Systemet opfylder bedste praksis inden for IT-sikkerhed og er udviklet ”secure by design”.

Portal side for indberetninger:

På indberetningsportalen logger vi ikke nogen IP-adresse og laver ingen statisk over besøg.
På indberetningsportalen bruger vi en sessionscookie, udelukkende til funktionalitet, som automatisk slettes og glemmes af din browser, når den lukker.

Har du brug for at rapportere en sikkerhedssårbarhed?
Send venligst en email til [email protected], hvis du har en mistanke om en potentiel sikkerhedssårbarhed relateret til Whistlepilot.

Arkitektur

Alt trafik/kommunikation sendes krypteret med SSL (Secure Sockets Layer) igennem Cloudflare og videre til vores servere.
Whistlepilot hjemmeside er hostet hos Hetzner og kører på en WordPress-installation,
Whistlepilot webapplikationen er hostet hos Scaleways (EU-baseret og ejet hostingfirma).
Emails sendes via Mailgun EU transaktions email service uden retention.

Indberetninger kan kun tilgås af whistlebloweren og virksomhedens whistleblowerenhed.

Indberetninger gemmes i en sikker database og er stærkt sikret med sikkerhedsregler.
Uploadede billeder og filer krypteres på klienten (browser), før de sendes og gemmes på cloud storage hos Scaleways. Hver fil krypteres med en unik hemmelighed.
Vi gemmer aldrig brugerdefinerede adgangskoder, vi tilbyder OTP-godkendelse via email med meget kort levetid og begrænser godkendelsesanmodninger hårdt.

Hver indberetning genererer en tilfældig krypteringsnøgle, som alle data relateret til indberetningen krypteres med. Denne nøgle gives til whistlebloweren ifm. oprettelse af indberetningen. Aftaleindehaverens har deres egen nøgle, som kan låse indberetningsnøglen op, og derved også dekryptere data vedr. indberetningen (dette sker automatisk servers-side som standard).

Detaljeret beskrivelse, filer og beskeder er krypteret med indberetningens nøgle, før det gemmes i databasen, og dekrypteres kun ifm. med brug af systemet.

Vi har forberedt systemet til at fjerne aftaleindehaverens nøgle helt fra systemet, hvilket gør det umuligt at dekryptere noget undtagen at have denne eksterne nøgle. For brugervenlighedens skyld er dette ikke som standard fjernet.

Intellektuel Ejendomsret

Respekter andres intellektuelle ejendomsrettigheder!
Du er alene ansvarlig for at sikre, at du har alle nødvendige tilladelser til at bruge og dele alle data, billeder og filer, du tilføjer eller uploader til Whistlepilot-platformen.

Medarbejderadgang

Ingen Whistlepilot-medarbejdere har nogensinde adgang til whistleblower-indberetninger, medmindre det er nødvendigt af supportårsager.
Supportpersonale kan få brug for at tilgå indstillinger relateret til dit supportproblem. I sjældne tilfælde kan personale have brug for at trække en kopi af dine data, dette vil kun blive gjort med dit samtykke. Når vi arbejder på et supportproblem, gør vi vores bedste for at respektere dit privatliv så meget som muligt, vi tilgår kun indberetninger, filerne og indstillingerne, der er nødvendige for at løse dit problem. For at sikre dataintegriteten, mens vi løser problemer, kan vi kloning af data og gemme disse, mens vi arbejder på problemerne. Disse klonede data vil blive slettet, så snart supportproblemerne er løst, og du vil blive underrettet om det.

Backups

Vi bruger managed database hosting hos Scaleways, som også inkluderer daglige backups. Vi laver en fuld backup af Whistlepilot-databasen dagligt og gemmer i 30 dage.
Alle vedhæftede filer opbevares sikkert, sikkert og krypteret på Scaleways Object Storage.

Afslutning

Hvis du vælger at stoppe med at bruge Whistlepilot, har du ret til at få dine data i et bærbart format og retten til at blive glemt. Hvis du ønsker dette, bedes du underrette [email protected] direkte, og vi sender dig dine data inden for 14 arbejdsdage og sletter din konto. Et afslutningsgebyr gælder.

Privatliv

Whistlepilot er et firma registreret i Den Europæiske Union, og vores databehandling overholder regler og anbefalinger fastsat i General Data Protection Regulation (GDPR).

Kontakt Os

Har du et spørgsmål, en bekymring eller en kommentar om Whistlepilot-sikkerhed? Kontakt venligst [email protected]

Dokumentversion 1.0.2, opdateret 28. november 2023.