Empêchez la fuite de données sensibles au sein de votre entreprise.
Optez pour la sécurité maximale.

Insigne certifié ISO 27001.
ISO/CEI 27001:2013
Pour nous assurer qu'en tant qu'entreprise, nous suivons les meilleures pratiques en matière de protection des données, nous avons mis en place le système de gestion ISO/IEC 27001:2013.
Badge d'audit ISAE 3000.
ISAE 3000
Rapport ISAE 3000 de l'auditeur indépendant sur les mesures de sécurité de l'information et de protection des données en relation avec l'accord de traitement des données avec les contrôleurs de données.
Badge d'hébergement ISO 27001.
Serveurs ISO 27001
Les données sont hébergées en toute sécurité avec AWS certifié ISO 27001.
Insigne de test de pénétration.
Test de pénétration
Dernière création en mai 2021 par Zencurity
Kristoffer Abell, de Whistleblower Software
Des questions ?
+32 78 48 21 12
Kristoffer Abell
kab@whistleblowersoftware.com

Sécurité

Stockage de données

Stockage physique

AWS (Amazon Web Services) est responsable de la gestion de la sécurité physique de l'infrastructure. AWS est conçu non seulement pour permettre des solutions cloud vraiment évolutives, mais également pour répondre aux attentes les plus élevées en matière de sécurité.

Conformément à la législation Schrems II, Whistleblower Software prend en charge le cryptage complet de bout en bout selon les recommandations de l'Union européenne. Cliquez ici pour en lire plus.

Les données sont stockées sur des serveurs à partir d'une installation certifiée ISO 27001, ISO 27017, ISO 27017 et SOC 1, SOC 2 & SOC 3 Pour obtenir un aperçu complet des programmes de conformité, cliquez ici.

Emplacement

Toutes les données et sauvegardes sont stockées auprès d'AWS à Francfort. Les sauvegardes sont stockées dans différentes zones afin degarantir la disponibilité des données.

Obtenez une compréhension de la couche de périmètre des centres de données, de la couche d'infrastructure, de la couche de données et de la couche environnementale, cliquez ici.

Sécurité des applications

La priorité absolue de l'équipe de développement de Whistleblower Software est d'assurer une sécurité maximale. Nous le faisons grâce à des fonctionnalités préventives telles que le cryptage de bout en bout, l'authentification multifacteur (MFA) et en nous concentrant continuellement sur un code de haute qualité, propre et sécurisé, des revues de code, notre environnement d'assurance qualité (QA) et par le biais de tests manuels et automatisés.

Whistleblower Software prend au sérieux la responsabilité partagée de la sécurité entre notre infrastructure cloud et notre application. Pour vous donner un aperçu de certaines des meilleures pratiques que nous suivons, cliquez ici.

Description du système

Un document expliquant le système et sa sécurité

Pour repérer les faiblesses, Whistleblower Software effectue souvent une série de tests automatisés et manuels pour vérifier les vulnérabilités critiques telles que le potentiel d'attaques Cross Site Script (XSS), les injections SQL, les vulnérabilités liées aux sessions, etc.

Pour garantir la plus haute sécurité, nous effectuons également des tests de pénétration réguliers auprès de tiers.

Insigne de test de pénétration.

Test de pénétration

Effectué à1er avril 2021 par Zencurity ApS.

Protection du réseau

Whistleblower Software offre les conditions parfaites pour appliquer les protections par pare-feu de réseau à grande échelle via AWS, ce qui nous aide à atténuer les attaques DDoS potentielles et toutes autres menaces. Whistleblower Software minimise les risques grâce à une segmentation fine du réseau. De plus, notre système est surveillé en permanence contre les menaces à la fois au niveau du réseau et au niveau de l'application.

Confidentialité

Nous ne pouvons pas voir vos données

Whistleblower Software valorise la confidentialité, et nous le faisons en construisant l'ensemble de notre système autour de la sécurité et de la confidentialité qui vont au-delà des meilleures pratiques de l'industrie.

Même nos équipes qui développent le logiciel ne peuvent pas voir vos cas, en raison de notre Cryptage de bout en bout. Tous les formulaires de texte libre et les champs de saisie de texte liés au cas sont cryptés avant d'être stockés dans notre base de données. Votre entreprise sera la seule à recevoir les codes pour déverrouiller les informations. Cela signifie également que si le pire devait arriver, aucun intrus ne serait en mesure de lire les informations concernant les cas stockés dans la base de données.

Anonymat des lanceurs d'alerte

Dans la plupart des pays, une bonne pratique consiste à autoriser un lanceur d'alerte à effectuer un signalement de manière confidentielle, car il sera souvent mieux protégé par la loi s'il est identifiable. Cependant, dans certains cas, les lanceurs d'alerte peuvent hésiter à signaler un cas par crainte d'éventuelles représailles personnelles.
Par conséquent, Whistleblower Software est capable de permettre au lanceur d'alerte de signaler de manière anonyme, mais aussi aux agents de contrôle et aux conseillers d'anonymiser ou de "pseudonymiser" les cas si jamais plusieurs conseillers seraient impliqués. Disposer des outils nécessaires pour protéger l'identité du lanceur d'alerte peut être la clé pour qu'un incident soit signalé à temps.

Confidentiel by Design

Le processus de développement de Whistleblower Software est basé sur Confidentiel by Design, qui se compose de sept principes sur la façon d'assurer un niveau élevé de sécurité autour des informations confidentielles sensibles et de la sécurité en général. Par exemple, à travers les technologies dites d'amélioration de la confidentialité (PET) et les mesures organisationnelles.

Le cœur de Confidentiel by Design est que nous construisons nos systèmes informatiques et nos processus organisationnels de manière cohérente autour de la confidentialité et de la transparence dès le début et que nous ne les considérons pas comme un élément secondaire.

Mesures spéciales

le cryptage de bout en bout

Whistleblower Software utilise le cryptage de bout en bout (E2EE) pour garantir un niveau élevé de confidentialité des données dans les communications via notre plateforme. Les informations sont cryptées via la clé unique de votre entreprise, avant d'être envoyées via une connexion SSL, où elles sont ensuite stockées dans notre base de données AWS. Lorsque les informations doivent ensuite être lues par votre entreprise ou le lanceur d'alerte, par exemple, les données cryptées sont reçues et décryptées directement dans votre navigateur avec votre clé de décryptage unique.

Votre clé de déchiffrement unique peut être stockée en dehors de notre environnement AWS, pour garantir une sécurité maximale. Cela signifie que les employés de Whistleblower Software ne peuvent pas lire vos cas et autres informations confidentielles à partir de votre compte. Il s'agit également d'une protection étendue contre les attaques MITM.

De plus, cela garantit que Whistleblower Software est entièrement conforme à Schrems || (RGPD), car il empêche l'accès de toute institution gouvernementale transatlantique.

Les données envoyées (en transit) sont cryptées à l'aide de TLS et les données stockées (au repos) sont également cryptées.

Contrôle d'accès

La page sur laquelle se trouvent les cas est par défaut protégée par un mot de passe. Un niveau supplémentaire de sécurité peut être mis en place en activant l'authentification multifacteur. Cela oblige par example les utilisateurs à vérifier leur compte par SMS avant de pouvoir accéder au système.

Une fois à l'intérieur du système, les utilisateurs et les conseillers externes doivent obtenir des autorisations pour accéder à certains contenus ou effectuer des opérations supplémentaires. De plus, le système ne donne pas l'accès aux utilisateurs dans tous les cas. Au niveau des dossiers, l'accès peut être accordé à des personnes spécifiques. Ainsi, il est garanti qu'aucune personne non autorisée (créée dans le système) ne puisse accéder aux dossiers. Cela peut également être fait au niveau de la catégorie, de sorte que lors de la création de nouveaux dossiers, certaines personnes aient automatiquement accès, par exemple, aux dossiers marqués comme faisant partie de la catégorie « blanchiment d'argent ».

De plus, il est également possible d'appliquer des règles telles que les « autorisations d'archivage ». Par exemple, cela pourrait exiger qu'un cas ne puisse être archivé que si deux ou tous les conseillers sont d'accord.

Transparence et journalisation

Whistleblower Software est conçu pour être transparent pour les lanceurs d'alerte et les conseillers. Par exemple, il est toujours possible pour les conseillers de remonter dans le temps pour voir les changements de cas et de statut dans les journaux d'activité.

Grâce au canal de signalement, le lanceur d'alerte peut voir qui traitera le cas en fonction de la catégorie et du département qu'il a choisis. Après avoir effectué un signalement, le lanceur d'alerte peut poursuivre la communication à tout moment avec l'entreprise afin de partager d'autres éléments même si son signalement est anonyme. Dans cet aperçu, le lanceur d'alerte pourra voir le statut de traitement du dossier et les personnes impliquées. Les conseillers peuvent anonymiser ou pseudonymiser les dossiers si plusieurs conseillers sont impliqués. Ils restent toujours visibles pour le lanceur d'alerte.

Conformité

Lois sur les lanceurs d'alerte

Whistleblower Software est conçu pour être entièrement conforme aux principales lois sur les lanceurs d'alerte et la confidentialité, même pour les entreprises couvrant plusieurs juridictions légales. Cela inclut:

Directive de l'UE sur la protection des lanceurs d'alerte 2019/19378

US SOX Act Section 301 sur la responsabilité des entreprises

FCA britannique

Code allemand de gouvernance d'entreprise

Loi Sapin II française

Bien entendu, cela comprend également la directive européenne sur la protection des lanceurs d’alerte. Nous suivons de près les législations locales connexes afin de pouvoir répondre à toutes les exigences.

Nous nous préparons à pouvoir adopter le prochain standard ISO 37002 donnant des directives normalisées à échelle mondiale pour les systèmes de gestion d'alertes.

ISO/CEI 27001:2013

Pour nous assurer qu'en tant qu'entreprise, nous suivons les meilleures pratiques en matière de protection des données, nous avons mis en place le système de gestion ISO/IEC 27001:2013. Ce certificat prouve que les opérations de Whistleblower Software adhèrent aux normes internationalement reconnues en ce qui concerne la gestion du développement, des ventes et du service des solutions de signalement.

Insigne certifié ISO 27001.

ISO/CEI 27001:2013

Effectué le 1er décembre 2021 par Intertek.

ISAE 3000

Demandez accès au rapport ISAE 3000 réalisé par une agence d'audit indépendante. Cet audit concerne les mesures de sécurité et de protection des informations et des données en lien avec l'accord de traitement des données. Dans l'audit externe, vous pouvez en savoir plus sur le fonctionnement du système ainsi que sur les mesures de sécurité organisationnelles et techniques que nous avons mises en œuvre. L'audit ISAE 3000 est réalisé annuellement et s'articule autour de la norme ISO 27001.

Badge d'audit ISAE 3000.

ISAE 3000

Effectué le 1er juin 2021 par Beierholm.

RGPD audité

En raison de l'accent mis par Whistleblower Software sur Confidentiel, by design , il a été facile d'introduire plusieurs fonctionnalités dans le produit pour s'adapter non seulement à la législation, mais également aux meilleures pratiques de confidentialité.

Whistleblower Software est conforme aux lois sur la confidentialité, notamment RGPD . En savoir plus sur la façon dont notre solution prend Schrems II en compte via E2EE, ici.

Nous réalisons régulièrement des audits externes RGPD.

Kristoffer Abell, de Whistleblower Software
Des questions ?
+32 78 48 21 12
Kristoffer Abell
kab@whistleblowersoftware.com