Zapobiegaj wyciekom wrażliwych danych
z Twojej firmy. Postaw na najwyższe bezpieczeństwo.

Szybka nawigacja
  1. Bezpieczeństwo
  2. Prywatność
  3. Środki specjalne
  4. Zgodność
Odznaka z certyfikatem ISO 27001.
ISO/IEC 27001:2013
Aby zapewnić, że jako organizacja postępujemy zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa informacji, wdrożyliśmy system zarządzania ISO/IEC 27001:2013.
Odznaka audytu ISAE 3000 Type 2.
ISAE 3000 Type 2
Raport niezależnego audytora ISAE 3000 Type 2 dotyczący bezpieczeństwa informacji i środków ochrony danych w odniesieniu do umowy z administratorami danych dotyczącej przetwarzania danych.
Odznaka hostingu ISO 27001.
Serwery ISO 27001
Dane są bezpiecznie hostowane za pomocą AWS z certyfikatem ISO 27001.
Odznaka testu penetracyjnego.
Test penetracyjny
Ostatnio przeprowadzony w maju 2023 r. przez TRUESEC
landing-page.security.ens_image_alt
Certyfikat ENS
Zgodność z przepisami bezpieczeństwa ENS jest obowiązkowa dla sektora publicznego w Hiszpanii.
Srebrna odznaka z certyfikatem WCAG 2.1 AA
Certyfikat WCAG 2.1AA
Wytyczne dotyczące dostępności treści internetowych (WCAG) mają na celu ułatwienie osobom z niepełnosprawnością wzroku lub słuchu poruszania się po stronach internetowych.

Masz pytania?

landing-page.global.any_questions_alt

Kristoffer Abell

kab@whistleblowersoftware.com

+48 58 881 32 49

Bezpieczeństwo

Przechowywanie danych

Przechowywanie fizyczne

System AWS (Amazon Web Services) jest odpowiedzialny za fizyczne bezpieczeństwo infrastruktury. AWS jest zbudowany tak, aby nie tylko umożliwić prawdziwie skalowalne rozwiązania chmury, ale również spełnić najwyższe oczekiwania w zakresie bezpieczeństwa.

Aby uwzględnić postanowienia Schrems ||, oprogramowanie Whistleblower Software by Formalize obsługuje pełne szyfrowanie End-to-End zgodnie z zaleceniami Unii Europejskiej. Kliknij tutaj, aby przeczytać więcej.

Dane są przechowywane na serwerach z obiektu, który posiada certyfikaty ISO 27001, ISO 27017, ISO 27017 oraz SOC 1, SOC 2 i SOC 3. Aby uzyskać pełny przegląd programów zgodności, kliknij tutaj.

Lokalizacja

Wszystkie dane i kopie zapasowe są przechowywane w AWS we Frankfurcie. Kopie zapasowe są przechowywane w różnych strefach dostępności, aby zapewnić dostępność danych.

Aby poznać warstwę obwodową, infrastruktury, danych i warstwę środowiskową centrum danych, kliknij tutaj.

Bezpieczeństwo aplikacji

Najwyższym priorytetem zespołu programistów Whistleblower Software by Formalize jest zapewnienie maksymalnego bezpieczeństwa. Robimy to za pomocą funkcji zapobiegawczych, takich jak szyfrowanie end-to-end, uwierzytelnianie wieloskładnikowe (MFA) oraz poprzez ciągłe koncentrowanie się na wysokiej jakości, czystym i bezpiecznym kodzie, przeglądach kodu, naszym środowisku zapewniania jakości (QA), a także poprzez testy ręczne i automatyczne.

Whistleblower Software by Formalize poważnie traktuje wspólną odpowiedzialność za bezpieczeństwo między naszą infrastrukturą chmurową a naszą aplikacją. Aby uzyskać wgląd w niektóre z najlepszych praktyk, które stosujemy, kliknij tutaj.

Opis systemu

Dokument objaśniający system i jego bezpieczeństwo

Aby wykryć słabe punkty, Whistleblower Software by Formalize często przeprowadza serię automatycznych i ręcznych testów w celu wykrycia krytycznych luk w zabezpieczeniach, takich jak potencjalne ataki Cross Site Script (XSS), wstrzyknięcia SQL, luki związane z sesją i inne.

Aby zapewnić najwyższe bezpieczeństwo, przeprowadzamy również regularne testy penetracyjne z udziałem stron trzecich.

Odznaka testu penetracyjnego.

Test penetracyjny

Przeprowadzony 26 maja 2023 r przez Truesec A/S.

Ochrona sieci

Whistleblower Software by Formalize ma idealne warunki do egzekwowania zabezpieczeń zapory sieciowej na dużą skalę za pośrednictwem AWS, pomagając nam ograniczyć potencjalne ataki DDoS i inne potencjalne nadużycia. Whistleblower Software by Formalize minimalizuje ryzyko poprzez szczegółową segmentację sieci, a nasz system jest stale monitorowany pod kątem zagrożeń zarówno na poziomie sieci, jak i na poziomie aplikacji.

Prywatność

Nie możemy zobaczyć Twoich danych

Whistleblower Software by Formalize ceni prywatność, czym kieruje się, budując cały system wokół bezpieczeństwa i prywatności, które wykraczają poza najlepsze praktyki w branży.

Nawet nasi programiści nie widzą Twoich zgłoszeń, ze względu na nasze szyfrowanie end-to-end. Wszystkie związane z danym zgłoszeniem formularze tekstowe i pola wprowadzania tekstu są szyfrowane przed zapisaniem ich w naszej bazie danych. Twoja firma będzie jedynym odbiorcą kluczy potrzebnych do odblokowania tych informacji. Oznacza to również, że jeśli stanie się najgorsze, żaden intruz nie będzie w stanie odczytać informacji o danej sprawie z bazy danych.

Anonimowość osób zgłaszających

W większości krajów najlepszą praktyką jest umożliwienie pracownikom zgłaszania nieprawidłowości w sposób poufny, ponieważ często są oni lepiej chronieni przez prawo, jeżeli można ich zidentyfikować. Jednak w niektórych przypadkach osoby zgłaszające mogą mieć trudności z dokonaniem zgłoszenia ze względu na obawę przed ewentualnymi konsekwencjami osobistymi.
W związku z tym oprogramowanie Whistleblower Software by Formalize jest w stanie umożliwić danej osobie anonimowe zgłoszenie, a osobom obsługującym dany przypadek nadanie anonimowości spraw w przypadku, gdy w ich obsługę zaangażowanych jest wiele osób. Posiadanie narzędzi do ochrony tożsamości zgłaszających może być kluczem do otrzymania zgłoszenia nadużycia na czas.

Privacy by design

Proces rozwoju Whistleblower Software by Formalize opiera się na zasadzie Privacy by Design, która składa się z siedmiu zasad dotyczących zapewnienia wysokiego poziomu bezpieczeństwa wokół wrażliwych informacji prywatnych i ogólnego bezpieczeństwa. Na przykład poprzez tzw. technologie zwiększające prywatność (PETs) i środki organizacyjne.

Istotą Privacy by Design jest to, że od samego początku budujemy nasze systemy IT i procesy organizacyjne spójnie wokół prywatności i przejrzystości, nie traktując tego jako element drugorzędny.

Środki specjalne

Szyfrowanie end-to-end

Whistleblower Software by Formalize używa szyfrowania End-to-End (E2EE), aby zapewnić wysoki standard prywatności danych w komunikacji za pośrednictwem naszej platformy. Informacje są szyfrowane za pomocą unikalnego klucza Twojej firmy, zanim zostaną wysłane przez połączenie SSL, gdzie następnie są przechowywane w naszej bazie danych AWS. Gdy informacje mają zostać odczytane przez Twoją firmę lub osobę zgłaszającą nieprawidłowości, zaszyfrowane dane są odbierane i odszyfrowywane bezpośrednio w Twojej przeglądarce za pomocą Twojego unikalnego klucza deszyfrującego.

Twój unikalny klucz deszyfrujący może być przechowywany poza naszym środowiskiem AWS, aby zapewnić najwyższe bezpieczeństwo. Oznacza to, że pracownicy Whistleblower Software by Formalize nie mogą odczytać Twoich zgłoszonych przypadków i innych informacji związanych z prywatnością z Twojego konta. Jest to również doskonała ochrona przed atakami MITM.

Ponadto zapewnia to pełną zgodność oprogramowania Whistleblower ze Schrems || (RODO), ponieważ uniemożliwia transatlantycki dostęp jakiejkolwiek instytucji rządowej.

Dane wysyłane (w tranzycie) są szyfrowane przy użyciu TLS, a dane przechowywane (w spoczynku) są również szyfrowane.

Kontrola dostępu

Centrum zgłoszonych przypadków jest domyślnie chronione hasłem. Dodatkową warstwę zabezpieczeń można wprowadzić, włączając uwierzytelnianie wieloskładnikowe. Wymaga to od użytkowników weryfikacji, na przykład za pomocą SMS-ów, zanim będą mogli przejść do systemu.

Po wejściu do systemu użytkownicy i doradcy zewnętrzni muszą uzyskać uprawnienia dostępu do określonych treści lub wykonywania dodatkowych operacji. Ponadto system nie daje użytkownikom dostępu do wszystkich przypadków. Na poziomie danej sprawy dostęp można przyznać poszczególnym osobom, dzięki czemu można mieć pewność, że żadne osoby nieupoważnione (utworzone w systemie) nie będą miały dostępu do przypadków. Można to również zrobić na poziomie kategorii, tak aby podczas tworzenia nowych spraw określone osoby automatycznie uzyskiwały dostęp na przykład do spraw oznaczonych jako: „pranie pieniędzy”.

Ponadto możliwe jest również zastosowanie reguł, takich jak „uprawnienia archiwalne”. Na przykład może to wymagać, aby każda sprawa mogła zostać zarchiwizowana tylko wtedy, gdy wyrażą na to zgodę dwie lub wszystkie osoby zajmujące się sprawami.

Przejrzystość i logowanie

Oprogramowanie Whistleblower Software zostało opracowane z myślą o przejrzystości dla osób zgłaszających naruszenia i menedżerów zajmujących się rozpatrywaniem tych zgłoszeń. Przykładowo menedżerowie zgłoszeń zawsze mogą cofnąć się w historii zmian, aby za pośrednictwem dzienników aktywności zobaczyć wszelkie zmiany w zgłoszeniach i działania osób je obsługujących.

Za pośrednictwem kanału zgłaszania osoba zgłaszająca naruszenia może zobaczyć, kto zajmie się sprawą w zależności od wybranej kategorii i działu. Po wysłaniu zgłoszenia osoba może w dowolnym momencie uzyskać dostęp do komunikacji, aby dodać więcej informacji lub po prostu komunikować się z firmą, nawet jeśli zgłoszenie było anonimowe. W tym przeglądzie osoba zgłaszająca będzie mogła zobaczyć aktualny status sprawy i zaangażowane osoby. Osoby prowadzące mogą nadawać anonimowość zgłoszeniom, jeśli w ich sprawę jest zaangażowanych wiele osób obsługujących –wszystkie są widoczne dla osoby zgłaszającej.

Zgodność z prawem

Prawa związane ze zgłaszaniem nieprawidłowości

Oprogramowanie Whistleblower Software by Formalize jest w pełni zgodne z najważniejszymi przepisami dotyczącymi informowania o nieprawidłowościach i prywatności, nawet w przypadku firm działających w wielu jurysdykcjach prawnych. Należą do nich:

Dyrektywa UE w sprawie ochrony osób zgłaszających przypadki naruszenia 2019/19378

Sekcja 301 amerykańskiej ustawy SOX o odpowiedzialności korporacyjnej

Brytyjskie FCA

Niemiecki Kodeks Ładu Korporacyjnego

Francuska ustawa Sapin II

Obejmuje to oczywiście dyrektywę UE w sprawie ochrony osób zgłaszających, w której ściśle przestrzegamy powiązanych lokalnych przepisów, aby móc spełnić wszystkie lokalne wymagania.

Przygotowujemy się, aby móc wspierać nadchodzący standard ISO 37002 dający globalnie ujednolicone wytyczne dla systemów zarządzania zgłaszaniem nadużyć.

ISO/IEC 27001:2013

Aby zapewnić, że jako organizacja postępujemy zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa informacji, wdrożyliśmy system zarządzania ISO/IEC 27001:2013. Certyfikat potwierdza, że działalność Whistleblower Software by Formalize jest zgodna z uznanymi na całym świecie standardami zarządzania rozwojem, sprzedażą i serwisem rozwiązań whistleblower.

Odznaka z certyfikatem ISO 27001.

ISO/IEC 27001:2013

Przeprowadzony 1 grudnia 2021 przez Intertek.

ISAE 3000 Type 2

Poproś naszego niezależnego audytora o raport ISAE 3000 Type 2 dotyczący bezpieczeństwa informacji i środków ochrony danych w związku z umową przetwarzania danych z administratorami danych. W audycie zewnętrznym możesz przeczytać więcej o działaniu systemu oraz wdrożonych przez nas zabezpieczeniach organizacyjnych i technicznych. Audyt ISAE 3000 Type 2 jest przeprowadzany corocznie i opiera się na normie ISO 27001.

Odznaka audytu ISAE 3000 Type 2.

ISAE 3000 Type 2

Przeprowadzony 1 czerwca 2023 r. przez Beierholm.

Certyfikat ENS

ENS (Hiszpański System Bezpieczeństwa Narodowego) nakłada na sektor publiczny w Hiszpanii oraz na firmy dostarczające technologię podmiotom publicznym obowiązek przestrzegania wysokich standardów bezpieczeństwa. Przepisy te gwarantują bezpieczeństwo systemów, danych i komunikacji w celu ochrony osób fizycznych. Oprogramowanie Whistleblower posiada certyfikat poziomu „Alta”, oznaczającego najwyższy osiągalny poziom.

Odznaka z certyfikatem ENS.

Certyfikacja ENS - poziom: Wysoki

Przeprowadzony 3 maja 2023 r przez BDO.

WCAG 2.1AA

Certyfikat WCAG to znak jakości potwierdzający dostępność sieci zgodnie z międzynarodowymi wytycznymi W3C (WCAG), ułatwiający osobom z wadami wzroku lub słuchu poruszanie się po stronach internetowych. Dzięki temu produkt jest bardziej dostępny i włączający dla osób z niepełnosprawnościami. Certyfikat docenia wysiłki na rzecz dostępności sieci i zapewnia zgodność z wymogami prawnymi.

Srebrna odznaka z certyfikatem WCAG 2.1 AA

WCAG 2.1 AA Srebrny

Przeprowadzony 27 września 2023 r przez TÜV TRUST IT.

Audyt RODO

Ze względu na to, że Whistleblower Software by Formalize skupia się na Privacy by Design , łatwo było wprowadzić do produktu kilka funkcji, aby uwzględnić nie tylko przepisy, ale także inicjatywy dotyczące najlepszych praktyk w zakresie prywatności.

Oprogramowanie Whistleblower Software by Formalize jest zgodne z najważniejszymi przepisami dotyczącymi prywatności, w tym: RODO . Przeczytaj więcej o tym, jak nasze rozwiązanie wdraża Schrems II za pośrednictwem E2EE, tutaj.

Przeprowadzamy regularne zewnętrzne audyty RODO.

Masz pytania?

landing-page.global.any_questions_alt

Kristoffer Abell

kab@whistleblowersoftware.com

+48 58 881 32 49

Zarezerwuj demo

5/5 gwiazdek na G2