W ramach naszej platformy przywiązujemy ogromną wagę do kwestii bezpieczeństwa danych i prywatności Użytkowników. Poniżej przedstawiamy najważniejsze informacje dotyczące sposobu ochrony danych w naszym serwisie, obejmujące m.in. sposób przechowywania danych, stosowane środki techniczne oraz zasady zapewnienia anonimowości osobom dokonującym zgłoszeń.
Nasze serwery (infrastruktura chmurowa) są umieszczone w centrach danych zarządzanych przez renomowanych dostawców usług hostingowych. Dzięki temu uzyskujemy wysoki poziom bezpieczeństwa fizycznego oraz ochrony przed nieuprawnionym dostępem do infrastruktury.
Wszystkie dane – w tym kopie zapasowe – przechowywane są w różnych strefach dostępności (availability zones), co minimalizuje ryzyko utraty informacji w przypadku awarii sprzętowej lub katastrof naturalnych.
Przechowujemy dane na serwerach zlokalizowanych na terytorium Unii Europejskiej, zawsze jednak kierujemy się przestrzeganiem przepisów RODO i zapewnieniem najwyższego standardu ochrony prywatności naszych Użytkowników.
Rozwój naszego oprogramowania przebiega z uwzględnieniem zasad bezpieczeństwa i jakości kodu. Przed publikacją nowych funkcji przeprowadzamy szczegółowe testy (zarówno automatyczne, jak i manualne) mające na celu wykrycie potencjalnych luk w zabezpieczeniach, takich jak ataki typu Cross-Site Scripting (XSS) czy wstrzykiwanie poleceń SQL.
Korzystamy także z uwierzytelniania wieloskładnikowego (MFA) oraz szyfrowanych połączeń (protokół TLS/SSL), aby zapewnić odpowiedni poziom ochrony podczas logowania i przesyłania danych.
W razie potrzeby współpracujemy z zewnętrznymi ekspertami w zakresie bezpieczeństwa, celem dodatkowego audytu aplikacji i infrastruktury.
W celu minimalizacji ryzyka ataków, w tym ataków typu DDoS, stosujemy mechanizmy zabezpieczające infrastrukturę sieciową. Wszelka komunikacja z naszą platformą jest monitorowana, a dostęp do zasobów chroniony jest zaporami sieciowymi (firewalls), filtrami ruchu oraz innymi narzędziami do wykrywania i blokowania nieprawidłowości.
Szanujemy prywatność naszych Użytkowników – w tym sygnalistów. W związku z tym treści zgłoszeń (teksty, załączniki) są zabezpieczone w taki sposób, aby wyłącznie uprawnione osoby w organizacji mogły zapoznać się z ich zawartością. Personel techniczny serwisu nie ma dostępu do treści zgłoszeń.
Nasz system umożliwia sygnalistom dokonanie zgłoszenia w pełni anonimowo (jeżeli taka opcja jest wymagana przez wewnętrzne procedury danej organizacji oraz przepisy lokalnego prawa). Dodatkowo zapewniliśmy funkcje pozwalające na anonimizację lub pseudonimizację zgłoszeń także na dalszych etapach ich przetwarzania, w zależności od potrzeb.
Podczas tworzenia i rozwijania naszych rozwiązań kierujemy się zasadą Privacy by Design, co oznacza uwzględnianie ochrony danych osobowych już na etapie projektowania procesów i narzędzi. Dzięki temu wzmacniamy prywatność Użytkowników poprzez stosowanie rozwiązań takich jak Privacy Enhancing Technologies (PETs) czy dodatkowe środki organizacyjne zwiększające poziom ochrony danych.
W kluczowych obszarach naszego rozwiązania – takich jak przesyłanie treści zgłoszeń – stosujemy szyfrowanie End-to-End (E2EE). Dane są szyfrowane po stronie Użytkownika unikalnym kluczem, a dopiero później przesyłane do bazy danych. Odszyfrowanie danych odbywa się jedynie w przeglądarce/po stronie Użytkownika posiadającego odpowiedni klucz.
Zapewnia to wysoki poziom ochrony – zarówno w trakcie przesyłania danych (szyfrowanie protokołem TLS), jak i podczas ich przechowywania na serwerach (E2EE).
Konto administratora bądź osoby rozpatrującej zgłoszenia jest chronione hasłem, a dodatkowo może zostać zabezpieczone uwierzytelnianiem wieloskładnikowym (MFA). W systemie możemy również szczegółowo definiować zakres dostępu – np. uprawnienia do odczytu czy archiwizacji poszczególnych spraw.
Nasz serwis zawiera funkcje umożliwiające monitorowanie i zapisywanie aktywności poszczególnych osób w systemie. Dla każdej sprawy rejestrowane są m.in. informacje o dacie i czasie edycji, zmianach w statusie zgłoszenia czy podejmowanych działaniach.
Nasz system jest projektowany i rozwijany z uwzględnieniem obowiązujących przepisów prawa, w tym RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679). Dokładamy starań, aby zarówno organizacje korzystające z naszego rozwiązania, jak i sygnaliści mieli zapewnione maksymalne bezpieczeństwo oraz zgodność z wymogami prawnymi w zakresie ochrony danych osobowych i prywatności.
Jeśli masz dodatkowe pytania dotyczące bezpieczeństwa w naszym serwisie, skontaktuj się z nami mailowo lub telefonicznie. Chętnie udzielimy szczegółowych informacji i pomożemy w wyjaśnieniu wszelkich wątpliwości.