La sécurité des données sensibles est notre priorité
Sommaire
Sécurité
Stockage des données
Stockage physique
AWS (Amazon Web Services) est responsable de la gestion de la sécurité physique de l’infrastructure. AWS est conçu non seulement pour permettre des solutions cloud vraiment évolutives, mais également pour répondre aux attentes les plus élevées en matière de sécurité.
Conformément à la législation Schrems II, Whistleblower Software prend en charge le cryptage complet de bout en bout selon les recommandations de l’Union européenne. Cliquez ici pour en lire plus.
Les données sont stockées sur des serveurs à partir d’une installation certifiée ISO 27001, ISO 27017, ISO 27017 et SOC 1, SOC 2 & SOC 3 Pour obtenir un aperçu complet des programmes de conformité, cliquez ici.
Emplacement
Toutes les données et sauvegardes sont stockées auprès d’AWS à Francfort. Les sauvegardes sont stockées dans différentes zones afin degarantir la disponibilité des données.
Obtenez une compréhension de la couche de périmètre des centres de données, de la couche d’infrastructure, de la couche de données et de la couche environnementale, cliquez ici.
Sécurité des applications
La priorité absolue de l’équipe de développement de Whistleblower Software est d’assurer une sécurité maximale. Nous le faisons grâce à des fonctionnalités préventives telles que le cryptage de bout en bout, l’authentification multifacteur (MFA) et en nous concentrant continuellement sur un code de haute qualité, propre et sécurisé, des revues de code, notre environnement d’assurance qualité (QA) et par le biais de tests manuels et automatisés.
Whistleblower Software prend au sérieux la responsabilité partagée de la sécurité entre notre infrastructure cloud et notre application. Pour vous donner un aperçu de certaines des meilleures pratiques que nous suivons, cliquez ici.
Pour repérer les faiblesses, Whistleblower Software effectue souvent une série de tests automatisés et manuels pour vérifier les vulnérabilités critiques telles que le potentiel d’attaques Cross Site Script (XSS), les injections SQL, les vulnérabilités liées aux sessions, etc.
Pour garantir la plus haute sécurité, nous effectuons également des tests de pénétration réguliers auprès de tiers.
Protection du réseau
Whistleblower Software offre les conditions parfaites pour appliquer les protections par pare-feu de réseau à grande échelle via AWS, ce qui nous aide à atténuer les attaques DDoS potentielles et toutes autres menaces. Whistleblower Software minimise les risques grâce à une segmentation fine du réseau. De plus, notre système est surveillé en permanence contre les menaces à la fois au niveau du réseau et au niveau de l’application.
Confidentialité
Indépendance des données
Whistleblower Software valorise la confidentialité, et nous le faisons en construisant l’ensemble de notre système autour de la sécurité et de la confidentialité qui vont au-delà des meilleures pratiques de l’industrie.
Même nos équipes qui développent le logiciel ne peuvent pas voir vos cas, en raison de notre Cryptage de bout en bout. Tous les formulaires de texte libre et les champs de saisie de texte liés au cas sont cryptés avant d’être stockés dans notre base de données. Votre entreprise sera la seule à recevoir les codes pour déverrouiller les informations. Cela signifie également que si le pire devait arriver, aucun intrus ne serait en mesure de lire les informations concernant les cas stockés dans la base de données.
Anonymat
Confidentiel by Design
Le processus de développement de Whistleblower Software est basé sur Confidentiel by Design, qui se compose de sept principes sur la façon d’assurer un niveau élevé de sécurité autour des informations confidentielles sensibles et de la sécurité en général. Par exemple, à travers les technologies dites d’amélioration de la confidentialité (PET) et les mesures organisationnelles.
Le cœur de Confidentiel by Design est que nous construisons nos systèmes informatiques et nos processus organisationnels de manière cohérente autour de la confidentialité et de la transparence dès le début et que nous ne les considérons pas comme un élément secondaire.
Mesures spéciales
Cryptage de bout en bout
Whistleblower Software utilise le cryptage de bout en bout (E2EE) pour garantir un niveau élevé de confidentialité des données dans les communications via notre plateforme. Les informations sont cryptées via la clé unique de votre entreprise, avant d’être envoyées via une connexion SSL, où elles sont ensuite stockées dans notre base de données AWS. Lorsque les informations doivent ensuite être lues par votre entreprise ou le lanceur d’alerte, par exemple, les données cryptées sont reçues et décryptées directement dans votre navigateur avec votre clé de décryptage unique.
Votre clé de déchiffrement unique peut être stockée en dehors de notre environnement AWS, pour garantir une sécurité maximale. Cela signifie que les employés de Whistleblower Software ne peuvent pas lire vos cas et autres informations confidentielles à partir de votre compte. Il s’agit également d’une protection étendue contre les attaques MITM.
De plus, cela garantit que Whistleblower Software est entièrement conforme à Schrems || (RGPD), car il empêche l’accès de toute institution gouvernementale transatlantique.
Les données envoyées (en transit) sont cryptées à l’aide de TLS et les données stockées (au repos) sont également cryptées.
Contrôle d'accès
La page sur laquelle se trouvent les cas est par défaut protégée par un mot de passe. Un niveau supplémentaire de sécurité peut être mis en place en activant l’authentification multifacteur. Cela oblige par example les utilisateurs à vérifier leur compte par SMS avant de pouvoir accéder au système.
Une fois à l’intérieur du système, les utilisateurs et les conseillers externes doivent obtenir des autorisations pour accéder à certains contenus ou effectuer des opérations supplémentaires. De plus, le système ne donne pas l’accès aux utilisateurs dans tous les cas. Au niveau des dossiers, l’accès peut être accordé à des personnes spécifiques. Ainsi, il est garanti qu’aucune personne non autorisée (créée dans le système) ne puisse accéder aux dossiers. Cela peut également être fait au niveau de la catégorie, de sorte que lors de la création de nouveaux dossiers, certaines personnes aient automatiquement accès, par exemple, aux dossiers marqués comme faisant partie de la catégorie « blanchiment d’argent ».
De plus, il est également possible d’appliquer des règles telles que les « autorisations d’archivage ». Par exemple, cela pourrait exiger qu’un cas ne puisse être archivé que si deux ou tous les conseillers sont d’accord.
Transparence et journalisation
Whistleblower Software est conçu pour être transparent pour les lanceurs d’alerte et les gestionnaires de cas. Par exemple, il est toujours possible pour les gestionnaires de remonter dans le temps pour voir les changements de cas et de statut dans les journaux d’activité.
Grâce au canal de signalement, le lanceur d’alerte peut voir qui traitera le cas en fonction de la catégorie et du département qu’il a choisi. Après avoir effectué un signalement, le lanceur d’alerte peut poursuivre la communication à tout moment avec l’entreprise afin de partager d’autres éléments même si son signalement est anonyme. Dans cet aperçu, le lanceur d’alerte pourra voir le statut de traitement du dossier et les personnes impliquées. Les conseillers peuvent anonymiser ou pseudonymiser les dossiers si plusieurs conseillers sont impliqués. Ils restent toujours visibles pour le lanceur d’alerte.
Conformité
Lois sur les lanceurs d'alerte
Whistleblower Software est conçu pour être entièrement conforme aux principales lois sur les lanceurs d’alerte et la confidentialité, même pour les entreprises couvrant plusieurs juridictions légales. Cela inclut:
- Directive de l’UE sur la protection des lanceurs d’alerte 2019/19378
- US SOX Act Section 301 sur la responsabilité des entreprises
- FCA britannique
- Code allemand de gouvernance d’entreprise
- Loi Sapin II française
Bien entendu, cela comprend également la directive européenne sur la protection des lanceurs d’alerte. Nous suivons de près les législations locales connexes afin de pouvoir répondre à toutes les exigences.
Nous nous préparons à pouvoir adopter le prochain standard ISO 37002 donnant des directives normalisées à échelle mondiale pour les systèmes de gestion des signalements.
ISO/CEI 27001:2013
Pour nous assurer qu’en tant qu’entreprise, nous suivons les meilleures pratiques en matière de protection des données, nous avons mis en place le système de gestion ISO/IEC 27001:2013. Ce certificat prouve que les opérations de Whistleblower Software adhèrent aux normes internationalement reconnues en ce qui concerne la gestion du développement, des ventes et du service des solutions de signalement.
ISAE 3000
Demandez accès au rapport ISAE 3000 réalisé par une agence d’audit indépendante. Cet audit concerne les mesures de sécurité et de protection des informations et des données en lien avec l’accord de traitement des données. Dans l’audit externe, vous pouvez en savoir plus sur le fonctionnement du système ainsi que sur les mesures de sécurité organisationnelles et techniques que nous avons mises en œuvre. L’audit ISAE 3000 est réalisé annuellement et s’articule autour de la norme ISO 27001.
RGPD audité
En raison de l’accent mis par Whistleblower Software sur Confidentiel, by design , il a été facile d’introduire plusieurs fonctionnalités dans le produit pour s’adapter non seulement à la législation, mais également aux meilleures pratiques de confidentialité.
Whistleblower Software est conforme aux lois sur la confidentialité, notamment RGPD . En savoir plus sur la façon dont notre solution prend Schrems II en compte via E2EE, ici.
Nous réalisons régulièrement des audits externes RGPD.