+48 58 881 32 49
Kristoffer Abell
kab@whistleblowersoftware.com
+48 58 881 32 49
Przechowywanie fizyczne
System AWS (Amazon Web Services) jest odpowiedzialny za fizyczne bezpieczeństwo infrastruktury. AWS jest zbudowany tak, aby nie tylko umożliwić prawdziwie skalowalne rozwiązania chmury, ale również spełnić najwyższe oczekiwania w zakresie bezpieczeństwa.
Aby uwzględnić postanowienia Schrems ||, oprogramowanie Whistleblower Software by Formalize obsługuje pełne szyfrowanie End-to-End zgodnie z zaleceniami Unii Europejskiej. Kliknij tutaj, aby przeczytać więcej.
Dane są przechowywane na serwerach z obiektu, który posiada certyfikaty ISO 27001, ISO 27017, ISO 27017 oraz SOC 1, SOC 2 i SOC 3. Aby uzyskać pełny przegląd programów zgodności, kliknij tutaj.
Lokalizacja
Wszystkie dane i kopie zapasowe są przechowywane w AWS we Frankfurcie. Kopie zapasowe są przechowywane w różnych strefach dostępności, aby zapewnić dostępność danych.
Aby poznać warstwę obwodową, infrastruktury, danych i warstwę środowiskową centrum danych, kliknij tutaj.
Najwyższym priorytetem zespołu programistów Whistleblower Software by Formalize jest zapewnienie maksymalnego bezpieczeństwa. Robimy to za pomocą funkcji zapobiegawczych, takich jak szyfrowanie end-to-end, uwierzytelnianie wieloskładnikowe (MFA) oraz poprzez ciągłe koncentrowanie się na wysokiej jakości, czystym i bezpiecznym kodzie, przeglądach kodu, naszym środowisku zapewniania jakości (QA), a także poprzez testy ręczne i automatyczne.
Whistleblower Software by Formalize poważnie traktuje wspólną odpowiedzialność za bezpieczeństwo między naszą infrastrukturą chmurową a naszą aplikacją. Aby uzyskać wgląd w niektóre z najlepszych praktyk, które stosujemy, kliknij tutaj.
Opis systemu
Dokument objaśniający system i jego bezpieczeństwo
Aby wykryć słabe punkty, Whistleblower Software by Formalize często przeprowadza serię automatycznych i ręcznych testów w celu wykrycia krytycznych luk w zabezpieczeniach, takich jak potencjalne ataki Cross Site Script (XSS), wstrzyknięcia SQL, luki związane z sesją i inne.
Aby zapewnić najwyższe bezpieczeństwo, przeprowadzamy również regularne testy penetracyjne z udziałem stron trzecich.
Whistleblower Software by Formalize ma idealne warunki do egzekwowania zabezpieczeń zapory sieciowej na dużą skalę za pośrednictwem AWS, pomagając nam ograniczyć potencjalne ataki DDoS i inne potencjalne nadużycia. Whistleblower Software by Formalize minimalizuje ryzyko poprzez szczegółową segmentację sieci, a nasz system jest stale monitorowany pod kątem zagrożeń zarówno na poziomie sieci, jak i na poziomie aplikacji.
Whistleblower Software by Formalize ceni prywatność, czym kieruje się, budując cały system wokół bezpieczeństwa i prywatności, które wykraczają poza najlepsze praktyki w branży.
Nawet nasi programiści nie widzą Twoich zgłoszeń, ze względu na nasze szyfrowanie end-to-end. Wszystkie związane z danym zgłoszeniem formularze tekstowe i pola wprowadzania tekstu są szyfrowane przed zapisaniem ich w naszej bazie danych. Twoja firma będzie jedynym odbiorcą kluczy potrzebnych do odblokowania tych informacji. Oznacza to również, że jeśli stanie się najgorsze, żaden intruz nie będzie w stanie odczytać informacji o danej sprawie z bazy danych.
Proces rozwoju Whistleblower Software by Formalize opiera się na zasadzie Privacy by Design, która składa się z siedmiu zasad dotyczących zapewnienia wysokiego poziomu bezpieczeństwa wokół wrażliwych informacji prywatnych i ogólnego bezpieczeństwa. Na przykład poprzez tzw. technologie zwiększające prywatność (PETs) i środki organizacyjne.
Istotą Privacy by Design jest to, że od samego początku budujemy nasze systemy IT i procesy organizacyjne spójnie wokół prywatności i przejrzystości, nie traktując tego jako element drugorzędny.
Whistleblower Software by Formalize używa szyfrowania End-to-End (E2EE), aby zapewnić wysoki standard prywatności danych w komunikacji za pośrednictwem naszej platformy. Informacje są szyfrowane za pomocą unikalnego klucza Twojej firmy, zanim zostaną wysłane przez połączenie SSL, gdzie następnie są przechowywane w naszej bazie danych AWS. Gdy informacje mają zostać odczytane przez Twoją firmę lub osobę zgłaszającą nieprawidłowości, zaszyfrowane dane są odbierane i odszyfrowywane bezpośrednio w Twojej przeglądarce za pomocą Twojego unikalnego klucza deszyfrującego.
Twój unikalny klucz deszyfrujący może być przechowywany poza naszym środowiskiem AWS, aby zapewnić najwyższe bezpieczeństwo. Oznacza to, że pracownicy Whistleblower Software by Formalize nie mogą odczytać Twoich zgłoszonych przypadków i innych informacji związanych z prywatnością z Twojego konta. Jest to również doskonała ochrona przed atakami MITM.
Ponadto zapewnia to pełną zgodność oprogramowania Whistleblower ze Schrems || (RODO), ponieważ uniemożliwia transatlantycki dostęp jakiejkolwiek instytucji rządowej.
Dane wysyłane (w tranzycie) są szyfrowane przy użyciu TLS, a dane przechowywane (w spoczynku) są również szyfrowane.
Centrum zgłoszonych przypadków jest domyślnie chronione hasłem. Dodatkową warstwę zabezpieczeń można wprowadzić, włączając uwierzytelnianie wieloskładnikowe. Wymaga to od użytkowników weryfikacji, na przykład za pomocą SMS-ów, zanim będą mogli przejść do systemu.
Po wejściu do systemu użytkownicy i doradcy zewnętrzni muszą uzyskać uprawnienia dostępu do określonych treści lub wykonywania dodatkowych operacji. Ponadto system nie daje użytkownikom dostępu do wszystkich przypadków. Na poziomie danej sprawy dostęp można przyznać poszczególnym osobom, dzięki czemu można mieć pewność, że żadne osoby nieupoważnione (utworzone w systemie) nie będą miały dostępu do przypadków. Można to również zrobić na poziomie kategorii, tak aby podczas tworzenia nowych spraw określone osoby automatycznie uzyskiwały dostęp na przykład do spraw oznaczonych jako: „pranie pieniędzy”.
Ponadto możliwe jest również zastosowanie reguł, takich jak „uprawnienia archiwalne”. Na przykład może to wymagać, aby każda sprawa mogła zostać zarchiwizowana tylko wtedy, gdy wyrażą na to zgodę dwie lub wszystkie osoby zajmujące się sprawami.
Oprogramowanie Whistleblower Software zostało opracowane z myślą o przejrzystości dla osób zgłaszających naruszenia i menedżerów zajmujących się rozpatrywaniem tych zgłoszeń. Przykładowo menedżerowie zgłoszeń zawsze mogą cofnąć się w historii zmian, aby za pośrednictwem dzienników aktywności zobaczyć wszelkie zmiany w zgłoszeniach i działania osób je obsługujących.
Za pośrednictwem kanału zgłaszania osoba zgłaszająca naruszenia może zobaczyć, kto zajmie się sprawą w zależności od wybranej kategorii i działu. Po wysłaniu zgłoszenia osoba może w dowolnym momencie uzyskać dostęp do komunikacji, aby dodać więcej informacji lub po prostu komunikować się z firmą, nawet jeśli zgłoszenie było anonimowe. W tym przeglądzie osoba zgłaszająca będzie mogła zobaczyć aktualny status sprawy i zaangażowane osoby. Osoby prowadzące mogą nadawać anonimowość zgłoszeniom, jeśli w ich sprawę jest zaangażowanych wiele osób obsługujących –wszystkie są widoczne dla osoby zgłaszającej.
Oprogramowanie Whistleblower Software by Formalize jest w pełni zgodne z najważniejszymi przepisami dotyczącymi informowania o nieprawidłowościach i prywatności, nawet w przypadku firm działających w wielu jurysdykcjach prawnych. Należą do nich:
Dyrektywa UE w sprawie ochrony osób zgłaszających przypadki naruszenia 2019/19378
Sekcja 301 amerykańskiej ustawy SOX o odpowiedzialności korporacyjnej
Brytyjskie FCA
Niemiecki Kodeks Ładu Korporacyjnego
Francuska ustawa Sapin II
Obejmuje to oczywiście dyrektywę UE w sprawie ochrony osób zgłaszających, w której ściśle przestrzegamy powiązanych lokalnych przepisów, aby móc spełnić wszystkie lokalne wymagania.
Aby zapewnić, że jako organizacja postępujemy zgodnie z najlepszymi praktykami w zakresie bezpieczeństwa informacji, wdrożyliśmy system zarządzania ISO/IEC 27001:2022. Certyfikat potwierdza, że działalność Whistleblower Software by Formalize jest zgodna z uznanymi na całym świecie standardami zarządzania rozwojem, sprzedażą i serwisem rozwiązań whistleblower.
Poproś naszego niezależnego audytora o raport ISAE 3000 Type 2 dotyczący bezpieczeństwa informacji i środków ochrony danych w związku z umową przetwarzania danych z administratorami danych. W audycie zewnętrznym możesz przeczytać więcej o działaniu systemu oraz wdrożonych przez nas zabezpieczeniach organizacyjnych i technicznych. Audyt ISAE 3000 Type 2 jest przeprowadzany corocznie i opiera się na normie ISO 27001.
ENS (Hiszpański System Bezpieczeństwa Narodowego) nakłada na sektor publiczny w Hiszpanii oraz na firmy dostarczające technologię podmiotom publicznym obowiązek przestrzegania wysokich standardów bezpieczeństwa. Przepisy te gwarantują bezpieczeństwo systemów, danych i komunikacji w celu ochrony osób fizycznych. Oprogramowanie Whistleblower posiada certyfikat poziomu „Alta”, oznaczającego najwyższy osiągalny poziom.
Certyfikacja ENS - poziom: Wysoki
Przeprowadzony 3 maja 2023 r przez BDO.
Certyfikat WCAG to znak jakości potwierdzający dostępność sieci zgodnie z międzynarodowymi wytycznymi W3C (WCAG), ułatwiający osobom z wadami wzroku lub słuchu poruszanie się po stronach internetowych. Dzięki temu produkt jest bardziej dostępny i włączający dla osób z niepełnosprawnościami. Certyfikat docenia wysiłki na rzecz dostępności sieci i zapewnia zgodność z wymogami prawnymi.
WCAG 2.1 AA Srebrny
Przeprowadzony 27 września 2023 r przez TÜV TRUST IT.
Ze względu na to, że Whistleblower Software by Formalize skupia się na Privacy by Design , łatwo było wprowadzić do produktu kilka funkcji, aby uwzględnić nie tylko przepisy, ale także inicjatywy dotyczące najlepszych praktyk w zakresie prywatności.
Oprogramowanie Whistleblower Software by Formalize jest zgodne z najważniejszymi przepisami dotyczącymi prywatności, w tym: RODO . Przeczytaj więcej o tym, jak nasze rozwiązanie wdraża Schrems II za pośrednictwem E2EE, tutaj.
Przeprowadzamy regularne zewnętrzne audyty RODO.
+48 58 881 32 49
Kristoffer Abell
kab@whistleblowersoftware.com
+48 58 881 32 49
5/5 gwiazdek na G2
