+46 8 400 640 40
Kristoffer Abell
kab@whistleblowersoftware.com
+46 8 400 640 40
Fysisk lagring
AWS (Amazon Web Services) ansvarar för infrastrukturens fysiska säkerhet. AWS är byggt för att inte bara möjliggöra verkligt skalbara molnlösningar, utan också för att uppfylla de högsta förväntningarna på säkerhet.
För att ta itu med systemen || beslut Whistleblower Software by Formalize stöder fullständig End-to-End-kryptering i enlighet med EU:s rekommendationer. Klicka här för att läsa mer.
Uppgifterna lagras på servrar från en anläggning som är ISO 27001, ISO 27017, ISO 27017 och SOC 1, SOC 2 OCH SOC 3 -certifierad. För att få en fullständig översikt över programmen för compliance, Klicka här.
Plats
Alla data och säkerhetskopior lagras hos AWS i Frankfurt. Säkerhetskopiorna lagras i olika tillgänglighetszoner för att säkerställa datatillgängligheten.
Få en förståelse för datacentrets perimeterskikt, infrastrukturskikt, dataskikt och miljöskikt, Klicka här.
Whistleblower Software by Formalizes utvecklingsteam har som högsta prioritet att garantera maximal säkerhet. Vi gör detta genom förebyggande exempel på visselblåsarfunktion som kryptering från slut till slut, flerfaktorsautentisering (MFA) och genom ett kontinuerligt fokus på högkvalitativ, ren och säker kod, kodgranskningar, vår kvalitetssäkringsmiljö (QA) och genom manuella och automatiserade tester.
Whistleblower Software by Formalize tar det delade ansvaret för säkerheten mellan vår molninfrastruktur och vår applikation på allvar. För att ge dig en glimt av några av de bästa metoderna vi följer, klicka här.
Systembeskrivning
Ett dokument som förklarar vårt visselblåsarsystem och dess säkerhet.
För att upptäcka svagheter utför Whistleblower Software by Formalize ofta en rad automatiserade och manuella tester för att kontrollera kritiska sårbarheter, t.ex. risken för XSS-attacker (Cross Site Script), SQL-injektioner, sessionsrelaterade sårbarheter med mera.
För att garantera högsta möjliga säkerhet genomför vi också regelbundna penetrationstester från tredje part.
Penetrationstest
Utförd på följande platser 26 maj 2023 av Truesec A/S.
Whistleblower Software by Formalize har de perfekta förutsättningarna för att upprätthålla nätverksbrandväggsskydd i stor skala via AWS, vilket hjälper oss att minska potentiella DDos-attacker och andra potentiella exploateringar. Whistleblower Software by Formalize minimerar risken genom finkornig nätverkssegmentering och vårt visselblåsarsystem övervakas kontinuerligt för trådar på både nätverksnivå och applikationsnivå.
Whistleblower Software by Formalize värdesätter integritet och vi gör det genom att bygga hela vårt visselblåsarsystem kring säkerhet och integritet som går bortom bästa praxis i branschen.
Inte ens våra programvaruutvecklare kan se dina ärenden, tack vare vår Kryptering från början till slut. Alla fallrelaterade fritextformulär och textinmatningsfält krypteras innan de lagras i vår databas. Ditt företag kommer att vara den enda part som får nycklarna för att låsa upp informationen. Detta innebär också att om det värsta skulle hända kommer ingen inkräktare att kunna läsa ärendeinformation från databasen.
Whistleblower Software by Formalizes utvecklingsprocess bygger på Privacy by Design, som består av sju principer för hur man säkerställer en hög säkerhetsnivå för privat känslig information och säkerhet i allmänhet. Till exempel genom så kallad Privacy Enhancing Technologies (PET) och organisatoriska åtgärder.
Kärnan i Privacy by Design är att vi bygger våra IT-system och organisatoriska processer på ett sammanhållet sätt kring sekretess och öppenhet från första början och att vi inte betraktar det som en sekundär faktor.
Whistleblower Software by Formalize använder End-to-End-kryptering (E2EE) för att säkerställa en hög standard för dataskydd vid kommunikation via vårt visselblåsarsystem. Informationen krypteras med ditt företags unika nyckel innan den skickas via en SSL-anslutning, där den sedan lagras i vår AWS-databas. När informationen sedan ska läsas av till exempel ditt företag eller visselblåsaren tas de krypterade uppgifterna emot och dekrypteras direkt i din webbläsare med din unika dekrypteringsnyckel.
Din unika dekrypteringsnyckel kan lagras utanför vår AWS-miljö för att garantera högsta möjliga säkerhet. Detta innebär att Whistleblower Software by Formalize-anställda inte kan läsa era ärenden och annan integritetsrelaterad information från ert konto. Detta är också ett omfattande skydd mot MITM-attacker.
Dessutom säkerställer detta att Whistleblower Software by Formalize är helt förenlig med Schrems || (GDPR), eftersom det förhindrar gränsöverskridande åtkomst från alla statliga institutioner.
Data som skickas (i transit) krypteras med hjälp av TLS och data som lagras (i vila) krypteras också.
Fall-hubben är som standard lösenordsskyddad. Ett ytterligare säkerhetslager kan införas genom att aktivera flerfaktorsautentisering. Detta kräver att användarna verifierar sig via t.ex. SMS innan de kan gå in i företagets visselblåsarsystem.
När de väl är inne i företagets visselblåsarsystem måste användare och externa rådgivare beviljas behörighet för att få tillgång till visst innehåll eller för att utföra ytterligare operationer. Dessutom ger inte företagets visselblåsarsystem användarna tillgång till alla ärenden. På ärendenivå kan åtkomst ges till enskilda personer, så att det säkerställs att inga obehöriga personer (som skapats i visselblåsarsystemet) får tillgång till ärenden. Detta kan också göras på kategorinivå, så att vissa personer vid skapandet av nya ärenden automatiskt får tillgång till t.ex. ärenden som är markerade som tillhörande kategorin "penningtvätt".
Dessutom är det möjligt att tillämpa regler som "arkivbehörigheter". Det kan t.ex. krävas att ett ärende endast kan arkiveras om två eller alla handläggare samtycker till det.
Whistleblower Software by Formalize är byggd för att vara transparent för visselblåsare och handläggare. Det är till exempel alltid möjligt för handläggare att gå tillbaka i tiden för att se alla ändringar i ärendet och åtgärder av handläggare genom aktivitetsloggarna.
Genom rapporteringskanalen kan visselblåsaren se vem som kommer att hantera ärendet utifrån den kategori och avdelning som han eller hon har valt. Efter att ha lämnat in kan visselblåsaren när som helst få tillgång till meddelandet för att lägga till mer information eller bara för att kommunicera med företaget, även om de rapporterat anonymt. I denna översikt kommer visselblåsaren att kunna se den aktuella statusen för ärendehanteringen och vilka personer som är inblandade. Granskare och handläggare kan anonymisera eller pseudonymisera ärenden om flera handläggare är inblandade, men alla är fortfarande synliga för visselblåsaren.
Whistleblower Software by Formalize är byggd för att vara helt förenlig med de viktigaste lagarna om visselblåsning och sekretess, även för företag som sträcker sig över flera juridiska jurisdiktioner. Inklusive:
EU:s visselblåsardirektivet 2019/19378
USA:s SOX Act avsnitt 301 om företagsansvar
STORBRITANNIEN FCA
Tysk kod för bolagsstyrning
Franska Loi Sapin II
Detta inkluderar naturligtvis EU:s visselblåsardirektivet, där vi följer relaterade lokala lagstiftningar noga för att kunna uppfylla alla lokala krav.
För att säkerställa att vi som organisation följer bästa praxis för informationssäkerhet har vi implementerat ledningssystemet ISO/IEC 27001:2022. Certifikatet bevisar att Whistleblower Software by Formalizes verksamhet följer de internationellt erkända standarderna för hantering av utveckling, försäljning och service av whistleblowerlösningar.
ISO/IEC 27001:2022
Utförd på följande platser 11 november 2024 av Intertek.
Begär vår oberoende revisors ISAE 3000 Type 2-rapport om informationssäkerhet och dataskyddsåtgärder i samband med avtalet om personuppgiftsbiträde med personuppgiftsansvariga. I den externa revisionen kan du läsa mer om hur vårt visselblåsarsystem fungerar samt om de organisatoriska och tekniska säkerhetsåtgärder som vi har infört. ISAE 3000 Type 2-revisionen görs årligen och bygger på ISO 27001-standarden.
ENS (spanska nationella säkerhetssystemet) gör det obligatoriskt för den offentliga sektorn i Spanien och företag som levererar teknik till offentliga enheter för att leva upp till höga säkerhetsstandarder. Dessa regler garanterar säkerheten för systemen, data och kommunikation för att skydda individer. Whistleblower Software by Formalize är certifierad med nivån "Alta", vilket betyder den högsta uppnåbara nivån.
ENS-certifiering - nivå: Hög
Utförd på följande platser 3 maj 2023 av BDO.
En WCAG-certifiering är ett kvalitetsstämpel för att bevisa webbtillgänglighet enligt de internationella W3C-riktlinjerna (WCAG), vilket gör det lättare för personer med syn- eller hörselnedsättningar att navigera genom webbsidor. Detta gör produkten mer tillgänglig och inkluderande för personer med funktionsnedsättning. Certifikatet erkänner ansträngningar för webbtillgänglighet och säkerställer efterlevnad av juridiska krav.
WCAG 2.1 AA Silver
Utförd på följande platser 27 september 2023 av TÜV TRUST IT.
På grund av Whistleblower Software by Formalizes fokus på Integritet genom design Det har varit lätt att införa en överlägset bra visselblåsarfunktion i produkten för att anpassa den inte bara till lagstiftning utan också till bästa praxis för integritetsinitiativ.
Whistleblower Software by Formalize är förenlig med de viktigaste lagarna om integritet, inklusive GDPR . Läs mer om hur vår lösning tar Schrems II genom E2EE, här.
Vi genomför regelbundet externa GDPR-revisioner.
+46 8 400 640 40
Kristoffer Abell
kab@whistleblowersoftware.com
+46 8 400 640 40
5/5 stjärnor på G2