των ΗΠΑ για την εταιρική υπευθυνότητα
U.K. FCA
Γερμανικός Κώδικας Εταιρικής Διακυβέρνησης
Γαλλικό Loi Sapin II
Αυτό περιλαμβάνει φυσικά και την οδηγία της ΕΕ για την προστασία των πληροφοριοδοτών, όπου παρακολουθούμε στενά τις σχετικές τοπικές νομοθεσίες, ώστε να είμαστε σε θέση να ανταποκριθούμε σε όλες τις τοπικές απαιτήσεις.
Προετοιμαζόμαστε ώστε να είμαστε σε θέση να υποστηρίξουμε το επερχόμενο ISO 37002 -πρότυπο, το οποίο παρέχει παγκοσμίως τυποποιημένες κατευθυντήριες γραμμές για τα συστήματα διαχείρισης των αναφορών.
ISO/IEC 27001:2013
Για να διασφαλίσουμε ότι εμείς, ως οργανισμός, ακολουθούμε τις βέλτιστες πρακτικές για την ασφάλεια των πληροφοριών, έχουμε εφαρμόσει το σύστημα διαχείρισης ISO/IEC 27001:2013. Το πιστοποιητικό αποδεικνύει ότι οι λειτουργίες της Whistleblower Software συμμορφώνονται με τα διεθνώς αναγνωρισμένα πρότυπα για τη διαχείριση της ανάπτυξης λογισμικού, των πωλήσεων και της παροχής λύσεων για τους καταγγέλοντες.
ISO/IEC 27001:2013
Πραγματοποιήθηκε στο 1η Δεκεμβρίου 2021 από Intertek.
ISAE 3000
Ζητήστε την έκθεση ISAE 3000 του ανεξάρτητου ελεγκτή μας σχετικά με τα μέτρα ασφάλειας πληροφοριών και προστασίας δεδομένων σε σχέση με τη συμφωνία εκτελούντος την επεξεργασία δεδομένων με τους υπεύθυνους επεξεργασίας δεδομένων. Στον εξωτερικό έλεγχο μπορείτε να διαβάσετε περισσότερα για τον τρόπο λειτουργίας του συστήματος καθώς και για τα οργανωτικά και τεχνικά μέτρα ασφαλείας που έχουμε εφαρμόσει. Ο έλεγχος ISAE 3000 πραγματοποιείται ετησίως και βασίζεται στο πρότυπο ISO 27001.
Ελέγχεται βάσει του GDPR
Λόγω της εστίασης του Whistleblower Software σε Απόρρητο από το σχεδιασμό , ήταν εύκολο να εισαχθούν διάφορα χαρακτηριστικά στο προϊόν για να προσαρμοστούν όχι μόνο στη νομοθεσία, αλλά και στις βέλτιστες πρακτικές πρωτοβουλιών για την προστασία της ιδιωτικότητας.
Το λογισμικό Whistleblower είναι συμβατό με τους σημαντικότερους νόμους περί προστασίας της ιδιωτικότητας, όπως GDPR . Διαβάστε περισσότερα για το πώς η λύση μας λαμβάνει Schrems II υπόψη μέσω του E2EE, εδώ.
Πραγματοποιούμε τακτικά εξωτερικούς ελέγχους GDPR.