Bezpieczeństwo systemu Esignaller

Bezpieczeństwo to jeden z wymogów dyrektywy o sygnalistach (2019/1937) a także RODO obok np. wymogu przejrzystości czy legalności przetwarzania (wdrożenie tych pozostałych zasad w systemie esignaller omówiono odrębnie w sekcji „prywatność”). Na bezpieczeństwo składa się zapewnienie poufności, dostępności i integralności informacji.

Dyrektywa o sygnalistach wskazuje, że kanały przyjmowania zgłoszeń (w tym aplikacje webowe jak Esignaller) powinny być zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu.

Projektując system Esignaller uwzględniono wymogi dotyczące bezpieczeństwa informacji (czy węziej danych osobowych) wynikające zarówno z dyrektywy o sygnalistach (Dyrektywa UE nr 2019/1937), jaki i przepisów RODO (rozporządzenie UE 2016/679).

Uwzględniono także powiązane standardy jak norma ISO 37002:2021 dotycząca ochrony sygnalistów, normę ISO 27001 oraz 27002 dotyczące bezpieczeństwa informacji, wytyczne ENISy (Europejskiej Agencji ds. Cyberbezpieczeństwa) m.in. w zakresie środków bezpieczeństwa (zob. https://www.enisa.europa.eu/risk-level-tool/assessment), wytyczne Europejskiej Rady Ochrony Danych w m.in. zakresie privacy by design 4/2019 a także wytyczne Urzędu Ochrony Danych Osobowych.

Przeprowadzono także testy bezpieczeństwa IT – zostały one zrealizowane przez zewnętrzny i niezależny podmiot.

Aplikacja Esignaller dostarczana jest w ramach usługi chmurowej. Oznacza, to, że zarówno sygnalista jak i organizacja uzyskuje dostęp do swoich zasobów poprzez przeglądarkę internetową bez konieczności instalacji dodatkowego oprogramowania na swoich urządzeniach. Dzięki temu organizacja korzystająca z naszego rozwiązania nie musi czuwać nad aktualizacjami oprogramowania. Umożliwia to także dostawcy zapewnienie wysokiej dostępności usługi i stosowanie najnowocześniejszych rozwiązań zapewniających ochronę danych zarówno przed skutkami awarii jak i przed atakami hakerskimi.

Wdrożenie wymogów bezpieczeństwa dotyczy poziomu organizacji dostawcy usługi Esingaller (np. procedury nadawania dostępów) a także funkcjonalności samej aplikacji. Poniższy opis wzoruje się na liście kontrolnej zawartej w załączniku do decyzji Komisji Europejskiej z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 oraz art. 29 ust. 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 

Kategorie: O systemie