Verhindern Sie Datenlecks in Ihrem Unternehmen
zu sensiblen Angelegenheiten. Wählen Sie höchste Sicherheit.

Schnellnavigation
  1. Sicherheit
  2. Datenschutz
  3. Besondere Maßnahmen
  4. Compliance
ISO 27001 zertifiziertes Abzeichen.
ISO/IEC 27001:2022
Um sicherzustellen, dass wir als Unternehmen die Best Practices für Informationssicherheit befolgen, haben wir das Managementsystem ISO/IEC 27001:2022 implementiert.
ISAE 3000 Type 2 Audit-Abzeichen.
ISAE 3000 Type 2
Bericht des unabhängigen Wirtschaftsprüfers ISAE 3000 Type 2 über die Maßnahmen zur Informationssicherheit und zum Datenschutz in Bezug auf die Vereinbarung der Datenverarbeiter mit den Datenverantwortlichen.
ISO 27001-Hosting-Abzeichen.
ISO 27001-Server
Die Daten werden sicher beim ISO 27001-zertifizierten AWS gehostet.
Penetrationstest-Abzeichen.
Penetrationstest
Zuletzt durchgeführt im Mai 2023 von TRUESEC
landing-page.security.ens_image_alt
ENS-Zertifizierung
Die Einhaltung der ENS-Sicherheitsvorschriften ist für den öffentlichen Sektor in Spanien obligatorisch.
Silbernes WCAG 2.1 AA-Zertifikatsabzeichen
WCAG 2.1 AA-Zertifizierung
Die Web Content Accessibility Guidelines (WCAG) zielen darauf ab, Menschen mit Seh- oder Hörbehinderungen das Navigieren durch Webseiten zu erleichtern.

Haben Sie Fragen?

landing-page.global.any_questions_alt

Hendrik Töpper

hto@whistleblowersoftware.com

+49 151 68543875

Sicherheit

Datenspeicherung

Physische Speicherung

AWS (Amazon Web Services) ist für die Handhabung der physischen Sicherheit der Infrastruktur verantwortlich. AWS ist so aufgebaut, dass nicht nur wirklich skalierbare Cloud-Lösungen möglich sind, sondern auch die höchsten Erwartungen an die Sicherheit erfüllt werden.

Um den Schrems II Erfordernissen gerecht zu werden, unterstützt Whistleblower Software by Formalize eine vollständige Ende-zu-Ende-Verschlüsselung gemäß den Empfehlungen der Europäischen Union. Klicken Sie hier, um mehr zu lesen.

Die Daten werden auf Servern von einer Einrichtung gespeichert, die ISO 27001, ISO 27017, ISO 27017 und SOC 1, SOC 2 & SOC 3 -zertifiziert sind. Um den vollen Überblick über die Compliance-Programme zu erhalten, klicken Sie hier.

Standort

Alle Daten und Backups werden bei AWS in Frankfurt gespeichert. Die Backups werden in verschiedenen Verfügbarkeitszonen gespeichert, um die Verfügbarkeit der Daten zu gewährleisten.

Verschaffen Sie sich einen Überblick über die Perimeter-, Infrastruktur-, Daten- und die Umgebungsschicht des Rechenzentrums, indem Sie hier klicken.

Anwendungssicherheit

Die höchste Priorität des Entwicklungsteams von Whistleblower Software by Formalize ist es, maximale Sicherheit zu gewährleisten. Wir tun dies durch präventive Funktionen wie Ende-zu-Ende-Verschlüsselung, Multi-Faktor-Authentifizierung (MFA) und durch einen kontinuierlichen Fokus auf einen hochwertigen, sauberen und sicheren Code, Code-Reviews, unsere Qualitätssicherungsumgebung (QA) und durch manuelle und automatisierte Tests.

Whistleblower Software by Formalize nimmt die gemeinsame Verantwortung für die Sicherheit zwischen unserer Cloud-Infrastruktur und unserer Anwendung ernst. Um Ihnen einen Einblick in einige der Best Practices zu geben, die wir befolgen, klicken Sie hier.

Systembeschreibung

Ein Dokument, das das System und seine Sicherheit erklärt

Um Schwachstellen aufzuspüren, führt Whistleblower Software by Formalize häufig eine Reihe automatisierter und manueller Tests durch, um kritische Schwachstellen wie das Potenzial für Cross-Site-Script (XSS)-Attacken, SQL-Injections, sitzungsbezogene Schwachstellen und mehr zu prüfen.

Um höchste Sicherheit zu gewährleisten, führen wir außerdem regelmäßig Penetrationstests von Dritten durch.

Penetrationstest-Abzeichen.

Penetrationstest

Durchgeführt am Juni 2024 von Truesec A/S.

Netzwerkschutz

Whistleblower Software by Formalize verfügt über die perfekten Voraussetzungen für die Durchsetzung des Netzwerk-Firewall-Schutzes in großem Umfang über AWS. Dies hilft uns potenzielle DDoS-Angriffe und andere potenzielle Angriffe zu entschärfen. Whistleblower Software by Formalize minimiert das Risiko durch eine feinkörnige Netzwerksegmentierung. Zusätzlich wird unser System kontinuierlich auf Bedrohungen sowohl auf Netzwerk- als auch auf Anwendungsebene überwacht.

Datenschutz

Wir können Ihre Daten nicht sehen

Whistleblower Software by Formalize legt Wert auf den Schutz der Privatsphäre, und wir tun dies, indem wir unser gesamtes System um Sicherheit und Datenschutz herum aufbauen, die über die Best Practices der Branche hinausgehen.

Selbst unsere Software-Entwickler können Ihre Fälle nicht sehen, dank unserer Ende-zu-Ende-Verschlüsselung. Alle fallbezogenen Freitextformulare und Texteingabefelder werden vor der Speicherung in unserer Datenbank verschlüsselt. Nur Ihr Unternehmen erhält die Schlüssel zum Entsperren der Informationen. Das bedeutet auch, dass im Falle eines Falles kein Eindringling in der Lage ist, Fallinformationen aus der Datenbank zu lesen.

Anonymität für Whistleblower

In den meisten Ländern ist es eine bewährte Praxis, der hinweisgebenden Person die Möglichkeit zu geben, vertraulich zu melden, da Hinweisgebende oft gesetzlich besser geschützt sind, wenn sie identifizierbar sind. In manchen Fällen fällt es Whistleblowern jedoch schwer eine Meldung abzugeben, da sie mögliche persönliche Konsequenzen fürchten.
Whistleblower Software by Formalize bietet die Option, dass hinweisgebende Personen anonym Meldungen abgeben können. Aber auch für die Prüfenden und Sachbearbeitenden besteht die Möglichkeit, Fälle zu anonymisieren oder zu pseudonymisieren, wenn mehrere Sachbearbeitende beteiligt sind. Der Schlüssel zur rechtzeitigen Meldung eines Vorfalls kann darin bestehen, die Identität des Hinweisgebers zu schützen.

Privacy by design

Der Entwicklungsprozess von Whistleblower Software by Formalize basiert auf "Privacy by Design", das aus sieben Prinzipien besteht, wie ein hohes Maß an Sicherheit rund um private sensible Informationen und Sicherheit im Allgemeinen. Zum Beispiel durch die sogenannten Privacy Enhancing Technologies (PETs) und organisatorische Maßnahmen.

Der Kernaspekt von Privacy by Design ist, dass wir unsere IT-Systeme und organisatorischen Prozesse von Anfang an kohärent mit Datenschutz und Transparenz aufbauen und sie nicht als sekundäres Element betrachten.

Besondere Maßnahmen

Ende-zu-Ende-Verschlüsselung

Whistleblower Software by Formalize verwendet eine Ende-zu-Ende-Verschlüsselung (E2EE), um einen hohen Standard des Datenschutzes bei der Kommunikation über unsere Plattform zu gewährleisten. Die Informationen werden mit dem eindeutigen Schlüssel Ihres Unternehmens verschlüsselt, bevor sie über eine SSL-Verbindung gesendet werden, und dann in unserer AWS-Datenbank gespeichert werden. Wenn die Informationen z. B. von Ihrem Unternehmen oder der hinweisgebenden Person gelesen werden möchten, werden die verschlüsselten Daten direkt in Ihrem Browser mit Ihrem eindeutigen Verschlüsselungskey empfangen und entschlüsselt.

Ihr einzigartiger Verschlüsselungskey kann außerhalb unserer AWS-Umgebung gespeichert werden, um die höchste Sicherheit zu ermöglichen. Das bedeutet, dass Mitarbeitende von Whistleblower Software by Formalize Ihre Fälle und andere datenschutzrelevante Informationen nicht von Ihrem Konto lesen können. Dies bietet ebenfalls einen umfassenden Schutz gegen MITM-Angriffe.

Darüber hinaus stellt dies sicher, dass Whistleblower Software by Formalize vollständig konform mit Schrems || (DSGVO) ist, da die Software den transatlantischen Zugriff von jeder staatlichen Institution verhindert.

Sowohl die gesendeten Daten (bei der Übertragung) sind TLS verschlüsselt, als auch die gespeicherten Daten (im Ruhezustand) sind verschlüsselt.

Zugangskontrolle

Der Case-Hub ist standardmäßig durch ein Passwort geschützt. Eine zusätzliche Sicherheitsebene kann durch die Aktivierung der Multi-Faktor-Authentifizierung eingerichtet werden. Dadurch müssen sich die Benutzer:innen z. B. per SMS verifizieren, bevor sie sich in das System einloggen können.

Sobald sich Benutzer:innen im System befinden, müssen ihnen Berechtigungen erteilt werden, um auf bestimmte Inhalte zugreifen oder zusätzliche Vorgänge durchführen zu können. Außerdem gewährt das System nicht automatisch Zugang zu allen Fällen. Auf der Ebene der Fälle kann der Zugriff auf einzelne Personen beschränkt werden, sodass sichergestellt ist, dass keine (im System angelegten) unbefugten Personen auf die Fälle zugreifen können. Dies kann auch auf der Ebene der Kategorien geschehen, sodass beim Anlegen neuer Fälle bestimmten Personen automatisch der Zugang zu Fällen gewährt wird, die z. B. als der Kategorie "Geldwäsche" zugehörig gekennzeichnet sind.

Darüber hinaus ist es auch möglich, Regeln wie "Archivierungsberechtigungen" anzuwenden. Beispielsweise kann so festgelegt werden, dass ein Fall nur dann archiviert werden kann, wenn 2 oder mehr Fallbearbeitende zustimmen.

Transparenz & Logging

Whistleblower Software by Formalize ist transparent für Whistleblower und Fallmanager:innen aufgebaut. Zum Beispiel ist es für die Fallbearbeitenden jederzeit möglich, in den Aktivitätsprotokollen alle Falländerungen und Aktionen einzusehen.

Bei der Erstellung einer Meldung, kann die hinweisgebende Person, basierend auf der ausgewählten Kategorie und Abteilung, sehen, wer den Fall erhalten wird. Nach der Einreichung eines Falles, kann sich die hinweisgebende Person jederzeit in die bestehende Meldung einloggen, um weitere Informationen hinzuzufügen oder mit dem Unternehmen zu kommunizieren, auch wenn sie anonym gemeldet hat. In der Übersicht kann der Whistleblower den aktuellen Status der Fallbearbeitung und die beteiligten Personen sehen. Screener und Fallbearbeiter:innen können Fälle anonymisieren oder pseudonymisieren, wenn mehrere Fallbearbeitende involviert sind, wobei alle für den Whistleblower weiterhin sichtbar sind.

Compliance

Whistleblower-Gesetze

Whistleblower Software by Formalize ist so konzipiert, dass alle wichtigsten Whistleblowing- und Datenschutzgesetze vollständig erfüllt sind, auch für Unternehmen, die mehrere Rechtsordnungen abdecken. Einschließlich:

EU-Hinweisgeberschutzrichtlinie 2019/19378

US SOX Act Abschnitt 301 zur Unternehmensverantwortung

U.K. FCA

Deutscher Corporate Governance Kodex

Französisch Loi Sapin II

Dazu gehört natürlich auch die EU-Richtlinie zum Schutz von Whistleblowern, bei der wir die entsprechenden lokalen Gesetzgebungen genau verfolgen, um alle lokalen Anforderungen erfüllen zu können.

ISO/IEC 27001:2022

Um sicherzustellen, dass wir als Unternehmen die Best Practices für Informationssicherheit befolgen, haben wir das Managementsystem ISO/IEC 27001:2022 implementiert. Das Zertifikat belegt, dass die Aktivitäten von Whistleblower Software by Formalize den international anerkannten Standards für das Management von Entwicklung, Vertrieb und Service von Whistleblower-Lösungen entsprechen.

ISO 27001 zertifiziertes Abzeichen.

ISO/IEC 27001:2022

Durchgeführt am 11. November 2024 von Intertek.

ISAE 3000 Type 2

Fordern Sie den ISAE-3000 Type 2-Bericht unseres unabhängigen Wirtschaftsprüfers über die Maßnahmen zur Informationssicherheit und zum Datenschutz in Bezug auf die Datenverarbeitungsvereinbarung mit den Datenverantwortlichen an. In der externen Prüfung können Sie mehr über die Funktionsweise des Systems sowie über die organisatorischen und technischen Sicherheitsmaßnahmen lesen, die wir implementiert haben. Das ISAE 3000 Type 2 Audit wird jährlich durchgeführt und baut auf dem ISO 27001 Standard auf.

ISAE 3000 Type 2 Audit-Abzeichen.

ISAE 3000 Type 2

Durchgeführt am 1. Juni 2023 von Beierholm.

ENS-Zertifizierung

ENS (Spanisches Nationales Sicherheitssystem) verpflichtet den öffentlichen Sektor in Spanien und Unternehmen, die öffentliche Einrichtungen mit Technologie beliefern, zur Einhaltung hoher Sicherheitsstandards. Diese Regelungen gewährleisten die Sicherheit der Systeme, Daten und Kommunikation zum Schutz des Einzelnen. Whistleblower Software by Formalize ist mit der Stufe „Alta“ zertifiziert, was die höchste erreichbare Stufe bedeutet.

ENS-zertifiziertes Abzeichen.

ENS-Zertifizierung – Stufe: Hoch

Durchgeführt am 3. Mai 2023 von BDO.

WCAG 2.1 AA

Eine WCAG-Zertifizierung ist ein Qualitätssiegel zum Nachweis der Barrierefreiheit im Internet gemäß den internationalen W3C-Richtlinien (WCAG) und erleichtert Menschen mit Seh- oder Hörbehinderungen die Navigation durch Webseiten. Dadurch wird das Produkt für Menschen mit Behinderungen zugänglicher und integrativer. Das Zertifikat würdigt Bemühungen zur Barrierefreiheit im Internet und stellt die Einhaltung gesetzlicher Anforderungen sicher.

Silbernes WCAG 2.1 AA-Zertifikatsabzeichen

WCAG 2.1 AA Silber

Durchgeführt am 27. September 2023 von TÜV TRUST IT.

DSGVO-geprüft

Durch den Fokus von Whistleblower Software by Formalize auf Privacy by Design war es uns möglich, mehrere Funktionen in das Produkt einzuführen, um nicht nur die Gesetzgebung, sondern auch Best-Practice-Datenschutzinitiativen zu berücksichtigen.

Whistleblower Software by Formalize ist konform mit wichtigen Datenschutzgesetzen, einschließlich der DSGVO . Lesen Sie mehr darüber, wie unsere Lösung Schrems II durch E2EE einhält, hier.

Wir führen regelmäßig externe DSGVO-Audits durch.

Haben Sie Fragen?

landing-page.global.any_questions_alt

Hendrik Töpper

hto@whistleblowersoftware.com

+49 151 68543875

Demo buchen

5/5 Sterne auf G2