5.0/5 stelle su G2
Previeni fughe di dati sensibili delle questioni più delicate
della tua azienda. Scegliete la
massima sicurezza.
Domande?
+39 348 6113723
Kristoffer Abell
kab@whistleblowersoftware.com
+39 348 6113723
Sicurezza
Archivio dati
Archiviazione fisica
AWS (Amazon Web Services) è responsabile della gestione della sicurezza fisica dell'infrastruttura. AWS è progettato non solo per consentire soluzioni cloud scalabili, ma anche per soddisfare le più alte aspettative di sicurezza.
Per rispondere alla sentenza Schrems, Whistleblower Software supporta la crittografia completa End-to-End in conformità alle raccomandazioni dell'Unione Europea. Clicca qui per saperne di più.
I dati vengono archiviati su server da una struttura con certificazione ISO 27001, ISO 27017, ISO 27017 e SOC 1, SOC 2 e SOC 3 Per avere una panoramica completa dei programmi di conformità, clicca qui.
Posizione
Tutti i dati e i backup sono archiviati con AWS a Francoforte. I backup sono archiviati in diverse zone di disponibilità per garantire la disponibilità dei dati.
Ottieni una maggiore comprensione del livello perimetrale dei data center, del livello dell'infrastruttura, del livello dei dati e del livello ambientale, clicca qui per saperne di più.
Sicurezza delle applicazioni
La massima priorità del team di development di Whistleblower Software è quella di garantire la massima sicurezza. Lo facciamo attraverso funzioni preventive come la crittografia end-to-end, l'autenticazione a più fattori (MFA) e attraverso un continuo focus nell'avere un codice di alta qualità, pulito e sicuro, in revisioni del codice,in un nostro ambiente di quality assurance (QA) e attraverso test sia manuali che automatizzati.
Whistleblower Software affronta con impegno e serietà la responsabilità condivisa della sicurezza tra la nostra infrastruttura cloud e le nostre applicazioni. Per darvi un'idea di alcune delle migliori pratiche che seguiamo, clicca qui.
Descrizione del sistema
Un documento che spiega la piattaforma e la sua sicurezza
Per individuare punti deboli, Whistleblower Software esegue spesso una serie di test automatici e manuali per controllare se vi siano vulnerabilità critiche come potenziali attacchi Cross Site Script (XSS), SQL injections, vulnerabilità legate alla sessione ed altro ancora.
Per garantire la massima sicurezza, vengono regolarmente effettuati test di penetrazione da terze parti.
Protezione della rete
Whistleblower Software ha le condizioni ideali per far rispettare le protezioni del network firewall su scala attraverso l'uso di AWS, aiutandoci a mitigare possibili attacchi DDoS e altri potenziali exploit. Whistleblower Software riduce inoltre al minimo i rischi grazie ad una fine-grained segmentazione di rete e il nostro sistema è costantemente monitorato per individuare possibili minacce sia a livello di rete che di applicazione.
Privacy
Non possiamo vedere i vostri dati
Whistleblower Software tiene alla privacy e lo fa costruendo la sua intera piattaforma attorno a sicurezza e privacy che vanno oltre le migliori pratiche del settore.
Persino i nostri software developers non potranno vedere i vostri casi, grazie alla nostra Crittografia end-to-end. Tutti i moduli di testo libero e i campi di input di testo relativi ai casi vengono crittografati prima di essere archiviati nel nostro database. La vostra azienda sarà l'unica a ricevere le chiavi per sbloccare le informazioni. Questo significa che anche nel peggiore dei casi, nessun intruso sarà in grado di leggere le informazioni sui casi dal database.
Anonimato dell'Informatore
Privacy by design
Il processo di sviluppo di Whistleblower Software si basa sulla Privacy by Design, che consiste in sette principi su come garantire un elevato livello di sicurezza per informazioni sensibili private e sicurezza in generale. Ad esempio, attraverso le cosiddette tecnologie di rafforzamento della privacy (PET) e le misure organizzative.
La ragione dietro l'uso della Privacy by Design consiste nel fatto che costruiamo i nostri sistemi informatici e processi organizzativi in modo coeso attorno alla privacy e alla trasparenza sin dall'inizio, senza considerarli un elemento secondario.
Misure speciali
Crittografia end-to-end
Whistleblower Software utilizza la crittografia end-to-end (E2EE) per garantire un elevato standard di data privacy nelle comunicazioni fatte attraverso la nostra piattaforma. Le informazioni vengono crittografate attraverso la chiave univoca della vostra azienda, prima di essere inviate attraverso una connessione SSL, dove vengono poi archiviate nel nostro database AWS. Quando le informazioni saranno poi lette dalla vostra azienda o dall'informatore, ad esempio, i dati crittografati vengono ricevuti e decifrati direttamente nel vostro browser con la vostra chiave di decrittazione univoca.
La vostra chiave di decrittazione univoca può essere archiviata al di fuori del nostro ambiente AWS, per garantire la massima sicurezza. Ciò significa che i dipendenti di Whistleblower Software non possono leggere i vostri casi e altre informazioni relative alla privacy dal vostro account. Questa è anche una protezione estesa contro gli attacchi MITM.
Inoltre, ciò garantisce che il software Whistleblower sia pienamente conforme alla normativa Schrems (GDPR), in quanto impedisce l'accesso transatlantico da parte di qualsiasi istituzione governativa.
I dati inviati (in transito), sono crittografati utilizzando TLS e i dati archiviati (in riposo) sono anch'essi crittografati.
Controllo di accesso
Su impostazione predefinita, l'hub di segnalazione è protetto da una password. Un ulteriore livello di sicurezza può essere raggiunto attivando l'autenticazione a più fattori. Questo richiede agli utenti di verificare, ad esempio, tramite SMS prima di poter procedere all'accesso al sistema.
Una volta entrati nel sistema, utenti e consulenti esterni devono ottenere autorizzazioni per accedere a determinati contenuti o per effettuare operazioni aggiuntive. Inoltre, il sistema non consente agli utenti di accedere a tutti i casi. Per ciascun caso, l'accesso può essere concesso a singoli individui, in modo da garantire che nessuna persona non autorizzata (creata nel sistema) possa accedere ai casi. Questo può essere fatto anche in base al tipo di categoria, in modo che quando si creano nuovi casi, a determinate persone sia automaticamente consentito l'accesso; ad esempio, ai casi contrassegnati come appartenenti alla categoria "riciclaggio di denaro".
E' inoltre possibile applicare regole come i "permessi di archiviazione". Questo potrebbe, ad esempio, richiedere che qualsiasi segnalazione possa essere archiviata solo se due o tutti i gestori delle segnalazioni sono d'accordo.
Trasparenza e accesso
Il software Whistleblower è progettato in modo da essere trasparente sia verso gli informatori che i gestori delle segnalazioni. Ad esempio, è possibile per i gestori delle segnalazioni tornare indietro nel tempo per vedere eventuali modifiche alla segnalazione e allo stesso modo è anche possibile vedere le azioni del gestore della segnalazione attraverso il registro delle attività.
Attraverso il canale di segnalazione, l'informatore può vedere chi si occuperà del caso in base alla categoria e al dipartimento che ha scelto. Dopo aver inviato la segnalazione, l'informatore può accedere alla comunicazione in qualsiasi momento per aggiungere ulteriori informazioni o semplicemente per comunicare con l'azienda, anche se la segnalazione è anonima. In questa panoramica, l'informatore potrà vedere lo stato attuale della gestione del caso e le persone coinvolte. I vagliatori e i chi gestirà i casi potranno anonimizzare o pseudonimizzare i casi se sono coinvolti più gestori del caso, tutti saranno comunque visibili all'informatore.
Compliance
Leggi sui whistleblower
Il software Whistleblower è progettato in modo da essere pienamente conforme alle principali leggi in materia di whistleblowing e privacy, anche per le aziende che coprono diverse giurisdizioni legali. Comprende:
Direttiva UE sulla protezione degli informatori 2019/19378
Sezione 301 della legge statunitense SOX sulla Responsabilità Aziendale
FCA del Regno Unito
Codice di Autodisciplina Tedesco
French Loi Sapin II
Questo naturalmente include la direttiva UE sulla protezione degli informatori, per la quale stiamo seguendo da vicino le relative legislazioni locali, così da poter soddisfare tutti i requisiti locali.
Ci stiamo inoltre preparando per essere in grado di sostenere il prossimo standard ISO 37002 -standard, che fornisce linee guida standardizzate a livello globale per i sistemi di gestione delle segnalazioni.
ISO/IEC 27001:2013
Per garantire che noi, come organizzazione, seguiamo le migliori pratiche in termini di sicurezza delle informazioni, abbiamo implementato il sistema di gestione ISO/IEC 27001:2013. Il certificato dimostra che le operazioni di Whistleblower Software aderiscono agli standard riconosciuti a livello internazionale per la gestione dello sviluppo, delle vendite e del servizio di soluzioni per gli informatori.
ISAE 3000
Richiedi la relazione ISAE 3000 del nostro auditor indipendente sulla sicurezza delle informazioni e misure di protezione dei dati in relazione all'accordo per il trattamento dei dati con i titolari del trattamento dati. Nell'audit esterno potrete leggere ulteriori informazioni su come funziona il sistema e sulle misure di sicurezza organizzative e tecniche che abbiamo implementato. L'Audit ISAE 3000 viene svolto annualmente ed si basa sullo standard ISO 27001.
Verificato dal GDPR
Data l'attenzione che Whistleblower Software pone su Privacy by Design , è stato facile introdurre diverse funzioni nel prodotto per adattarlo non solo alla legislazione, ma anche alle migliori pratiche in materia di privacy.
Il software Whistleblower è conforme alle principali leggi sulla privacy, tra cui GDPR . Scopri di più su come la nostra soluzione prende Schrems II in considerazione attraverso l'E2EE, qui.
Effettuiamo regolarmente audit esterni sul GDPR.
Domande?
+39 348 6113723
Kristoffer Abell
kab@whistleblowersoftware.com
+39 348 6113723