Evite uma fuga de dados confidenciais na sua empresa.
Invista em segurança máxima.

Selo certificado ISO 27001.
ISO/IEC 27001:2013
Para garantir que nós, como organização, seguimos as melhores práticas de segurança de informação, implementamos o sistema de gestão ISO/IEC 27001:2013.
Selo de auditoria ISAE 3000.
ISAE 3000
A ISAE 3000 de auditor independente reporta sobre a segurança de informação e medidas de proteção de dados em relação ao contrato do processador de dados com controladores de dados.
Selo de armazenamento ISO 27001.
Servidores ISO 27001
Os dados são hospedados com segurança com a AWS certificada pela ISO 27001.
Distintivo de teste de intrusão.
Teste de intrusão
Último teste realizado em Maio de 2021 por Zencurity
Kristoffer Abell do software de denunciantes
Alguma dúvida?
+351 308 815 431
Kristoffer Abell
kab@whistleblowersoftware.com

Segurança

Armazenamento de dados

Armazenamento físico

A AWS (Amazon Web Services) é responsável por tratar da segurança física da infraestrutura. A AWS foi desenvolvida não apenas para permitir soluções na cloud verdadeiramente escaláveis, mas também para atender às mais altas expectativas de segurança.

Para abordar os Schrems || a Whistleblower Software utiliza a encriptação End-to-End completa, de acordo com as recomendações da União Europeia. Clique aqui para ler mais.

Os dados são armazenados em servidores de uma instalação que são ISO 27001, ISO 27017, ISO 27017 e SOC 1, SOC 2 e SOC 3 -certificados. Para obter uma visão geral completa dos programas de compliance, clique aqui.

Localização

Todos os dados e backups são armazenados com a AWS em Frankfurt. Os backups são armazenados em diferentes zonas de disponibilidade para garantir a disponibilidade dos dados.

Obtenha uma compreensão da camada de perímetro dos data centers, camada de infraestrutura, camada de dados e camada ambiental, clique aqui.

Segurança do software

A maior prioridade da equipa de desenvolvimento da Whistleblower Software é garantir máxima segurança. Fazemos isso por meio de recursos preventivos, como criptografia End-to-End, autenticação multifatorial (MFA) e por meio de um foco contínuo em código de alta qualidade, limpo e seguro, revisões de código, o nosso ambiente de garantia de qualidade (QA) e por meio de manuais e testes automatizados.

A Whistleblower Software tem atenção máxima à responsabilidade de segurança entre a infraestrutura da cloud e a plataforma. Para uma melhor abordagem de algumas das excelentes práticas que seguimos, clique aqui.

Descrição do sistema

Um documento explicativo sobre o nosso sistema e a nossa segurança

Para detetar vulnerabilidades críticas, a Whistleblower Software geralmente realiza uma série de testes automatizados e manuais, como potenciais ataques de Cross Site Script (XSS), injeções de SQL, vulnerabilidades relacionadas à sessão e afins.

Para garantir a mais alta segurança, também realizamos testes frequentes de intrusão provenientes de terceiros.

Distintivo de teste de intrusão.

Teste de intrusão

Realizado no dia 1 de abril de 2021 deZencurity ApS.

Proteção de rede

A Whistleblower Software tem as condições perfeitas para aplicar proteções de firewall de rede em escala por meio da AWS, ajudando-nos a mitigar possíveis ataques DDoS e outras potenciais explorações. A Whistleblower Software minimiza o risco por meio de segmentação de rede refinada e nosso sistema é monitorado continuamente quanto a ameaças tanto no nível da rede quanto ao nível do sistema.

Privacidade

Não temos acesso aos seus dados

A Whistleblower Software valoriza a privacidade, construíndo para tal todo o sistema em torno de segurança e privacidade, que vão além das práticas recomendadas para o setor.

Mesmo os developers não têm acesso às denúncias, devido à nossa criptografia End-to-End. Todos os dados relacionados ás denúncias e campos texto são criptografados antes de serem armazenados no nosso banco de dados. A sua empresa será a única parte a receber as chaves para desbloquear as informações. Isso também significa que, se o pior acontecer, um intruso não poderá ler as informações sobre a denúncia na base de dados.

Anonimato do denunciante

Na maioria dos países, é uma prática recomendada permitir que os denunciantes denunciem confidencialmente, devido ao facto de que o denunciante geralmente é mais protegido por lei se for identificável. No entanto, em alguns casos, os denunciantes podem ter dificuldade em denunciar devido ao medo de possíveis consequências pessoais.
Portanto, o Whistleblower Software permite que o denunciante faça uma denúncia anónima, mas também que os gestores da denúncia anonimizem ou pseudonimizem casos, no caso de vários gestores estarem envolvidos. Possuir as ferramentas para proteger a identidade do denunciante pode ser a chave para que um incidente seja relatado a tempo.

Privacy by Design

O processo de desenvolvimento do Whistleblower Software é baseado em Privacy by Design, que consiste em sete princípios sobre como garantir um alto nível de segurança em torno de informações confidenciais e segurança em geral. Por exemplo, através das chamadas Privacy Enhancing Technologies (PETs) e medidas organizacionais.

É do núcleo da Privacy by Design que construímos os nossos sistemas de IT e processos organizacionais de forma coesa em torno da privacidade e transparência desde o início e não a consideramos um elemento secundário.

Medidas especiais

criptografia End-to-End

A Whistleblower Software usa a criptografia end-to-end (E2EE) para garantir um alto padrão de privacidade de dados nas comunicações na nossa plataforma. As informações são encriptadas por meio da chave exclusiva da sua empresa, antes de serem enviadas por meio da conexão SSL, onde são armazenadas no nossa base de dados (AWS). Quando as informações são lidas pela sua empresa ou pelo denunciante, por exemplo, os dados criptografados são recebidos e descriptografados diretamente no seu navegador com a sua chave de descriptografia exclusiva.

A sua chave exclusiva de descriptografia pode ser armazenada fora do nosso ambiente AWS, para permitir a máxima segurança. Isso significa que os colaboradores da Whistleblower Software não podem ler as suas denúncias e outras informações relacionadas à privacidade da sua conta. Esta também é uma proteção extensiva contra ataques MITM.

Além disso, isso garante que o Whistleblower Software seja totalmente compatível com Schrems || (RGPD), pois impede o acesso transatlântico de qualquer instituição governamental.

Os dados enviados (em trânsito) são criptografados usando TLS e os dados armazenados (em repouso) também são criptografados.

Controlo de acessos

O case-hub é protegido por uma senha padrão. Uma camada adicional de segurança pode ser implementada ativando a autenticação multifator. Isso exige que os utilizadores verifiquem, por exemplo, com uma SMS antes que possam entrar no sistema.

Uma vez dentro do sistema, os utilizadores e consultores externos devem receber permissões para ter acesso a determinado conteúdo ou realizar operações adicionais. Além disso, o sistema não dá aos utilizadores acesso a todas as denúncias. O acesso pode ser concedido a determinados utilizadores, garantindo que nenhuma pessoa não autorizada (criada no sistema) possa aceder às denúncias. Pode também ser realizado a nível da categorização, para que ao criar novos casos, determinados indivíduos tenham acesso automaticamente, por exemplo, a casos relacionados com a categoria "lavagem de dinheiro".

Além disso, também é possível aplicar regras como “permissão de arquivo”. Por exemplo, exigir que qualquer caso possa apenas ser arquivado se 2 ou todos os gestores de denúncia concordarem.

Transparência e logging

O Whistleblower Software foi desenvolvido para ser transparente para os denunciantes e gestores da denúncia. Por exemplo, é sempre possível que os gestores da denúncia tenham acesso ao histórico de cada denúncia por meio dos logs de atividades.

Por meio do canal de denúncias, o denunciante pode ver quem cuidará do caso com base na categoria e departamento escolhido. Após o envio, o denunciante pode aceder à comunicação a qualquer momento para acrescentar mais informações ou apenas para se comunicar com a empresa, mesmo que tenha denunciado anonimamente. Nesta visão geral, o denunciante poderá ver o status atual do tratamento da denúncia e todas pessoas que estão envolvidas. Os gestores da denúncia podem anonimizar ou pseudonimizar, caso existam vários gestores envolvidos, todos ainda visíveis para o denunciante.

Compliance

Lei ´Whistleblowing´

O Whistleblower Software foi desenvolvido para ser totalmente compatível com as principais leis de denúncia e privacidade, mesmo para empresas que abrangem várias jurisdições legais. Incluindo:

Diretiva para a Proteção de Denunciante da UE 2019/19378

Seção 301 da Lei SOX dos EUA sobre Responsabilidade Corporativa

FCA do Reino Unido

Código Alemão de Governança Corporativa

Lei Francesa Sapin II

Isso, obviamente, inclui a Diretiva para a Proteção do Denunciante da UE, onde estamos a seguir rigorosamento as legislações locais relacionadas, com o intuito de atender todos os requisitos locais.

Estamos em preparação para reunir todos os requisitos para atender à próxima ISO 37002 - fornecendo assim diretrizes padrão globais para os sistemas de gestão de denúncias.

ISO/IEC 27001:2013

Para garantir que nós, como organização, seguimos as melhores práticas de segurança de informação, implementamos o sistema de gestão ISO/IEC 27001:2013. Este certificado comprova que as operações da Whistleblower Software cumprem os padrões internacionalmente reconhecidos para a gestão de desenvolvimento, vendas e serviços de soluções para denunciantes.

Selo certificado ISO 27001.

ISO/IEC 27001:2013

Realizado no dia1 de dezembro de 2021 deIntertek.

ISAE 3000

Pode solicitar o documento ISAE 3000, do auditor independente sobre segurança da informação e medidas de proteção de dados em relação ao contrato de processador de dados com controladores de dados. Na auditoria externa pode ler mais sobre o funcionamento do sistema, bem como as medidas de segurança organizacional e técnica que implementamos. A Auditoria ISAE 3000 é realizada anualmente e é construída em torno da norma ISO 27001.

Selo de auditoria ISAE 3000.

ISAE 3000

Realizado no dia1 de junho de 2021 deBeierholm.

Auditoria de RGPD

Devido ao foco da Whistleblower Software em Privacy by Design , foi fácil introduzir várias funcionalidades no produto para fazer face não apenas à legislação, mas também às iniciativas de privacidade das melhores práticas.

O Whistleblower Software está em conformidade com as principais leis de privacidade, incluindo RGPD . Leia mais sobre como nossa solução funciona Schrems II em conta através do E2EE, aqui.

Realizamos auditorias externas regulares de RGPD.

Kristoffer Abell do software de denunciantes
Alguma dúvida?
+351 308 815 431
Kristoffer Abell
kab@whistleblowersoftware.com