+39 32 8369 0640
Kristoffer Abell
kab@whistleblowersoftware.com
+39 32 8369 0640
Archiviazione fisica
AWS (Amazon Web Services) è responsabile della gestione della sicurezza fisica dell'infrastruttura. AWS è progettato non solo per consentire soluzioni cloud scalabili, ma anche per soddisfare le più alte aspettative di sicurezza.
Per rispondere alla sentenza Schrems, Whistleblower Software by Formalize supporta la crittografia completa End-to-End in conformità alle raccomandazioni dell'Unione Europea. Clicca qui per saperne di più.
I dati vengono archiviati su server da una struttura con certificazione ISO 27001, ISO 27017, ISO 27017 e SOC 1, SOC 2 e SOC 3 Per avere una panoramica completa dei programmi di conformità, clicca qui.
Posizione
Tutti i dati e i backup sono archiviati con AWS a Francoforte. I backup sono archiviati in diverse zone di disponibilità per garantire la disponibilità dei dati.
Ottieni una maggiore comprensione del livello perimetrale dei data center, del livello dell'infrastruttura, del livello dei dati e del livello ambientale, clicca qui per saperne di più.
La massima priorità del team di development di Whistleblower Software by Formalize è quella di garantire la massima sicurezza. Lo facciamo attraverso funzioni preventive come la crittografia end-to-end, l'autenticazione a più fattori (MFA) e attraverso un continuo focus nell'avere un codice di alta qualità, pulito e sicuro, in revisioni del codice,in un nostro ambiente di quality assurance (QA) e attraverso test sia manuali che automatizzati.
Whistleblower Software by Formalize affronta con impegno e serietà la responsabilità condivisa della sicurezza tra la nostra infrastruttura cloud e le nostre applicazioni. Per darvi un'idea di alcune delle migliori pratiche che seguiamo, clicca qui.
Descrizione del sistema
Un documento che spiega la piattaforma e la sua sicurezza
Per individuare punti deboli, Whistleblower Software by Formalize esegue spesso una serie di test automatici e manuali per controllare se vi siano vulnerabilità critiche come potenziali attacchi Cross Site Script (XSS), SQL injections, vulnerabilità legate alla sessione ed altro ancora.
Per garantire la massima sicurezza, vengono regolarmente effettuati test di penetrazione da terze parti.
Whistleblower Software by Formalize ha le condizioni ideali per far rispettare le protezioni del network firewall su scala attraverso l'uso di AWS, aiutandoci a mitigare possibili attacchi DDoS e altri potenziali exploit. Whistleblower Software by Formalize riduce inoltre al minimo i rischi grazie ad una fine-grained segmentazione di rete e il nostro sistema è costantemente monitorato per individuare possibili minacce sia a livello di rete che di applicazione.
Whistleblower Software by Formalize tiene alla privacy e lo fa costruendo la sua intera piattaforma attorno a sicurezza e privacy che vanno oltre le migliori pratiche del settore.
Persino i nostri software developers non potranno vedere i vostri casi, grazie alla nostra Crittografia end-to-end. Tutti i moduli di testo libero e i campi di input di testo relativi ai casi vengono crittografati prima di essere archiviati nel nostro database. La vostra azienda sarà l'unica a ricevere le chiavi per sbloccare le informazioni. Questo significa che anche nel peggiore dei casi, nessun intruso sarà in grado di leggere le informazioni sui casi dal database.
Il processo di sviluppo di Whistleblower Software by Formalize si basa sulla Privacy by Design, che consiste in sette principi su come garantire un elevato livello di sicurezza per informazioni sensibili private e sicurezza in generale. Ad esempio, attraverso le cosiddette tecnologie di rafforzamento della privacy (PET) e le misure organizzative.
La ragione dietro l'uso della Privacy by Design consiste nel fatto che costruiamo i nostri sistemi informatici e processi organizzativi in modo coeso attorno alla privacy e alla trasparenza sin dall'inizio, senza considerarli un elemento secondario.
Whistleblower Software by Formalize utilizza la crittografia end-to-end (E2EE) per garantire un elevato standard di data privacy nelle comunicazioni fatte attraverso la nostra piattaforma. Le informazioni vengono crittografate attraverso la chiave univoca della vostra azienda, prima di essere inviate attraverso una connessione SSL, dove vengono poi archiviate nel nostro database AWS. Quando le informazioni saranno poi lette dalla vostra azienda o dall'informatore, ad esempio, i dati crittografati vengono ricevuti e decifrati direttamente nel vostro browser con la vostra chiave di decrittazione univoca.
La vostra chiave di decrittazione univoca può essere archiviata al di fuori del nostro ambiente AWS, per garantire la massima sicurezza. Ciò significa che i dipendenti di Whistleblower Software by Formalize non possono leggere i vostri casi e altre informazioni relative alla privacy dal vostro account. Questa è anche una protezione estesa contro gli attacchi MITM.
Inoltre, ciò garantisce che il software Whistleblower sia pienamente conforme alla normativa Schrems (GDPR), in quanto impedisce l'accesso transatlantico da parte di qualsiasi istituzione governativa.
I dati inviati (in transito), sono crittografati utilizzando TLS e i dati archiviati (in riposo) sono anch'essi crittografati.
Su impostazione predefinita, l'hub di segnalazione è protetto da una password. Un ulteriore livello di sicurezza può essere raggiunto attivando l'autenticazione a più fattori. Questo richiede agli utenti di verificare, ad esempio, tramite SMS prima di poter procedere all'accesso al sistema.
Una volta entrati nel sistema, utenti e consulenti esterni devono ottenere autorizzazioni per accedere a determinati contenuti o per effettuare operazioni aggiuntive. Inoltre, il sistema non consente agli utenti di accedere a tutti i casi. Per ciascun caso, l'accesso può essere concesso a singoli individui, in modo da garantire che nessuna persona non autorizzata (creata nel sistema) possa accedere ai casi. Questo può essere fatto anche in base al tipo di categoria, in modo che quando si creano nuovi casi, a determinate persone sia automaticamente consentito l'accesso; ad esempio, ai casi contrassegnati come appartenenti alla categoria "riciclaggio di denaro".
E' inoltre possibile applicare regole come i "permessi di archiviazione". Questo potrebbe, ad esempio, richiedere che qualsiasi segnalazione possa essere archiviata solo se due o tutti i gestori delle segnalazioni sono d'accordo.
Il software Whistleblower è progettato in modo da essere trasparente sia verso gli informatori che i gestori delle segnalazioni. Ad esempio, è possibile per i gestori delle segnalazioni tornare indietro nel tempo per vedere eventuali modifiche alla segnalazione e allo stesso modo è anche possibile vedere le azioni del gestore della segnalazione attraverso il registro delle attività.
Attraverso il canale di segnalazione, l'informatore può vedere chi si occuperà del caso in base alla categoria e al dipartimento che ha scelto. Dopo aver inviato la segnalazione, l'informatore può accedere alla comunicazione in qualsiasi momento per aggiungere ulteriori informazioni o semplicemente per comunicare con l'azienda, anche se la segnalazione è anonima. In questa panoramica, l'informatore potrà vedere lo stato attuale della gestione del caso e le persone coinvolte. I vagliatori e i chi gestirà i casi potranno anonimizzare o pseudonimizzare i casi se sono coinvolti più gestori del caso, tutti saranno comunque visibili all'informatore.
Il software Whistleblower è progettato in modo da essere pienamente conforme alle principali leggi in materia di whistleblowing e privacy, anche per le aziende che coprono diverse giurisdizioni legali. Comprende:
Direttiva UE sulla protezione degli informatori 2019/19378
Sezione 301 della legge statunitense SOX sulla Responsabilità Aziendale
FCA del Regno Unito
Codice di Autodisciplina Tedesco
French Loi Sapin II
Questo naturalmente include la direttiva UE sulla protezione degli informatori, per la quale stiamo seguendo da vicino le relative legislazioni locali, così da poter soddisfare tutti i requisiti locali.
Ci stiamo inoltre preparando per essere in grado di sostenere il prossimo standard ISO 37002 -standard, che fornisce linee guida standardizzate a livello globale per i sistemi di gestione delle segnalazioni.
Per garantire che noi, come organizzazione, seguiamo le migliori pratiche in termini di sicurezza delle informazioni, abbiamo implementato il sistema di gestione ISO/IEC 27001:2013. Il certificato dimostra che le operazioni di Whistleblower Software by Formalize aderiscono agli standard riconosciuti a livello internazionale per la gestione dello sviluppo, delle vendite e del servizio di soluzioni per gli informatori.
Richiedi la relazione ISAE 3000 Type 2 del nostro auditor indipendente sulla sicurezza delle informazioni e misure di protezione dei dati in relazione all'accordo per il trattamento dei dati con i titolari del trattamento dati. Nell'audit esterno potrete leggere ulteriori informazioni su come funziona il sistema e sulle misure di sicurezza organizzative e tecniche che abbiamo implementato. L'Audit ISAE 3000 Type 2 viene svolto annualmente ed si basa sullo standard ISO 27001.
L'ENS (Sistema di Sicurezza Nazionale Spagnolo) rende obbligatorio per il settore pubblico spagnolo e per le aziende che forniscono tecnologia agli enti pubblici il rispetto di elevati standard di sicurezza. Tali norme garantiscono la sicurezza dei sistemi, dei dati e delle comunicazioni a tutela delle persone. Whistleblower Software by Formalize è certificato con il livello più alto raggiungibile.
Certificazione ENS - livello: Alto
Eseguito il 3 maggio 2023 da BDO.
Una certificazione WCAG è un sigillo di qualità che dimostra l'accessibilità del web secondo le linee guida internazionali del W3C (WCAG) rendendo più semplice per le persone con disabilità visive o uditive la navigazione attraverso le pagine del sito web. Ciò rende il prodotto più accessibile e inclusivo per le persone con disabilità. Il certificato riconosce gli sforzi di accessibilità web e garantisce la conformità ai requisiti legali.
Data l'attenzione che Whistleblower Software by Formalize pone su Privacy by Design , è stato facile introdurre diverse funzioni nel prodotto per adattarlo non solo alla legislazione, ma anche alle migliori pratiche in materia di privacy.
Il software Whistleblower è conforme alle principali leggi sulla privacy, tra cui GDPR . Scopri di più su come la nostra soluzione prende Schrems II in considerazione attraverso l'E2EE, qui.
Effettuiamo regolarmente audit esterni sul GDPR.
+39 32 8369 0640
Kristoffer Abell
kab@whistleblowersoftware.com
+39 32 8369 0640
5/5 stelle su G2
