Förhindra läckor av företagets
mest känsliga uppgifter. Välj högsta säkerhet.

ISAE 3000-revisionsmärke.
ISAE 3000
Den oberoende revisorns ISAE 3000-rapport om informationssäkerhet och dataskyddsåtgärder i samband med avtalet om personuppgiftsbiträde med personuppgiftsansvariga.
ISO 27001 värdmärke.
ISO 27001-servrar
Data lagras på ett säkert sätt hos ISO 27001-certifierade AWS.
Penetrationstestmärke.
Penetrationstest
Senast utförd maj 2021 av Zencurity
Kristoffer Abell från whistleblower Software
Några frågor?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com

Säkerhet

Datalagring

Fysisk lagring

AWS (Amazon Web Services) ansvarar för infrastrukturens fysiska säkerhet. AWS är byggt för att inte bara möjliggöra verkligt skalbara molnlösningar, utan också för att uppfylla de högsta förväntningarna på säkerhet.

För att ta itu med systemen || beslut Whistleblower Software stöder fullständig End-to-End-kryptering i enlighet med EU:s rekommendationer. Klicka här för att läsa mer.

Uppgifterna lagras på servrar från en anläggning som är ISO 27001, ISO 27017, ISO 27017 och SOC 1, SOC 2 OCH SOC 3 -certifierad. För att få en fullständig översikt över programmen för compliance, Klicka här.

Plats

Alla data och säkerhetskopior lagras hos AWS i Frankfurt. Säkerhetskopiorna lagras i olika tillgänglighetszoner för att säkerställa datatillgängligheten.

Få en förståelse för datacentrets perimeterskikt, infrastrukturskikt, dataskikt och miljöskikt, Klicka här.

Säkerhet för tillämpningar

Whistleblower Softwares utvecklingsteam har som högsta prioritet att garantera maximal säkerhet. Vi gör detta genom förebyggande exempel på visselblåsarfunktion som kryptering från slut till slut, flerfaktorsautentisering (MFA) och genom ett kontinuerligt fokus på högkvalitativ, ren och säker kod, kodgranskningar, vår kvalitetssäkringsmiljö (QA) och genom manuella och automatiserade tester.

Whistleblower Software tar det delade ansvaret för säkerheten mellan vår molninfrastruktur och vår applikation på allvar. För att ge dig en glimt av några av de bästa metoderna vi följer, klicka här.

Systembeskrivning

Ett dokument som förklarar vårt visselblåsarsystem och dess säkerhet.

För att upptäcka svagheter utför Whistleblower Software ofta en rad automatiserade och manuella tester för att kontrollera kritiska sårbarheter, t.ex. risken för XSS-attacker (Cross Site Script), SQL-injektioner, sessionsrelaterade sårbarheter med mera.

För att garantera högsta möjliga säkerhet genomför vi också regelbundna penetrationstester från tredje part.

Penetrationstestmärke.

Penetrationstest

Utförd på följande platser 1 april 2021 av Zencurity ApS.

Nätverksskydd

Whistleblower Software har de perfekta förutsättningarna för att upprätthålla nätverksbrandväggsskydd i stor skala via AWS, vilket hjälper oss att minska potentiella DDos-attacker och andra potentiella exploateringar. Whistleblower Software minimerar risken genom finkornig nätverkssegmentering och vårt visselblåsarsystem övervakas kontinuerligt för trådar på både nätverksnivå och applikationsnivå.

Integritet

Vi kan inte se era ärenden

Whistleblower Software värdesätter integritet och vi gör det genom att bygga hela vårt visselblåsarsystem kring säkerhet och integritet som går bortom bästa praxis i branschen.

Inte ens våra programvaruutvecklare kan se dina ärenden, tack vare vår Kryptering från början till slut. Alla fallrelaterade fritextformulär och textinmatningsfält krypteras innan de lagras i vår databas. Ditt företag kommer att vara den enda part som får nycklarna för att låsa upp informationen. Detta innebär också att om det värsta skulle hända kommer ingen inkräktare att kunna läsa ärendeinformation från databasen.

Anonymitet för visselblåsare

I de flesta länder är det bästa praxis att låta visselblåsare rapportera konfidentiellt, eftersom visselblåsaren ofta har ett bättre lagligt skydd om han eller hon kan identifieras. I vissa fall kan visselblåsare dock ha svårt att rapportera på grund av rädslan för eventuella personliga konsekvenser.
Whistleblower Software kan därför låta visselblåsaren rapportera anonymt, men också låta granskare och handläggare av ärenden anonymisera eller pseudonymisera ärenden om flera handläggare av ärenden är inblandade. Att ha verktygen för att skydda visselblåsarens identitet kan vara nyckeln till att få en incident rapporterad i tid.

Integritet genom utformning

Whistleblower Softwares utvecklingsprocess bygger på Privacy by Design, som består av sju principer för hur man säkerställer en hög säkerhetsnivå för privat känslig information och säkerhet i allmänhet. Till exempel genom så kallad Privacy Enhancing Technologies (PET) och organisatoriska åtgärder.

Kärnan i Privacy by Design är att vi bygger våra IT-system och organisatoriska processer på ett sammanhållet sätt kring sekretess och öppenhet från första början och att vi inte betraktar det som en sekundär faktor.

Särskilda åtgärder

Kryptering från början till slut

Whistleblower Software använder End-to-End-kryptering (E2EE) för att säkerställa en hög standard för dataskydd vid kommunikation via vårt visselblåsarsystem. Informationen krypteras med ditt företags unika nyckel innan den skickas via en SSL-anslutning, där den sedan lagras i vår AWS-databas. När informationen sedan ska läsas av till exempel ditt företag eller visselblåsaren tas de krypterade uppgifterna emot och dekrypteras direkt i din webbläsare med din unika dekrypteringsnyckel.

Din unika dekrypteringsnyckel kan lagras utanför vår AWS-miljö för att garantera högsta möjliga säkerhet. Detta innebär att Whistleblower Software-anställda inte kan läsa era ärenden och annan integritetsrelaterad information från ert konto. Detta är också ett omfattande skydd mot MITM-attacker.

Dessutom säkerställer detta att Whistleblower Software är helt förenlig med Schrems || (GDPR), eftersom det förhindrar gränsöverskridande åtkomst från alla statliga institutioner.

Data som skickas (i transit) krypteras med hjälp av TLS och data som lagras (i vila) krypteras också.

Tillträdeskontroll

Fall-hubben är som standard lösenordsskyddad. Ett ytterligare säkerhetslager kan införas genom att aktivera flerfaktorsautentisering. Detta kräver att användarna verifierar sig via t.ex. SMS innan de kan gå in i företagets visselblåsarsystem.

När de väl är inne i företagets visselblåsarsystem måste användare och externa rådgivare beviljas behörighet för att få tillgång till visst innehåll eller för att utföra ytterligare operationer. Dessutom ger inte företagets visselblåsarsystem användarna tillgång till alla ärenden. På ärendenivå kan åtkomst ges till enskilda personer, så att det säkerställs att inga obehöriga personer (som skapats i visselblåsarsystemet) får tillgång till ärenden. Detta kan också göras på kategorinivå, så att vissa personer vid skapandet av nya ärenden automatiskt får tillgång till t.ex. ärenden som är markerade som tillhörande kategorin "penningtvätt".

Dessutom är det möjligt att tillämpa regler som "arkivbehörigheter". Det kan t.ex. krävas att ett ärende endast kan arkiveras om två eller alla handläggare samtycker till det.

Öppenhet och loggning

Whistleblower Software är byggd för att vara transparent för visselblåsare och handläggare. Det är till exempel alltid möjligt för handläggare att gå tillbaka i tiden för att se alla ändringar i ärendet och åtgärder av handläggare genom aktivitetsloggarna.

Genom rapporteringskanalen kan visselblåsaren se vem som kommer att hantera ärendet utifrån den kategori och avdelning som han eller hon har valt. Efter att ha lämnat in kan visselblåsaren när som helst få tillgång till meddelandet för att lägga till mer information eller bara för att kommunicera med företaget, även om de rapporterat anonymt. I denna översikt kommer visselblåsaren att kunna se den aktuella statusen för ärendehanteringen och vilka personer som är inblandade. Granskare och handläggare kan anonymisera eller pseudonymisera ärenden om flera handläggare är inblandade, men alla är fortfarande synliga för visselblåsaren.

Compliance

Lagar för visselblåsare

Whistleblower Software är byggd för att vara helt förenlig med de viktigaste lagarna om visselblåsning och sekretess, även för företag som sträcker sig över flera juridiska jurisdiktioner. Inklusive:

EU:s visselblåsardirektivet 2019/19378

USA:s SOX Act avsnitt 301 om företagsansvar

STORBRITANNIEN FCA

Tysk kod för bolagsstyrning

Franska Loi Sapin II

Detta inkluderar naturligtvis EU:s visselblåsardirektivet, där vi följer relaterade lokala lagstiftningar noga för att kunna uppfylla alla lokala krav.

Vi förbereder oss för att kunna stödja den kommande ISO 37002 -standard, som ger globalt standardiserade riktlinjer för visselblåsarhanteringssystem.

ISAE 3000

Begär vår oberoende revisors ISAE 3000-rapport om informationssäkerhet och dataskyddsåtgärder i samband med avtalet om personuppgiftsbiträde med personuppgiftsansvariga. I den externa revisionen kan du läsa mer om hur vårt visselblåsarsystem fungerar samt om de organisatoriska och tekniska säkerhetsåtgärder som vi har infört. ISAE 3000-revisionen görs årligen och bygger på ISO 27001-standarden.

ISAE 3000-revisionsmärke.

ISAE 3000

Utförd på följande platser 1 juni 2021 av Beierholm.

GDPR-granskad

På grund av Whistleblower Softwares fokus på Integritet genom design Det har varit lätt att införa en överlägset bra visselblåsarfunktion i produkten för att anpassa den inte bara till lagstiftning utan också till bästa praxis för integritetsinitiativ.

Whistleblower Software är förenlig med de viktigaste lagarna om integritet, inklusive GDPR . Läs mer om hur vår lösning tar Schrems II genom E2EE, här.

Vi genomför regelbundet externa GDPR-revisioner.

Kristoffer Abell från whistleblower Software
Några frågor?
+45 71 99 63 83
Kristoffer Abell
kab@whistleblowersoftware.com