Opis aplikacji Whiblo

W skrócie

  • Aplikacja whiblo to proste, intuicyjne i uniwersalne narzędzie do zgłaszania naruszeń, które może być wykorzystane w jakimkolwiek podmiocie.
  • System whiblo umożliwia odbiór i obsługę zgłoszeń zarówno jawnych, jaki i anonimowych. Jest zgodny z dyrektywą o ochronie sygnalistów, ustawą AML i RODO.
  • Panel sygnalisty zawiera krótkie i czytelne informacje instruktażowe dot. poruszania się po aplikacji, w tym utworzenia zgłoszenia oraz monitorowania jego stanu. Łatwe monitorowanie zgłoszenia, ładna forma z pionowym wykresem Gantta.
  • Aplikacja nie rejestruje adresów IP a także kasuje metadane z załączników.

Opis aplikacji

Logo Whiblo

Opis aplikacji

Platforma whiblo to aplikacja firmy braf.tech z Krakowa. Aplikacja działa w środowisku chmury obliczeniowej i jest oferowana w modelu SaaS (oprogramowanie jako usługa). Dzięki temu nie wymaga skomplikowanego procesu wdrożenia oraz nie obciąża infrastruktury IT organizacji. W wersji podstawowej jest dostępna w języku polskim i języku angielskim. Platforma jest dostępna z komputera lub urządzeń mobilnych przez 24/7, zapewnia szyfrowanie połączenia między sygnalistą a serwerem oraz szyfrowanie danych na serwerze zlokalizowanym na terenie UE, z certyfikatem ISO 27001. Aplikacja spełnia poziom A, a także ma wdrożony kontrast z poziomu AA standardu WCAG.

Jako że narzędzie jest odzwierciedleniem procesu, w którym występują dwie role: sygnalisty – czyli osoby zgłaszającej oraz koordynatora – czyli osoby obsługującej zgłoszenia po stronie organizacji, składa się ono z dwóch paneli: sygnalisty i koordynatora.

Panel sygnalisty

Panel sygnalisty składa się z kilku widoków.  w szczególności jest to widok formularza zgłoszenia. Zgodnie z dyrektywą formularz jest prosty i intuicyjny, aby nie zniechęcać potencjalnych sygnalistów przed złożeniem zgłoszenia. Natomiast na życzenie klienta w formularzu zgłoszenia można dodać dodatkowe pola, np. spółki z grupy kapitałowej, oddziały firmy, imię i nazwisko, kategorię naruszenia, etc. z praktyki funkcjonowania aplikacji w środowisku biznesowym, a także z przepisów  mówiących o tym, aby nie komplikować roli sygnalisty wynika, że nie należy obciążać sygnalisty wyborem kategorii naruszenia. Wystarczy, że opisze on dane zdarzenie, poda jego miejsce i czas. Koordynator i tak musi zweryfikować zgłoszenie pod kątem rodzaju naruszenia i przygotować zgłoszenie do działań następczych, a także w razie potrzeby zmienić kategorię. Dzięki takiemu rozwiązaniu eliminujemy niepotrzebny etap procesu zgłaszania, sygnalista nie ma dyskomfortu dot. wyboru kategorii a koordynator może od razu prawidłowo przyporządkować zgłoszenie.

Aplikacja przechowuje tylko dwa autorskie ciasteczka. Jedno służy do przechowywania informacji o aktywnej sesji zalogowanego użytkownika, a drugie odpowiada za zapamiętywanie informacji na temat wykorzystania obu ciasteczek. Dzięki temu, gdy użytkownik zamknie komunikat z informacją o ciasteczkach, spowoduje to brak jego ponownego wyświetlania przez następne 12 miesięcy. W ten sposób użytkownik nie musi potwierdzać klauzuli przy każdym wejściu do systemu.

W aplikacji whiblo zastosowano rozwiązanie polegające na generowaniu identyfikatora zgłoszenia przez aplikację, natomiast hasło do zgłoszenia sygnalista tworzy sam w momencie wysyłania zgłoszenia. Dzięki możliwości wprowadzenia swojego hasła, które dodatkowo spełnia wymogi standardu OWASP, użytkownik nie będzie musiał go zapisywać, zwiększając tym samym bezpieczeństwo dostępu do swojego zgłoszenia. W przypadku automatycznie wygenerowanych haseł użytkownik prawdopodobnie będzie musiał takie hasło gdzieś zapisać, ponieważ losowy ciąg znaków jest trudny do zapamiętania.

Jeżeli chodzi o identyfikator zgłoszenia, sygnalista może go sobie zapisać lub pobrać raport po utworzeniu zgłoszenia, dzięki czemu nie musi go zapamiętywać. Takie rozwiązanie pozwala na zachowanie anonimowości, a zarazem nie wymusza zapamiętywania danych dostępowych do zgłoszenia. Warto wspomnieć, że równoczesne generowanie przez system i identyfikatora, i hasła, powoduje, że te dwie krytyczne dla bezpieczeństwa dane występują obok siebie. Również ze względów bezpieczeństwa informacji procedura pobrania potwierdzenia zgłoszenia przez sygnalistę wymaga dwukrotnego podania hasła, pomimo tej samej sesji.

Zgłoszenie naruszenia przez sygnalistę odbywa się poprzez dedykowany dla danej firmy link, z którego można utworzyć nowe zgłoszenie oraz sprawdzić status już dokonanego zgłoszenia. Strona zawiera również ważną poradę: dla bezpieczeństwa korzystaj z prywatnego komputera lub telefonu. Treść może być zmieniona według sugestii danej firmy. Aplikacja obsługuje także zgłoszenia anonimowe, natomiast jeśli w treści zgłoszenia sygnalista poda dane osobowe , to będą one przetwarzane zgodnie z odpowiednią klauzulą informacyjną. Na każdym etapie korzystania z aplikacji można dodać załączniki, podano obsługiwane formaty oraz maksymalną objętość plików. Przy wysyłaniu pojawia się pytanie, czy to już wszystko, co chce się zgłosić i ewentualnie można jeszcze wrócić do edycji.

W zgłoszeniu należy wypełnić podstawowe rubryki: datę, miejsce oraz opis zdarzenia oraz ewentualnie dodać załącznik. Przy czym pola data i miejsce nie są obowiązkowe, oznacza to, że po opisaniu zdarzenia aplikacja „przepuści” zgłoszenie do koordynatora. To rozwiązanie ma ułatwić złożenie zgłoszenia w sytuacji, kiedy np. sygnalista nie pamięta dokładnej daty lub zdarzenie się powtarzało kilkakrotnie.

Aplikacja umożliwia anonimowe zgłaszanie, lecz w związku z możliwością pozostawienia danych osobowych przez sygnalistę w opisie, podano klauzulę informacyjną jako pdf do pobrania. Jest też możliwość ustanowienia hiperłącza do miejsca z klauzulą informacyjną klienta. Pod klauzulą umieszczono check-box do aktywnego zaznaczenia przez sygnalistę zapoznania się i akceptacji postanowień klauzuli.

Aby wysłać zgłoszenie i następnie mieć do niego dostęp , trzeba utworzyć hasło składające się z co najmniej 12 znaków, spełniające określone warunki. Kryteria te wynikają z wymogów standardu bezpieczeństwa OWASP. Dopiero wtedy pojawia się potwierdzenie wysłania zgłoszenia, z możliwością jego pobrania pod warunkiem kolejnego podania hasła. Żeby otworzyć plik z potwierdzeniem, trzeba jeszcze raz podać hasło. Po skutecznym wysłaniu Koordynator po stronie firmy otrzymuje mailowe powiadomienie o wpłynięciu nowego zgłoszenia.

Panel administratora

Logowanie do panelu administratora jest możliwe po wpisaniu loginu i hasła oraz dodatkowo po podaniu kodu SMS (dwustopniowe uwierzytelnienie koordynatorów). Główna strona zawiera zestawienie zgłoszeń, ich status, podział według kategorii, koordynatora prowadzącego i nadanego priorytetu. Pulpit umożliwia szybkie zorientowanie się także we „wszystkich” lub „moich” zgłoszeniach w zakresie zgłoszeń nowych, w toku, nowych zdarzeń w zgłoszeniu czy terminów udzielenia odpowiedzi sygnaliście.

Główny pulpit

W prostym menu głównym są pulpit, zgłoszenia, archiwum i raporty,   a także panel administratora lokalnego. Na dzień powstania raportu jest 5 wersji językowych, natomiast w dowolnym momencie na potrzeby klientów do aplikacji mogą zostać wgrane dodatkowe języki. Tłumaczenia są ręczne, oznacza to, że nie są to tłumaczenia maszynowe.

W zakładce zgłoszenia koordynatorzy mają widok pełnej listy zgłoszeń wraz z charakteryzującymi je parametrami typu kategoria czy status. Parametry te można skonfigurować w momencie przypisywania koordynatora i zmiany statusu zgłoszenia z „Nowe” na „W toku”, a także edytować w dowolnym momencie korzystania z aplikacji.

Aplikacja wspiera koordynatorów w dotrzymaniu terminu udzielania informacji zwrotnych poprzez oznaczenie z tygodniowym wyprzedzeniem konkretnego zgłoszenia czerwonym kolorem oraz wykrzyknikiem a także poprzez wysłanie notyfikacji mailowych do koordynatorów.

Klikając w konkretne zgłoszenie można uzyskać nie tylko informację o jego treści, ale także przypisać mu koordynatora, kategorię naruszenia i priorytet, potwierdzić przyjęcie zgłoszenia oraz komunikować się z sygnalistą, a także przejrzeć całą historię zgłoszenia.

W archiwum, oprócz standardowych parametrów, znajduje się informacja o tym, czy w firmie przeprowadzono postępowanie wyjaśniające.

Podobnie jak przy notyfikacji o upływie 3 miesięcy na udzielenie informacji zwrotnych sygnaliście, tak i w przypadku usuwania danych z archiwum, system wspiera koordynatorów poprzez oznaczenie z tygodniowym wyprzedzeniem konkretnego zgłoszenia czerwonym kolorem oraz wykrzyknikiem a także poprzez wysłanie notyfikacji mailowych do koordynatorów. Umożliwia to ściągnięcie na dysk zewnętrzny danego zgłoszenia i zachowanie go w sytuacji, jeśli jest ono przedmiotem dalszego postepowania. Jest to istotne, ponieważ aplikacja usuwa automatycznie dane z archiwum po upływie okresu retencji uzgodnionego z klientem.

W raportach można wybrać listę zgłoszeń aktywnych, wszystkich zgłoszeń, archiwizowanych oraz według kategorii. W aplikacji whiblo istnieje zestaw standardowych raportów, ponadto na życzenie klienta mogą być skonfigurowane dodatkowe raporty.

Zanim wdrożysz aplikację dla sygnalistów zaktualizuj swoje procedury bezpieczeństwa. Tego wymaga prawo.

Więcej

Katarzyna Szczypińska
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".