Aplikacja whiblo to narzędzie dla sygnalistów służące do zgłaszania nieprawidłowości w firmach i instytucjach. Podczas projektowania i tworzenia aplikacji szczególny nacisk położyliśmy na ochronę danych osobowych sygnalisty i osób trzecich wymienionych w zgłoszeniu, tak aby spełniały wszystkie standardy bezpieczeństwa wynikające z dyrektywy UE czy ustawy RODO.
Nasza aplikacja opiera się na certyfikacie ISO 27001, który stanowi dowód na to, że system zarządzania bezpieczeństwem informacji pomyślnie przeszedł testy i spełnia wymagania najlepszych praktyk w tym zakresie. Dodatkowo dla potwierdzenia bezpieczeństwa naszej aplikacji wykonane zostały testy klasyfikacji ryzyka przez niezależnego audytora. Jego wyniki potwierdzają, że wszystkie podatności na ryzyko zostały usunięte.
Gdy zgłoszenie zostanie wysłane przez sygnalistę, jego zwartość, a także załączniki, zostają zaszyfrowane algorytmem AES 256, który pozwala na przekształcenie każdego znaku w tekście 14 razy. Oznacza to, że bez znajomości klucza nie jesteśmy w stanie odczytać oryginalnej treści wiadomości. Dodatkowo chroniona jest transmisja danych, którymi przesyłane jest zgłoszenie. Użyliśmy do tego protokół SSL (TLS 1.2), który zapewnia bezpieczeństwo i poufność przesłanej informacji. Dostęp do klucza odczytu posiadają tylko osoby uprawnione, a cała baza kluczy chroniona i przechowywana jest w chmurze obliczeniowej, usłudze Microsoft Azure Key Vault.
Aplikacja nie wymaga podawania jakichkolwiek danych osobowych, o ile sygnalista nie udostępni ich dobrowolnie. Mimo to, wszystkie metadane dokumentów, zawierające informację np. o autorze dokumentu czy osobie modyfikującej, są usuwane przez algorytmy na etapie przesyłania pliku na serwer. To skutecznie uniemożliwia identyfikację autora pliku lub aparatu, którym wykonano załączone zdjęcie. System nie gromadzi także informacji o adresach IP, dzięki czemu nie jest możliwe wyśledzenie urządzenia sygnalisty, czyniąc tym samym osobę zgłaszającą w 100% anonimową.
W zakresie zabezpieczenia przed botami whiblo wykorzystuje mechanizm rate limiting zalecany przez zewnętrzną firmą audytorską, która wykonała testy bezpieczeństwa. Aplikacja whiblo nie korzysta z mechanizmów captcha, ponieważ opierają się one na plikach śledzących, co spowodowałby konflikt w zakresie zachowania anonimowości sygnalisty.
System whiblo pozwala na kontakt sygnalisty z koordynatorem odpowiedzialnym za obsługę zgłoszeń w organizacji, co umożliwia prostowanie i uzupełnianie informacji oraz danych osobowych wskazanych w treści zgłoszenia, natomiast sam system nie usuwa treści przekazywanej wiadomości, ani nie daje takiej możliwości koordynatorowi. Wszystkie nadesłane zgłoszenia przechodzą do archiwum, gdzie są przechowywane, a po indywidualnym okresie retencji usuwane. Kopie zapasowe zgłoszeń są przechowywane na serwerach w lokalizacjach państw członkowskich UE (Irlandia i Holandia).
W braf.tech oparliśmy naszą usługę na sprawdzonej i zabezpieczonej infrastrukturze chmury obliczeniowej Microsoft Azure, z wykorzystaniem usługi Application Gateway, w tym zastosowaniem zapory aplikacji internetowych (WAF). Zabezpieczenia i prywatność są fundamentalne dla platformy Azure. Firma Microsoft dba o zapewnienie najwyższego poziomu zaufania, przejrzystości, zgodności ze standardami i zgodności z przepisami.
