Zapobiegaj wyciekom wrażliwych danych
z Twojej firmy. Postaw na najwyższe bezpieczeństwo.

Odznaka audytu ISAE 3000.
ISAE 3000
Raport niezależnego audytora ISAE 3000 dotyczący bezpieczeństwa informacji i środków ochrony danych w odniesieniu do umowy z administratorami danych dotyczącej przetwarzania danych.
Odznaka hostingu ISO 27001.
Serwery ISO 27001
Dane są bezpiecznie hostowane za pomocą AWS z certyfikatem ISO 27001.
Odznaka testu penetracyjnego.
Test penetracyjny
Ostatnio przeprowadzony w maju 2021 r. przez Zencurity
Kristoffer Abell z Whistleblower Software
Masz pytania?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com

Bezpieczeństwo

Przechowywanie danych

Przechowywanie fizyczne

System AWS (Amazon Web Services) jest odpowiedzialny za fizyczne bezpieczeństwo infrastruktury. AWS jest zbudowany tak, aby nie tylko umożliwić prawdziwie skalowalne rozwiązania chmury, ale również spełnić najwyższe oczekiwania w zakresie bezpieczeństwa.

Aby uwzględnić postanowienia Schrems ||, oprogramowanie Whistleblower Software obsługuje pełne szyfrowanie End-to-End zgodnie z zaleceniami Unii Europejskiej. Kliknij tutaj, aby przeczytać więcej.

Dane są przechowywane na serwerach z obiektu, który posiada certyfikaty ISO 27001, ISO 27017, ISO 27017 oraz SOC 1, SOC 2 i SOC 3. Aby uzyskać pełny przegląd programów zgodności, kliknij tutaj.

Lokalizacja

Wszystkie dane i kopie zapasowe są przechowywane w AWS we Frankfurcie. Kopie zapasowe są przechowywane w różnych strefach dostępności, aby zapewnić dostępność danych.

Aby poznać warstwę obwodową, infrastruktury, danych i warstwę środowiskową centrum danych, kliknij tutaj.

Bezpieczeństwo aplikacji

Najwyższym priorytetem zespołu programistów Whistleblower Software jest zapewnienie maksymalnego bezpieczeństwa. Robimy to za pomocą funkcji zapobiegawczych, takich jak szyfrowanie end-to-end, uwierzytelnianie wieloskładnikowe (MFA) oraz poprzez ciągłe koncentrowanie się na wysokiej jakości, czystym i bezpiecznym kodzie, przeglądach kodu, naszym środowisku zapewniania jakości (QA), a także poprzez testy ręczne i automatyczne.

Whistleblower Software poważnie traktuje wspólną odpowiedzialność za bezpieczeństwo między naszą infrastrukturą chmurową a naszą aplikacją. Aby uzyskać wgląd w niektóre z najlepszych praktyk, które stosujemy, kliknij tutaj.

Opis systemu

Dokument objaśniający system i jego bezpieczeństwo

Aby wykryć słabe punkty, Whistleblower Software często przeprowadza serię automatycznych i ręcznych testów w celu wykrycia krytycznych luk w zabezpieczeniach, takich jak potencjalne ataki Cross Site Script (XSS), wstrzyknięcia SQL, luki związane z sesją i inne.

Aby zapewnić najwyższe bezpieczeństwo, przeprowadzamy również regularne testy penetracyjne z udziałem stron trzecich.

Odznaka testu penetracyjnego.

Test penetracyjny

Przeprowadzony 1 kwietnia 2021 r. przez Zencurity ApS.

Ochrona sieci

Oprogramowanie whistleblower ma idealne warunki do egzekwowania zabezpieczeń zapory sieciowej na dużą skalę za pośrednictwem AWS, pomagając nam ograniczyć potencjalne ataki DDoS i inne potencjalne nadużycia. Whistleblower Software minimalizuje ryzyko poprzez szczegółową segmentację sieci, a nasz system jest stale monitorowany pod kątem zagrożeń zarówno na poziomie sieci, jak i na poziomie aplikacji.

Prywatność

Nie możemy zobaczyć Twoich danych

Whistleblower Software ceni prywatność, czym kieruje się, budując cały system wokół bezpieczeństwa i prywatności, które wykraczają poza najlepsze praktyki w branży.

Nawet nasi programiści nie widzą Twoich przypadków, ze względu na nasze szyfrowanie end-to-end. Wszystkie związane z danym przypadkiem formularze tekstowe i pola wprowadzania tekstu są szyfrowane przed zapisaniem ich w naszej bazie danych. Twoja firma będzie jedynym odbiorcą kluczy potrzebnych do odblokowania tych informacji. Oznacza to również, że jeśli stanie się najgorsze, żaden intruz nie będzie w stanie odczytać informacji o danej sprawie z bazy danych.

Anonimowość osób zgłaszających

W większości krajów najlepszą praktyką jest umożliwienie pracownikom zgłaszania nieprawidłowości w sposób poufny, ponieważ często są oni lepiej chronieni przez prawo, jeżeli można ich zidentyfikować. Jednak w niektórych przypadkach osoby zgłaszające mogą mieć trudności z dokonaniem zgłoszenia ze względu na obawę przed ewentualnymi konsekwencjami osobistymi.
W związku z tym oprogramowanie Whistleblower Software jest w stanie umożliwić danej osobie anonimowe zgłoszenie, a osobom obsługującym dany przypadek nadanie anonimowości spraw w przypadku, gdy w ich obsługę zaangażowanych jest wiele osób. Posiadanie narzędzi do ochrony tożsamości zgłaszających może być kluczem do otrzymania zgłoszenia nadużycia na czas.

Privacy by design

Proces rozwoju Whistleblower Software opiera się na zasadzie Privacy by Design, która składa się z siedmiu zasad dotyczących zapewnienia wysokiego poziomu bezpieczeństwa wokół wrażliwych informacji prywatnych i ogólnego bezpieczeństwa. Na przykład poprzez tzw. technologie zwiększające prywatność (PETs) i środki organizacyjne.

Istotą Privacy by Design jest to, że od samego początku budujemy nasze systemy IT i procesy organizacyjne spójnie wokół prywatności i przejrzystości, nie traktując tego jako element drugorzędny.

Środki specjalne

Szyfrowanie end-to-end

Whistleblower Software używa szyfrowania End-to-End (E2EE), aby zapewnić wysoki standard prywatności danych w komunikacji za pośrednictwem naszej platformy. Informacje są szyfrowane za pomocą unikalnego klucza Twojej firmy, zanim zostaną wysłane przez połączenie SSL, gdzie następnie są przechowywane w naszej bazie danych AWS. Gdy informacje mają zostać odczytane przez Twoją firmę lub osobę zgłaszającą nieprawidłowości, zaszyfrowane dane są odbierane i odszyfrowywane bezpośrednio w Twojej przeglądarce za pomocą Twojego unikalnego klucza deszyfrującego.

Twój unikalny klucz deszyfrujący może być przechowywany poza naszym środowiskiem AWS, aby zapewnić najwyższe bezpieczeństwo. Oznacza to, że pracownicy Whistleblower Software nie mogą odczytać Twoich zgłoszonych przypadków i innych informacji związanych z prywatnością z Twojego konta. Jest to również doskonała ochrona przed atakami MITM.

Ponadto zapewnia to pełną zgodność oprogramowania Whistleblower ze Schrems || (RODO), ponieważ uniemożliwia transatlantycki dostęp jakiejkolwiek instytucji rządowej.

Dane wysyłane (w tranzycie) są szyfrowane przy użyciu TLS, a dane przechowywane (w spoczynku) są również szyfrowane.

Kontrola dostępu

Centrum zgłoszonych przypadków jest domyślnie chronione hasłem. Dodatkową warstwę zabezpieczeń można wprowadzić, włączając uwierzytelnianie wieloskładnikowe. Wymaga to od użytkowników weryfikacji, na przykład za pomocą SMS-ów, zanim będą mogli przejść do systemu.

Po wejściu do systemu użytkownicy i doradcy zewnętrzni muszą uzyskać uprawnienia dostępu do określonych treści lub wykonywania dodatkowych operacji. Ponadto system nie daje użytkownikom dostępu do wszystkich przypadków. Na poziomie danej sprawy dostęp można przyznać poszczególnym osobom, dzięki czemu można mieć pewność, że żadne osoby nieupoważnione (utworzone w systemie) nie będą miały dostępu do przypadków. Można to również zrobić na poziomie kategorii, tak aby podczas tworzenia nowych spraw określone osoby automatycznie uzyskiwały dostęp na przykład do spraw oznaczonych jako: „pranie pieniędzy”.

Ponadto możliwe jest również zastosowanie reguł, takich jak „uprawnienia archiwalne”. Na przykład może to wymagać, aby każda sprawa mogła zostać zarchiwizowana tylko wtedy, gdy wyrażą na to zgodę dwie lub wszystkie osoby zajmujące się sprawami.

Przejrzystość i logowanie

Oprogramowanie Whistleblower Software zostało opracowane z myślą o przejrzystości dla osób zgłaszających przypadki naruszenia i menedżerów zajmujących się ich rozpatrywaniem. Przykładowo menedżerowie przypadków zawsze mogą cofnąć się w historii zmian, aby za pośrednictwem dzienników aktywności zobaczyć wszelkie zmiany w przypadkach i działania osób je obsługujących.

Za pośrednictwem kanału zgłaszania osoba zgłaszająca przypadki naruszenia może zobaczyć, kto zajmie się sprawą w zależności od wybranej kategorii i działu. Po wysłaniu zgłoszenia osoba może w dowolnym momencie uzyskać dostęp do komunikacji, aby dodać więcej informacji lub po prostu komunikować się z firmą, nawet jeśli zgłoszenie było anonimowe. W tym przeglądzie osoba zgłaszająca będzie mogła zobaczyć aktualny status sprawy i zaangażowane osoby. Osoby prowadzące mogą nadawać anonimowość przypadkom, jeśli w ich sprawę jest zaangażowanych wiele osób obsługujących –wszystkie są widoczne dla osoby zgłaszającej.

Zgodność z prawem

Prawa związane ze zgłaszaniem nieprawidłowości

Oprogramowanie Whistleblower Software jest w pełni zgodne z najważniejszymi przepisami dotyczącymi informowania o nieprawidłowościach i prywatności, nawet w przypadku firm działających w wielu jurysdykcjach prawnych. Należą do nich:

Dyrektywa UE w sprawie ochrony osób zgłaszających przypadki naruszenia 2019/19378

Sekcja 301 amerykańskiej ustawy SOX o odpowiedzialności korporacyjnej

Brytyjskie FCA

Niemiecki Kodeks Ładu Korporacyjnego

Francuska ustawa Sapin II

Obejmuje to oczywiście dyrektywę UE w sprawie ochrony osób zgłaszających, w której ściśle przestrzegamy powiązanych lokalnych przepisów, aby móc spełnić wszystkie lokalne wymagania.

Przygotowujemy się, aby móc wspierać nadchodzący standard ISO 37002 dający globalnie ujednolicone wytyczne dla systemów zarządzania zgłaszaniem nadużyć.

ISAE 3000

Poproś naszego niezależnego audytora o raport ISAE 3000 dotyczący bezpieczeństwa informacji i środków ochrony danych w związku z umową przetwarzania danych z administratorami danych. W audycie zewnętrznym możesz przeczytać więcej o działaniu systemu oraz wdrożonych przez nas zabezpieczeniach organizacyjnych i technicznych. Audyt ISAE 3000 jest przeprowadzany corocznie i opiera się na normie ISO 27001.

Odznaka audytu ISAE 3000.

ISAE 3000

Przeprowadzony 1 czerwca 2021 r. przez Beierholm.

Audyt RODO

Ze względu na to, że Whistleblower Software skupia się na Privacy by Design , łatwo było wprowadzić do produktu kilka funkcji, aby uwzględnić nie tylko przepisy, ale także inicjatywy dotyczące najlepszych praktyk w zakresie prywatności.

Oprogramowanie Whistleblower Software jest zgodne z najważniejszymi przepisami dotyczącymi prywatności, w tym: RODO . Przeczytaj więcej o tym, jak nasze rozwiązanie wdraża Schrems II za pośrednictwem E2EE, tutaj.

Przeprowadzamy regularne zewnętrzne audyty RODO.

Kristoffer Abell z Whistleblower Software
Masz pytania?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com