Prévenez les fuites de votre entreprise
questions les plus délicates. Allez pour le la plus haute sécurité.

Badge d'audit ISAE 3000.
ISAE 3000
Rapport ISAE 3000 de l'auditeur indépendant sur les mesures de sécurité de l'information et de protection des données en relation avec l'accord de traitement des données avec les contrôleurs de données.
Badge d'hébergement ISO 27001.
Serveurs ISO 27001
Les données sont hébergées en toute sécurité avec AWS certifié ISO 27001.
Insigne de test de pénétration.
Test de pénétration
Dernière création en mai 2021 par Zencurity
Kristoffer Abell du lanceur d'alerte Software
Des questions?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com
Sécurité
Stockage de données
Stockage physique
AWS (Amazon Web Services) est responsable de la gestion de la sécurité physique de l'infrastructure. AWS est conçu non seulement pour permettre des solutions cloud vraiment évolutives, mais également pour répondre aux attentes les plus élevées en matière de sécurité.
Pour lutter contre les régimes || décision Whistleblower Software prend en charge le cryptage complet de bout en bout conformément aux recommandations de l'Union européenne. Cliquez ici pour en lire plus.
Les données sont stockées sur des serveurs à partir d'une installation qui est ISO 27001, ISO 27017, ISO 27017 et SOC 1, SOC 2 & SOC 3 -agréé. Pour obtenir un aperçu complet des programmes de conformité, cliquez ici.
Emplacement
Toutes les données et sauvegardes sont stockées avec AWS à Francfort. Les sauvegardes sont stockées dans différentes zones de disponibilité pour garantir la disponibilité des données.
Obtenez une compréhension de la couche de périmètre des centres de données, de la couche d'infrastructure, de la couche de données et de la couche environnementale, cliquez ici.
Sécurité des applications
La priorité absolue de l'équipe de développement de Whistleblower Software est d'assurer une sécurité maximale. Nous le faisons grâce à des fonctionnalités préventives telles que le cryptage de bout en bout, l'authentification multifacteur (MFA) et en nous concentrant continuellement sur un code de haute qualité, propre et sécurisé, des revues de code, notre environnement d'assurance qualité (QA) et par le biais de manuels. et des tests automatisés.
Whistleblower Software prend au sérieux la responsabilité partagée de la sécurité entre notre infrastructure cloud et notre application. Pour vous donner un aperçu de certaines des meilleures pratiques que nous suivons, cliquez ici.
Description du système
Un document expliquant le système et sa sécurité
Pour repérer les faiblesses, Whistleblower Software effectue souvent une série de tests automatisés et manuels pour vérifier les vulnérabilités critiques telles que le potentiel d'attaques Cross Site Script (XSS), les injections SQL, les vulnérabilités liées aux sessions, etc.
Pour garantir la plus haute sécurité, nous effectuons également des tests d'intrusion réguliers auprès de tiers.
Insigne de test de pénétration.
Test de pénétration
Effectué à1er avril 2021 par Zencurity ApS.
Protection du réseau
Whistleblower Software offre les conditions idéales pour appliquer les protections par pare-feu réseau à grande échelle via AWS, nous aidant à atténuer les attaques DDoS potentielles et autres exploits potentiels. Le logiciel de dénonciation minimise les risques grâce à une segmentation fine du réseau et notre système est surveillé en permanence pour les threads à la fois au niveau du réseau et au niveau de l'application.
Intimité
Nous ne pouvons pas voir vos données
Whistleblower Software valorise la confidentialité, et nous le faisons en construisant l'ensemble de notre système autour de la sécurité et de la confidentialité qui vont au-delà des meilleures pratiques de l'industrie.
Même nos développeurs de logiciels ne peuvent pas voir vos cas, en raison de notre Cryptage de bout en bout. Tous les formulaires de texte libre et les champs de saisie de texte liés au cas sont cryptés avant d'être stockés dans notre base de données. Votre entreprise sera la seule à recevoir les clés pour déverrouiller les informations. Cela signifie également que si le pire devait arriver, aucun intrus ne serait en mesure de lire les informations de cas dans la base de données.
Anonymat des lanceurs d'alerte
Dans la plupart des pays, c'est une bonne pratique d'autoriser les lanceurs d'alerte à signaler en toute confidentialité, car le lanceur d'alerte est souvent mieux protégé par la loi s'il est identifiable. Cependant, dans certains cas, les dénonciateurs peuvent avoir du mal à signaler en raison de la crainte d'éventuelles conséquences personnelles.
Par conséquent, Whistleblower Software est capable de permettre au lanceur d'alerte de signaler de manière anonyme, mais aussi aux agents de contrôle et aux gestionnaires de cas d'anonymiser ou de pseudonymiser les cas au cas où plusieurs gestionnaires de cas seraient impliqués. Disposer des outils nécessaires pour protéger l'identité du lanceur d'alerte peut être la clé pour qu'un incident soit signalé à temps.
Confidentialité dès la conception
Le processus de développement de Whistleblower Software est basé sur Privacy by Design, qui se compose de sept principes sur la façon d'assurer un niveau élevé de sécurité autour des informations confidentielles sensibles et de la sécurité en général. Par exemple, à travers les technologies dites d'amélioration de la confidentialité (PET) et les mesures organisationnelles.
Le cœur de Privacy by Design est que nous construisons nos systèmes informatiques et nos processus organisationnels de manière cohérente autour de la confidentialité et de la transparence dès le début et que nous ne les considérons pas comme un élément secondaire.
Mesures spéciales
Cryptage de bout en bout
Whistleblower Software utilise le cryptage de bout en bout (E2EE) pour garantir un niveau élevé de confidentialité des données dans les communications via notre plate-forme. Les informations sont cryptées via la clé unique de votre entreprise, avant d'être envoyées via une connexion SSL, où elles sont ensuite stockées dans notre base de données AWS. Lorsque les informations doivent ensuite être lues par votre entreprise ou le lanceur d'alerte, par exemple, les données cryptées sont reçues et décryptées directement dans votre navigateur avec votre clé de décryptage unique.
Votre clé de déchiffrement unique est stockée en dehors de notre environnement AWS, pour permettre la plus haute sécurité. Cela signifie que les employés de Whistleblower Software ne peuvent pas lire vos cas et autres informations relatives à la confidentialité à partir de votre compte. Il s'agit également d'une protection étendue contre les attaques MITM.
De plus, cela garantit que le logiciel de dénonciation est entièrement conforme à Schrems || (RGPD), car il empêche l'accès transatlantique de toute institution gouvernementale.
Les données envoyées (en transit) sont cryptées à l'aide de TLS et les données stockées (au repos) sont également cryptées.
Contrôle d'accès
Le boîtier-hub est par défaut protégé par mot de passe. Une couche de sécurité supplémentaire peut être mise en place en activant l'authentification multifacteur. Cela oblige les utilisateurs à vérifier, par exemple, par SMS avant de pouvoir accéder au système.
Une fois à l'intérieur du système, les utilisateurs et les conseillers externes doivent obtenir des autorisations pour accéder à certains contenus ou effectuer des opérations supplémentaires. De plus, le système ne donne pas aux utilisateurs accès à tous les cas. Au niveau des dossiers, l'accès peut être accordé à des individus, de sorte qu'il est garanti qu'aucune personne non autorisée (créée dans le système) ne peut accéder aux dossiers. Cela peut également être fait au niveau de la catégorie, de sorte que lors de la création de nouveaux dossiers, certaines personnes aient automatiquement accès, par exemple, aux dossiers marqués comme faisant partie de la catégorie « blanchiment d'argent ».
De plus, il est également possible d'appliquer des règles telles que les « autorisations d'archivage ». Par exemple, cela pourrait exiger qu'un cas ne puisse être archivé que si 2 ou tous les gestionnaires de cas sont d'accord.
Transparence et journalisation
Le logiciel de dénonciation est conçu pour être transparent pour les dénonciateurs et les gestionnaires de cas. Par exemple, il est toujours possible pour les gestionnaires de cas de remonter dans le temps pour voir les changements de cas et les actions du gestionnaire de cas dans les journaux d'activité.
Grâce au canal de signalement, le lanceur d'alerte peut voir qui traitera le cas en fonction de la catégorie et du service qu'il a choisis. Après avoir soumis, le lanceur d'alerte peut accéder à la communication à tout moment pour ajouter plus d'informations ou simplement pour communiquer avec l'entreprise, même s'il a signalé de manière anonyme. Dans cet aperçu, le lanceur d'alerte pourra voir l'état actuel du traitement du dossier et les personnes impliquées. Les agents de contrôle et les gestionnaires de cas peuvent anonymiser ou pseudonymiser les dossiers si plusieurs gestionnaires de dossiers sont impliqués, tous toujours visibles pour le dénonciateur.
Conformité
Lois sur les dénonciateurs
Le logiciel de dénonciation est conçu pour être entièrement conforme aux principales lois sur la dénonciation et la confidentialité, même pour les entreprises couvrant plusieurs juridictions légales. Comprenant:
Directive de l'UE sur la protection des lanceurs d'alerte 2019/19378
US SOX Act Section 301 sur la responsabilité des entreprises
FCA britannique
Code allemand de gouvernance d'entreprise
Loi Sapin II française
Cela inclut bien sûr la directive européenne sur la protection des dénonciateurs, où nous suivons de près les législations locales connexes, afin de pouvoir répondre à toutes les exigences locales.
Nous nous préparons à pouvoir accompagner la prochaine ISO 37002 -standard, donnant des directives normalisées à l'échelle mondiale pour les systèmes de gestion des alertes.
ISEA 3000
Demandez le rapport ISAE 3000 de notre auditeur indépendant sur les mesures de sécurité de l'information et de protection des données en relation avec l'accord de traitement des données avec les contrôleurs de données. Dans l'audit externe, vous pouvez en savoir plus sur le fonctionnement du système ainsi que sur les mesures de sécurité organisationnelles et techniques que nous avons mises en œuvre. L'audit ISAE 3000 est réalisé annuellement et s'articule autour de la norme ISO 27001.
Badge d'audit ISAE 3000.
ISAE 3000
Effectué à 1er juin 2021 par Beierholm.
RGPD audité
En raison de l'accent mis par Whistleblower Software sur Confidentialité dès la conception , il a été facile d'introduire plusieurs fonctionnalités dans le produit pour s'adapter non seulement à la législation, mais également aux meilleures pratiques de confidentialité.
Le logiciel de dénonciation est conforme aux principales lois sur la confidentialité, notamment RGPD . En savoir plus sur la façon dont notre solution prend Schrems II en compte via E2EE, ici.
Nous réalisons régulièrement des audits externes RGPD.
Kristoffer Abell du lanceur d'alerte Software
Des questions?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com
+45 71 99 63 83
contact@whistleblowersoftware.com
Essayez le produit
Whistleblower Software ApS Logo

© 2021 Whistleblower Software ApS. Tous les droits sont réservés.