Il software whistleblowing per la segnalazione di illeciti a norma ANAC

La soluzione per le segnalazioni interne utilizzata dalle più importanti realtà

Presidenza del consiglio dei ministri Ministero della giustizia Consiglio di stato Corte dei conti Agid Carlglass Pastificio Rana S.p.A. Italscania S.p.A. Giordano Riello International Grpuo S.p.A. Strada dei Parchi S.p.A.

Whistleblowing è la soluzione applicativa dedicata al ricevimento e alla gestione delle segnalazioni degli illeciti implementata da ISWEB S.p.A.  frutto di oltre 20 anni di esperienza al servizio di Aziende private, PA Centrali e Locali nello specifico contesto della Trasparenza e del contrasto alla corruzione.

Il servizio di whistleblowing è basato sulla piattaforma software open source Globaleaks, che offre garanzie di indipendenza e sicurezza uniche nel settore, e permette di ricevere e gestire in totale sicurezza e in conformità al dettato normativo le segnalazioni ricevute dagli utenti

Whistleblowing è aggiornato rispetto agli obblighi del recente d.lgs. 24/2023 che recepisce la direttiva Direttiva UE 2019/1937, oltre che alle Linee Guida ANAC in vigore.

23/11/2023 - Il Whistleblowing alla luce del D.lgs. 24/2023

Il D.lgs. 24/2023 ha introdotto la nuova disciplina del whistleblowing attuando la direttiva europea 2019/1937. In questo webinar ripercorreremo brevemente le principali novità intervenute e illustreremo come vengono recepite dall'applicativo whistleblowing di ISWEB.

Il servizio Whistleblowing di ISWEB è iscritto al registro Cloud Security Alliance STAR, e rende disponibile la documentazione di self assessment CAIQ v.3.1.Caratteristiche generali del software

  • Aggiornato rispetto agli obblighi del recente d.lgs. 24/2023 che recepisce la direttiva Direttiva UE 2019/1937, oltre che alle Linee Guida ANAC in vigore.
  • Costantemente aggiornato rispetto agli sviluppi normativi: rappresenta la SOLUZIONE DEFINITIVA nonché l’eliminazione delle problematiche di intervento di adeguamento ad ogni cambiamento legislativo e/o nuovo regolamento tecnico;
  • Servizio erogato in modalità Software as a Service (SaaS);
  • Basato sulla piattaforma Open Source Globaleaksnon presenta costi di licenza, ed è caratterizzato da una infrastruttura applicativa progettata e sviluppata per rispondere efficacemente alle specifiche esigenze in termini di sicurezza e riservatezza, elementi cardine del whistleblowing;
  • Crittografia dei dati;
  • La piattaforma è erogato in ambiente CLOUD progettato sulle specifiche richieste del quadro normativo di riferimento;
  • Infrastruttura di erogazione certificata (CSP certificato AgID), completamente dedicata al servizio whistleblowing, gestita con processi certificati ISO 27001;
  • Garantito da SLA (Service Level Agreement) di primo livello, per offrire la massima garanzia raggiungibilità del servizio come richiesto dal Codice dell’Amministrazione Digitale (CAD);
  • Corretta separazione di dati e procedure per l’inscrizione anagrafica del segnalante e per l’azione di segnalazione;
  • Accesso diretto alla piattaforma whistleblowing su dominio scelto dal committente;
  • Possibilità di configurazione filtro di accesso a livello IP per l’accesso alla piattaforma;
  • Configurabilità dei contenuti della homepage (logo, contenuti);
  • Configurabilità della struttura informativa dei moduli di iscrizione e di segnalazione;
  • Completa configurabilità delle policy di amministrazione;
  • Possibilità di attivare il canale "anonimo";
  • Possibilità di attivare l'utente "Custode dell'identità"
  • Log di sistema: garantisce la completa tracciabilità delle operazioni svolte sulla piattaforma;

Caratteristiche dell'ambiente di segnalazione

  • Garantisce il massimo livello di riservatezza per il segnalante, grazie a specifiche caratteristiche tecniche e funzionali;
  • Ambiente di semplicissimo utilizzo, realizzato come webapp basandosi sulle ultime tecnologie disponibili. Comportamento Responsive sui vari dispositivi;
  • Nessuna attività di login utente: l’accesso alle funzionalità di segnalazione avviene mediante inserimento del “codice segnalante” attribuito durante la fase di iscrizione. Il codice segnalante è criptato al pari degli altri dati e conosciuto esclusivamente al segnalante;
  • Accesso all’interfaccia di monitoraggio della propria segnalazione mediante il ”codice segnalazione”, attribuito alla fine del processo di segnalazione;
  • Utilizzo di Bootstrap;
  • Piena rispondenza al modello del W3C Accessible Rich Internet Applications (WAI-ARIA) 1.0 grazie all’utilizzo del modulo ngAria per comportamenti e funzioni avanzate dedicate all’accessibilità.

Caratteristiche dell'ambiente di amministrazione

  • Semplicissima da utilizzare in quanto caratterizzata da un ambiente di gestione di ultima generazione con molteplici strumenti e funzionalità dedicate, volte a guidare i Responsabili (RPC o “Organismo di Vigilanza”) durante la fase di gestione delle segnalazioni ricevute, al fine di garantire a questi ultimi il massimo livello di protezione in riferimento al rispetto della normativa;
  • Strumenti dedicati che supportano l’RPC nello svolgimento delle fasi più delicate del processo di gestione della segnalazione, mettendolo al riparo da violazioni della norma. Interazione con il segnalante mediante strumenti dedicati interi al sistema, passaggio tra i vari stati: presa in carico, rifiuto, istruttoria, eventuali funzionalità di lettura in chiaro dei dati del segnalante nei casi previsti dalla normativa;
  • Creazione automatica del Dossier di segnalazione, contenente tutti i dati inerenti la segnalazione e le attività di gestione della stessa;

Sicurezza applicativa

  • Privilegi ridotti: a livello OS, l’ambiente viene eseguito con privilegi ridotti ed esclusivi all’ambito applicativo;
  • Firewall integrato: la piattaforma dispone di un firewall integrato con regole estremamente rigide, che permettono l’utilizzo del servizio solamente nella configurazione scelta;
  • Filesystem sandboxing tramite AppArmor: la piattaforma è strettamente legata ad una sandbox applicativa mediante l’utilizzo di AppArmor, al fine di permettere i processi di esecuzione, lettura e scrittura applicativa esclusivamente all’interno dell’ambiente ed impedendo influenze esterne di altre applicazioni;
  • Session management OSWASP compliant: la gestione delle sessioni sulla piattaforma segue le linee guida di sicurezza indicate da OWASP Session Management Cheat Sheet;
  • Validazioni input utente: la piattaforma è basata su un approccio di validazione input dell’utente che viene verificato sia a livello client che a livello server seguendo regole estremamente rigide;
  • Prevenzione XSRF: tutte le richieste gestite dalla piattaforma sono protette da un token XSRF;
  • Header avanzati per la sicurezza: tutte le richieste vengono trattate con l’ausilio di header avanzati per la sicurezza applicativa, come Strict-Transport-Security e X-Content-Security-Policy;
  • HTTP Link Referrer Privacy: al fine di garantire la privacy utente, sono state prese adeguate contromisure per l’accesso a risorse esterne dall’interno della piattaforma, integrando comportamenti di oscuramento del referrer applicativo;
  • Piattaforma non esposta sulla rete: la macchina adibita all’esecuzione della piattaforma, non è direttamente raggiungibile dalla rete internet. Il servizio whistleblowing, viene erogato da altre macchine esposte, tramite servizi di reverse proxy;
  • Utilizzo di SSL: l’utilizzo del servizio di whistleblowing può avvenire esclusivamente tramite Secure Sockets Layer;
  • IP e Certificato SSL dedicati per ciascuna organizzazione.

Sicurezza del dato

  • Crittografia PGP sui file differenziata per singolo amministratore abilitato: con procedura di configurazione diretta e individuale da parte degli utenti amministratori senza necessità di intervento del reparto tecnico o degli amministratori di sistema;
  • Crittografia AES sui file ed utilizzo RAMDISK: la piattaforma Globaleaks utilizza una chiave simmetrica AES al fine di non scrivere mai alcun blocco dati in chiaro sul disco. La crittografia viene operata in “streaming” utilizzando AES 128 bit in modalità CTR, in cui i file chiave vengono temporaneamente memorizzati su ramdisk, e sono unici per ogni file caricato. Queste procedure sono adottate ad esempio prima dell’impostazione di chiavi PGP dei singoli amministratori, oppure durante le procedure temporanee di upload dei file sul sistema;
  • UUIDv4 Casuale: i dati relativi a segnalazioni, iscrizioni e file sono identificati attraverso l’assegnazione di identificativi assegnati in forma randomica (utilizzo di os.urandom) secondo lo standard UUID in versione 4;
  • Crittografia Password Amministratori: tutte la password memorizzate nel database sono criptate attraverso funzione di derivazione script;
  • TLS per notifiche SMTP: per tutte le notifiche inviate attraverso SMTP viene utilizzato un canale cifrato TLS utilizzando SMTP/TLS o SMTPS a seconda della configurazione scelta.

Progetti correlati

  • VEM Sistemi

  • Toto Holding

  • Toto Holding

  • PTS Porto di Trieste Servizi Srl

Compila il form per maggiori informazioni

9 - 6