Empêchez la fuite de donnée dans votre entreprise sur
les sujets sensibles. Optez pour la plus haute sécurité.

Badge d'audit ISAE 3000.
ISAE 3000
Rapport ISAE 3000 de l'auditeur indépendant sur les mesures de sécurité de l'information et de protection des données en relation avec l'accord de traitement des données avec les contrôleurs de données.
Badge d'hébergement ISO 27001.
Serveurs ISO 27001
Les données sont hébergées en toute sécurité avec AWS certifié ISO 27001.
Insigne de test de pénétration.
Test de pénétration
Dernière création en mai 2021 par Zencurity
Kristoffer Abell, de Whistleblower Software
Des questions?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com

Sécurité

Stockage de données

Stockage physique

AWS (Amazon Web Services) est responsable de la gestion de la sécurité physique de l'infrastructure. AWS est conçu non seulement pour permettre des solutions cloud vraiment évolutives, mais également pour répondre aux attentes les plus élevées en matière de sécurité.

En conformité avec les règles Schrems II Whistleblower Software prend en charge le cryptage complet de bout en bout conformément aux recommandations de l'Union européenne. Cliquez ici pour en lire plus.

Les données sont stockées sur des serveurs à partir d'une installation qui est ISO 27001, ISO 27017, ISO 27017 et SOC 1, SOC 2 & SOC 3 -agréé. Pour obtenir un aperçu complet des programmes de conformité, cliquez ici.

Emplacement

Toutes les données et sauvegardes sont stockées avec AWS à Francfort. Les sauvegardes sont stockées dans différentes zones de disponibilité pour garantir la disponibilité des données.

Obtenez une compréhension de la couche de périmètre des centres de données, de la couche d'infrastructure, de la couche de données et de la couche environnementale, cliquez ici.

Sécurité des applications

La priorité absolue de l'équipe de développement de Whistleblower Software est d'assurer une sécurité maximale. Nous le faisons grâce à des fonctionnalités préventives telles que le cryptage de bout en bout, l'authentification multifacteur (MFA) et en nous concentrant continuellement sur un code de haute qualité, propre et sécurisé, des revues de code, notre environnement d'assurance qualité (QA) et par le biais de tests manuels et automatisés.

Whistleblower Software prend au sérieux la responsabilité partagée de la sécurité entre notre infrastructure cloud et notre application. Pour vous donner un aperçu de certaines des meilleures pratiques que nous suivons, cliquez ici.

Description du système

Un document expliquant le système et sa sécurité

Pour repérer les faiblesses, Whistleblower Software effectue souvent une série de tests automatisés et manuels pour vérifier les vulnérabilités critiques telles que le potentiel d'attaques Cross Site Script (XSS), les injections SQL, les vulnérabilités liées aux sessions, etc.

Pour garantir la plus haute sécurité, nous effectuons également des tests de pénétration réguliers auprès de tiers.

Insigne de test de pénétration.

Test de pénétration

Effectué à1er avril 2021 par Zencurity ApS.

Protection du réseau

Whistleblower Software offre les conditions idéales pour appliquer les protections par pare-feu réseau à grande échelle via AWS, nous aidant à minimiser les potentielles attaques DDoS ainsi que d'autres menaces potentielles. Whistleblower Software minimise les risques grâce à une segmentation fine du réseau. De plus, notre système est surveillé en permanence contre les menaces à la fois au niveau du réseau et au niveau de l'application.

Intimité

Nous ne pouvons pas voir vos données

Whistleblower Software valorise la confidentialité, et nous le faisons en construisant l'ensemble de notre système autour de la sécurité et de la confidentialité qui vont au-delà des meilleures pratiques de l'industrie.

Même nos équipes qui développent le logiciel ne peuvent pas voir vos cas, en raison de notre Cryptage de bout en bout. Tous les formulaires de texte libre et les champs de saisie de texte liés au cas sont cryptés avant d'être stockés dans notre base de données. Votre entreprise sera la seule à recevoir les clés pour déverrouiller les informations. Cela signifie également que si le pire devait arriver, aucun intrus ne serait en mesure de lire les informations de cas dans la base de données.

Anonymat des lanceurs d'alerte

Dans la plupart des pays, c'est une bonne pratique d'autoriser les lanceurs d'alerte à signaler en toute confidentialité, car le lanceur d'alerte est souvent mieux protégé par la loi s'il est identifiable. Cependant, dans certains cas, les lanceurs d'alerte peuvent être réticents à signaler par crainte d'éventuelles conséquences personnelles.
Par conséquent, Whistleblower Software est capable de permettre au lanceur d'alerte de signaler de manière anonyme, mais aussi aux agents de contrôle et aux conseillers d'anonymiser ou de "pseudonymiser" les cas si jamais plusieurs conseillers seraient impliqués. Disposer des outils nécessaires pour protéger l'identité du lanceur d'alerte peut être la clé pour qu'un incident soit signalé à temps.

Confidentiel by Design

Le processus de développement de Whistleblower Software est basé sur Confidentiel by Design, qui se compose de sept principes sur la façon d'assurer un niveau élevé de sécurité autour des informations confidentielles sensibles et de la sécurité en général. Par exemple, à travers les technologies dites d'amélioration de la confidentialité (PET) et les mesures organisationnelles.

Le cœur de Confidentiel by Design est que nous construisons nos systèmes informatiques et nos processus organisationnels de manière cohérente autour de la confidentialité et de la transparence dès le début et que nous ne les considérons pas comme un élément secondaire.

Mesures spéciales

le Cryptage de bout en bout

Whistleblower Software utilise le cryptage de bout en bout (E2EE) pour garantir un niveau élevé de confidentialité des données dans les communications via notre plate-forme. Les informations sont cryptées via la clé unique de votre entreprise, avant d'être envoyées via une connexion SSL, où elles sont ensuite stockées dans notre base de données AWS. Lorsque les informations doivent ensuite être lues par votre entreprise ou le lanceur d'alerte, par exemple, les données cryptées sont reçues et décryptées directement dans votre navigateur avec votre clé de décryptage unique.

Votre clé de déchiffrement unique peut être stockée en dehors de notre environnement AWS, pour permettre la plus haute sécurité. Cela signifie que les employés de Whistleblower Software ne peuvent pas lire vos cas et autres informations relatives à la confidentialité à partir de votre compte. Il s'agit également d'une protection étendue contre les attaques MITM.

De plus, cela garantit que Whistleblower Software est entièrement conforme à Schrems || (RGPD), car il empêche l'accès de toute institution gouvernementale transatlantique.

Les données envoyées (en transit) sont cryptées à l'aide de TLS et les données stockées (au repos) sont également cryptées.

Contrôle d'accès

Le boîtier-hub est par défaut protégé par mot de passe. Une couche de sécurité supplémentaire peut être mise en place en activant l'authentification multifacteur. Cela oblige les utilisateurs à vérifier, par exemple, par SMS avant de pouvoir accéder au système.

Une fois à l'intérieur du système, les utilisateurs et les conseillers externes doivent obtenir des autorisations pour accéder à certains contenus ou effectuer des opérations supplémentaires. De plus, le système ne donne pas l'accès aux utilisateurs dans tous les cas. Au niveau des dossiers, l'accès peut être accordé à des individus, de sorte qu'il est garanti qu'aucune personne non autorisée (créée dans le système) ne peut accéder aux dossiers. Cela peut également être fait au niveau de la catégorie, de sorte que lors de la création de nouveaux dossiers, certaines personnes aient automatiquement accès, par exemple, aux dossiers marqués comme faisant partie de la catégorie « blanchiment d'argent ».

De plus, il est également possible d'appliquer des règles telles que les « autorisations d'archivage ». Par exemple, cela pourrait exiger qu'un cas ne puisse être archivé que si deux ou tous les conseillers sont d'accord.

Transparence et journalisation

Whistleblower Software est conçu pour être transparent pour les lanceurs d'alerte et les conseillers. Par exemple, il est toujours possible pour les conseillers de remonter dans le temps pour voir les changements de cas et de statut dans les journaux d'activité.

Grâce au canal de signalement, le lanceur d'alerte peut voir qui traitera le cas en fonction de la catégorie et du département qu'il a choisis. Après avoir effectué un signalement, le lanceur d'alerte peut accéder à la communication à tout moment pour ajouter plus d'informations ou simplement pour communiquer avec l'entreprise, même s'il a signalé de manière anonyme. Dans cet aperçu, le lanceur d'alerte pourra voir le statut de traitement du dossier et les personnes impliquées. Les conseillers peuvent anonymiser ou pseudonymiser les dossiers si plusieurs conseillers sont impliqués. Ils restent toujours visibles pour le lanceur d'alerte.

Conformité

Lois sur les Lanceurs d'alerte

Whistleblower Software est conçu pour être entièrement conforme aux principales lois sur les lanceurs d'alerte et la confidentialité, même pour les entreprises couvrant plusieurs juridictions légales. Comprenant:

Directive de l'UE sur la protection des lanceurs d'alerte 2019/19378

US SOX Act Section 301 sur la responsabilité des entreprises

FCA britannique

Code allemand de gouvernance d'entreprise

Loi Sapin II française

Cela inclut bien sûr la directive européenne sur la protection des lanceurs d’alerte. Nous suivons de près les législations locales connexes, afin de pouvoir répondre à toutes les exigences locales.

Nous nous préparons à pouvoir accompagner la prochaine ISO 37002 -standard, donnant des directives normalisées à l'échelle mondiale pour les systèmes de gestion des alertes.

ISAE 3000

Demandez le rapport ISAE 3000 de notre auditeur indépendant sur les mesures de sécurité de l'information et de protection des données en relation avec l'accord de traitement des données avec les contrôleurs de données. Dans l'audit externe, vous pouvez en savoir plus sur le fonctionnement du système ainsi que sur les mesures de sécurité organisationnelles et techniques que nous avons mises en œuvre. L'audit ISAE 3000 est réalisé annuellement et s'articule autour de la norme ISO 27001.

Badge d'audit ISAE 3000.

ISAE 3000

Effectué à 1er juin 2021 par Beierholm.

RGPD audité

En raison de l'accent mis par Whistleblower Software sur Confidentiel, by design , il a été facile d'introduire plusieurs fonctionnalités dans le produit pour s'adapter non seulement à la législation, mais également aux meilleures pratiques de confidentialité.

Whistleblower Software est conforme avec les lois sur la confidentialité, notamment RGPD . En savoir plus sur la façon dont notre solution prend Schrems II en compte via E2EE, ici.

Nous réalisons régulièrement des audits externes RGPD.

Kristoffer Abell, de Whistleblower Software
Des questions?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com