Platforma whiblo to aplikacja firmy braf.tech z Krakowa. Aplikacja działa w środowisku chmury obliczeniowej i jest oferowana w modelu SaaS (oprogramowanie jako usługa). Dzięki temu nie wymaga skomplikowanego procesu wdrożenia oraz nie obciąża infrastruktury IT organizacji. W wersji podstawowej jest dostępna w języku polskim i języku angielskim. Platforma jest dostępna z komputera lub urządzeń mobilnych przez 24/7, zapewnia szyfrowanie połączenia między sygnalistą a serwerem oraz szyfrowanie danych na serwerze zlokalizowanym na terenie UE, z certyfikatem ISO 27001. Aplikacja spełnia poziom A, a także ma wdrożony kontrast z poziomu AA standardu WCAG.
Jako że narzędzie jest odzwierciedleniem procesu, w którym występują dwie role: sygnalisty – czyli osoby zgłaszającej oraz koordynatora – czyli osoby obsługującej zgłoszenia po stronie organizacji, składa się ono z dwóch paneli: sygnalisty i koordynatora.
Panel sygnalisty składa się z kilku widoków. w szczególności jest to widok formularza zgłoszenia. Zgodnie z dyrektywą formularz jest prosty i intuicyjny, aby nie zniechęcać potencjalnych sygnalistów przed złożeniem zgłoszenia. Natomiast na życzenie klienta w formularzu zgłoszenia można dodać dodatkowe pola, np. spółki z grupy kapitałowej, oddziały firmy, imię i nazwisko, kategorię naruszenia, etc. z praktyki funkcjonowania aplikacji w środowisku biznesowym, a także z przepisów mówiących o tym, aby nie komplikować roli sygnalisty wynika, że nie należy obciążać sygnalisty wyborem kategorii naruszenia. Wystarczy, że opisze on dane zdarzenie, poda jego miejsce i czas. Koordynator i tak musi zweryfikować zgłoszenie pod kątem rodzaju naruszenia i przygotować zgłoszenie do działań następczych, a także w razie potrzeby zmienić kategorię. Dzięki takiemu rozwiązaniu eliminujemy niepotrzebny etap procesu zgłaszania, sygnalista nie ma dyskomfortu dot. wyboru kategorii a koordynator może od razu prawidłowo przyporządkować zgłoszenie.
Aplikacja przechowuje tylko dwa autorskie ciasteczka. Jedno służy do przechowywania informacji o aktywnej sesji zalogowanego użytkownika, a drugie odpowiada za zapamiętywanie informacji na temat wykorzystania obu ciasteczek. Dzięki temu, gdy użytkownik zamknie komunikat z informacją o ciasteczkach, spowoduje to brak jego ponownego wyświetlania przez następne 12 miesięcy. W ten sposób użytkownik nie musi potwierdzać klauzuli przy każdym wejściu do systemu.
W aplikacji whiblo zastosowano rozwiązanie polegające na generowaniu identyfikatora zgłoszenia przez aplikację, natomiast hasło do zgłoszenia sygnalista tworzy sam w momencie wysyłania zgłoszenia. Dzięki możliwości wprowadzenia swojego hasła, które dodatkowo spełnia wymogi standardu OWASP, użytkownik nie będzie musiał go zapisywać, zwiększając tym samym bezpieczeństwo dostępu do swojego zgłoszenia. W przypadku automatycznie wygenerowanych haseł użytkownik prawdopodobnie będzie musiał takie hasło gdzieś zapisać, ponieważ losowy ciąg znaków jest trudny do zapamiętania.
Jeżeli chodzi o identyfikator zgłoszenia, sygnalista może go sobie zapisać lub pobrać raport po utworzeniu zgłoszenia, dzięki czemu nie musi go zapamiętywać. Takie rozwiązanie pozwala na zachowanie anonimowości, a zarazem nie wymusza zapamiętywania danych dostępowych do zgłoszenia. Warto wspomnieć, że równoczesne generowanie przez system i identyfikatora, i hasła, powoduje, że te dwie krytyczne dla bezpieczeństwa dane występują obok siebie. Również ze względów bezpieczeństwa informacji procedura pobrania potwierdzenia zgłoszenia przez sygnalistę wymaga dwukrotnego podania hasła, pomimo tej samej sesji.
Zgłoszenie naruszenia przez sygnalistę odbywa się poprzez dedykowany dla danej firmy link, z którego można utworzyć nowe zgłoszenie oraz sprawdzić status już dokonanego zgłoszenia. Strona zawiera również ważną poradę: dla bezpieczeństwa korzystaj z prywatnego komputera lub telefonu. Treść może być zmieniona według sugestii danej firmy. Aplikacja obsługuje także zgłoszenia anonimowe, natomiast jeśli w treści zgłoszenia sygnalista poda dane osobowe , to będą one przetwarzane zgodnie z odpowiednią klauzulą informacyjną. Na każdym etapie korzystania z aplikacji można dodać załączniki, podano obsługiwane formaty oraz maksymalną objętość plików. Przy wysyłaniu pojawia się pytanie, czy to już wszystko, co chce się zgłosić i ewentualnie można jeszcze wrócić do edycji.
W zgłoszeniu należy wypełnić podstawowe rubryki: datę, miejsce oraz opis zdarzenia oraz ewentualnie dodać załącznik. Przy czym pola data i miejsce nie są obowiązkowe, oznacza to, że po opisaniu zdarzenia aplikacja „przepuści” zgłoszenie do koordynatora. To rozwiązanie ma ułatwić złożenie zgłoszenia w sytuacji, kiedy np. sygnalista nie pamięta dokładnej daty lub zdarzenie się powtarzało kilkakrotnie.
Aplikacja umożliwia anonimowe zgłaszanie, lecz w związku z możliwością pozostawienia danych osobowych przez sygnalistę w opisie, podano klauzulę informacyjną jako pdf do pobrania. Jest też możliwość ustanowienia hiperłącza do miejsca z klauzulą informacyjną klienta. Pod klauzulą umieszczono check-box do aktywnego zaznaczenia przez sygnalistę zapoznania się i akceptacji postanowień klauzuli.
Aby wysłać zgłoszenie i następnie mieć do niego dostęp , trzeba utworzyć hasło składające się z co najmniej 12 znaków, spełniające określone warunki. Kryteria te wynikają z wymogów standardu bezpieczeństwa OWASP. Dopiero wtedy pojawia się potwierdzenie wysłania zgłoszenia, z możliwością jego pobrania pod warunkiem kolejnego podania hasła. Żeby otworzyć plik z potwierdzeniem, trzeba jeszcze raz podać hasło. Po skutecznym wysłaniu Koordynator po stronie firmy otrzymuje mailowe powiadomienie o wpłynięciu nowego zgłoszenia.
Logowanie do panelu administratora jest możliwe po wpisaniu loginu i hasła oraz dodatkowo po podaniu kodu SMS (dwustopniowe uwierzytelnienie koordynatorów). Główna strona zawiera zestawienie zgłoszeń, ich status, podział według kategorii, koordynatora prowadzącego i nadanego priorytetu. Pulpit umożliwia szybkie zorientowanie się także we „wszystkich” lub „moich” zgłoszeniach w zakresie zgłoszeń nowych, w toku, nowych zdarzeń w zgłoszeniu czy terminów udzielenia odpowiedzi sygnaliście.
W prostym menu głównym są pulpit, zgłoszenia, archiwum i raporty, a także panel administratora lokalnego. Na dzień powstania raportu jest 5 wersji językowych, natomiast w dowolnym momencie na potrzeby klientów do aplikacji mogą zostać wgrane dodatkowe języki. Tłumaczenia są ręczne, oznacza to, że nie są to tłumaczenia maszynowe.
W zakładce zgłoszenia koordynatorzy mają widok pełnej listy zgłoszeń wraz z charakteryzującymi je parametrami typu kategoria czy status. Parametry te można skonfigurować w momencie przypisywania koordynatora i zmiany statusu zgłoszenia z „Nowe” na „W toku”, a także edytować w dowolnym momencie korzystania z aplikacji.
Aplikacja wspiera koordynatorów w dotrzymaniu terminu udzielania informacji zwrotnych poprzez oznaczenie z tygodniowym wyprzedzeniem konkretnego zgłoszenia czerwonym kolorem oraz wykrzyknikiem a także poprzez wysłanie notyfikacji mailowych do koordynatorów.
Klikając w konkretne zgłoszenie można uzyskać nie tylko informację o jego treści, ale także przypisać mu koordynatora, kategorię naruszenia i priorytet, potwierdzić przyjęcie zgłoszenia oraz komunikować się z sygnalistą, a także przejrzeć całą historię zgłoszenia.
W archiwum, oprócz standardowych parametrów, znajduje się informacja o tym, czy w firmie przeprowadzono postępowanie wyjaśniające.
Podobnie jak przy notyfikacji o upływie 3 miesięcy na udzielenie informacji zwrotnych sygnaliście, tak i w przypadku usuwania danych z archiwum, system wspiera koordynatorów poprzez oznaczenie z tygodniowym wyprzedzeniem konkretnego zgłoszenia czerwonym kolorem oraz wykrzyknikiem a także poprzez wysłanie notyfikacji mailowych do koordynatorów. Umożliwia to ściągnięcie na dysk zewnętrzny danego zgłoszenia i zachowanie go w sytuacji, jeśli jest ono przedmiotem dalszego postepowania. Jest to istotne, ponieważ aplikacja usuwa automatycznie dane z archiwum po upływie okresu retencji uzgodnionego z klientem.
W raportach można wybrać listę zgłoszeń aktywnych, wszystkich zgłoszeń, archiwizowanych oraz według kategorii. W aplikacji whiblo istnieje zestaw standardowych raportów, ponadto na życzenie klienta mogą być skonfigurowane dodatkowe raporty.
Potwierdź adres e-mail i pobierz przewodnik
Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".
Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
Zapisz się na biuletyn ODO 24
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Potwierdź swój adres e-mail
Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.