Najczęściej zadawane pytania dotyczące zgłaszania nieprawidłowości
 |
Ogólne |
Kim są zgłaszający/sygnaliści?
Sygnaliści to osoby, które nie są obojętne wobec organizacji, jej pracowników lub regionu, które posiadają informacje mogące przynieść korzyści organizacji lub pomóc uniknąć szkód dla jej pracowników lub regionu, a działając w najlepszych intencjach, chcą pomóc i chętnie dzielą się ważnymi informacjami.
Ethicontrol umożliwia zgłaszającym anonimowe, poufne zgłaszanie informacji firmie lub identyfikowanie się zespołowi reagowania.
Anonimowość oznacza, że tożsamość zgłaszającego nie jest nikomu znana — ani przedstawicielom Ethicontrol, którzy otrzymali wiadomość, ani zespołowi reagowania, ani innym przedstawicielom firmy.
Poufność dla firmy przewiduje ujawnienie jej nazwy firmie Ethicontrol, ale wyklucza przekazywanie tych informacji innym osobom bez zgody osoby zgłaszającej. W takiej sytuacji Ethicontrol działa jako pośrednik między zgłaszającym a firmą, chroniąc anonimowość informatora.
Identyfikacja oznacza, że zgłaszający ujawnia swoje imię i nazwisko podczas rejestracji wiadomości i jest gotowy otwarcie i niezależnie, bez pośrednictwa Ethicontrol, współpracować z organizacją.
Identyfikacja nie oznacza jednak, że wszyscy powinni wiedzieć, kto zostawił wiadomość. Wszystkie informacje dotyczące zgłoszenia i sygnalistów są poufne, a Ethicontrol zapewnia do nich dostęp wyłącznie upoważnionym członkom zespołów reagowania firmy, którzy są zobowiązani do przestrzegania odpowiedniego reżimu poufności.
Jaki jest cel Linii Zaufania dla sygnalistów? Czy jest ona przeznaczona dla pracowników, czy dla kogoś innego?
Domyślnie Linia Zaufania Ethicontrol jest przeznaczona dla wszystkich zainteresowanych i nieobojętnych stron firmy: akcjonariuszy, pracowników, klientów i dostawców, partnerów biznesowych, byłych pracowników, krewnych pracowników, mieszkańców okolicznych terytoriów i innych.
Grupa docelowa może się różnić na życzenie firmy.
Jaka jest cena za usługi Ethicontrol?
Naszym celem jest świadczenie usług po niższych kosztach niż koszt samodzielnego opracowania i utrzymania takiego narzędzia. Na stronie Cennik można sprawdzić, jak to działa.
Koszt usługi zależy przede wszystkim od liczby pracowników w firmie, ponieważ jest to główny czynnik wpływający na obciążenie naszego centrum kontaktowego i systemów internetowych. Dodatkowe opłaty obowiązują w przypadku pracy w wielu jurysdykcjach lub gdy chcesz znacznie zmienić nasz proces lub system.
Każdy przypadek jest wyjątkowy, a my jesteśmy gotowi wziąć pod uwagę życzenia i budżety naszych klientów w jak największym stopniu.
Czy Ethicontrol udziela porad sygnalistom?
Nie. Nie udzielamy porad dotyczących treści wiadomości i możliwych działań następczych dla sygnalisty.
Co więcej, nie musimy rozumieć złożoności każdej organizacji i jej procesów, aby uniknąć wprowadzenia w błąd.
Jedynym wyjątkiem jest to, że zawsze jesteśmy gotowi doradzić w sprawie opcji anonimowości. Ponadto jasno wyjaśniamy, jakie szczegóły incydentu należy podać, aby ułatwić zespołowi ds. zgodności szybkie zakończenie pracy.
 |
Anonimowość |
Jak zagwarantować anonimowość i poufność?
Trzy rzeczy gwarantują anonimowość i poufność.
Pierwszą z nich jest NASZA AUTONOMIA.
Nie jesteśmy zależni od właścicieli, zarządu, służb bezpieczeństwa ani innych pracowników Państwa firmy. Nasza autonomia pozwala nam nazywać rzeczy po imieniu i nie odbiegać od głównego zadania naszej firmy — zachowania anonimowości i poufności.
Drugi to NASZA OCHRONA.
My też jesteśmy ludźmi i podobnie do Państwa martwimy się o bezpieczeństwo naszego zdrowia i życia. W związku z tym najlepszym sposobem ochrony jest nie wiedzieć nic i nie mieć technicznej możliwości dowiedzenia się czegoś. "Polityka zerowej wiedzy" to zasada, której używaliśmy, tworząc architekturę naszego systemu.
W naszym systemie informacje są rozproszone. Możemy znać tylko ziarno, które jest widoczne na etapie rejestracji wiadomości i dołożyliśmy wszelkich starań, aby takie informacje nie były gdzieś przechowywane. Do wszystkiego innego nie mamy dostępu.
Jest to gwarancją naszego bezpieczeństwa, a jednocześnie anonimowości sygnalistów. Więcej szczegółów można znaleźć w odpowiedzi na pytanie "Jakie informacje o firmie posiada Ethicontrol?" oraz w sekcji Bezpieczeństwo.
Po trzecie — NASZE I PAŃSTWA BEZPIECZEŃSTWO INFORMACJI.
Prawdopodobnie powinno to być na pierwszym miejscu.
Z jednej strony, jeśli sam zgłaszający naruszy proste zasady bezpieczeństwa informacji, nie może być żadnych gwarancji. Aby zachować anonimowość, sygnaliści muszą ściśle przestrzegać zasad. Nasze zalecenia zostały wymienione w sekcji Bezpieczeństwo.
Z drugiej strony, jako firma informatyczna, bardzo poważnie traktujemy własne bezpieczeństwo informacji. Dlatego wybieramy tylko wykonawców certyfikowanych zgodnie z najlepszymi międzynarodowymi standardami, dokładamy wszelkich starań, aby utrzymać różne systemy szyfrowania i bezpieczeństwa oraz wdrażamy najlepsze praktyki w naszych własnych procesach.
Czy ktoś może mnie zidentyfikować przez telefon?
Zadaniem Ethicontrol jest pomoc zgłaszającym w zachowaniu anonimowości (na żądanie) nie tylko w stosunku do firmy, ale także ogólnie w stosunku do osób trzecich, w tym naszego serwisu.
W tym celu nigdy nie śledzimy liczby połączeń przychodzących, nie nagrywamy rozmów telefonicznych, a nasi pracownicy są przeszkoleni, aby pomóc zachować anonimowość.
Aby pozostać w kontakcie w przyszłości, wydajemy unikalny tajny kod dla każdego dzwoniącego lub odwiedzającego profil internetowy. Korzystając z tego kodu, można niezależnie sprawdzić status przetwarzania wiadomości lub uzyskać informacje o sprawie bez identyfikowania się w przyszłości.
Prosimy o przestrzeganie poniższych zasad, aby zadanie było jak najmniej skomplikowane lub kosztowne dla osób, które chcą Cię zidentyfikować:
- nie wykonywać połączeń z terytorium swojej organizacji;
- nie wykonywać połączeń ze środków komunikacji, które należą do firmy lub o których została ona powiadomiona;
- nie wykonywać połączeń ze środków komunikacji, których używałeś do wykonywania połączeń do środków komunikacji swojej firmy (lub o których została ona powiadomiona);
- nie wykonywać połączeń w obecności osób, którym się nie ufa;
- nie wykonywać połączeń w obecności środków łączności, z których wykonywano połączenia do środków łączności firmy (lub o których firma została powiadomiona);
- nie przekazywać informacji, które mogą pomóc w pośredniej identyfikacji użytkownika.
Podobne zalecenia dotyczą korzystania z formularza internetowego.
Docelowi odbiorcy mogą się różnić na życzenie firmy.
Dlaczego jestem proszony o podanie moich danych osobowych?
Chociaż system Ethicontrol został zaprojektowany z myślą o skutecznej współpracy z anonimowymi zgłaszającymi, praktyka pokazuje, że osobisty kontakt może przynieść więcej korzyści.
Na przykład cykl życia wiadomości, w których zgłaszający się zidentyfikował, trwa średnio o 40% krócej niż wszystkich innych.
Dlatego zawsze jesteśmy gotowi zapewnić sygnalistom możliwość zidentyfikowania się i poprosić o podanie danych osobowych, takich jak imię i nazwisko, numer kontaktowy lub adres e-mail.
Co obejmuje anonimowość i ochrona danych?
1. Nasza niezależność od kierownictwa firmy. Nie gromadzimy ani nie udostępniamy informacji o zgłaszających, które mogą być wykorzystane do śledzenia lub ujawniania danych osobowych użytkowników systemu.
W związku z tym nasza witryna nie korzysta z plików cookie, nie określa adresów IP, a nasze centrum kontaktowe nie określa numeru dzwoniącego i nie nagrywa rozmów telefonicznych. Nasi operatorzy nie zadają pytań, dzięki którym firma mogłaby poznać tożsamość sygnalisty, a nawet jeśli anonimowy zgłaszający w jakiś sposób się ujawni, upewnimy się, że nie ma tego w systemie.
2. Ochrona transmisji danych. Wszystkie dane przesyłane za pośrednictwem interfejsu internetowego są szyfrowane przy użyciu protokołu SSL.
3. Ochrona anonimowości. Każdy sygnalista otrzymuje tajny kod dostępu do biura sygnalisty, który umożliwia mu anonimowy kontakt z zespołem odpowiadającym na jego zgłoszenie.
4. Certyfikowany niezależny serwer. Baza danych Twojej firmy jest hostowana na serwerze innej firmy.
Korzystamy wyłącznie z certyfikowanych serwerów spełniających wymogi SOX 404, SAS 70, SSAE 16, a także PCI DSS 3.0, ISO 27000 i ISO 20000.
5. Nie mamy dostępu do Państwa danych. Architektura systemu oddziela bazę danych od aplikacji, aby ograniczyć dostęp pracowników Ethicontrol do bazy danych incydentów Państwa firmy. Z kolei system rejestruje wszelkie działania mające na celu uzyskanie dostępu do bazy danych.
6. Ochrona danych osobowych zgodnie z dyrektywą UE 95/46 / WE i dyrektywą o ochronie danych, a także odpowiednimi przepisami krajowymi.
7. Szyfrowanie i tworzenie kopii zapasowych danych na serwerze.
 |
Bezpieczeństwo |
Jakie informacje o firmie "zna" Ethicontrol?
Krótko mówiąc, Ethicontrol wie o firmie tylko to, co firma pozwoliła onej wiedzieć
Po raz kolejny Ethicontrol nie ma prawa rozpowszechniać ŻADNYCH informacji o firmie, w tym samego faktu korzystania z usługi bez pisemnej zgody firmy.
Mówiąc szerzej, powinniśmy zacząć od samej definicji słowa "wiedzieć" - rozumiejmy to jako możliwość rejestrowania informacji, ich zapisywania i gromadzenia, a także możliwość ich późniejszego powielania, stosowania, wykorzystywania lub rozpowszechniania.
W związku z tym, gdy mówimy o rejestracji lub uzyskiwaniu informacji — Ethicontrol otrzymuje ogólne informacje o firmie podczas rejestracji i podpisywania umowy o świadczenie usług. Takie informacje obejmują nazwę, formę organizacyjną, dane podatkowe i bankowe, osoby kontaktowe, środki komunikacji, adres, lokalizację i nazwę jednostek organizacyjnych, nazwiska i podstawy działań upoważnionego kierownictwa, a także nazwiska i adresy e-mail użytkowników systemu internetowego w imieniu firm.
Ponadto centrum kontaktowe Ethicontrol otrzymuje informacje o incydentach, które wzbudziły zaniepokojenie zgłaszających. Zawierają one rodzaj incydentu, co się stało i kiedy, kto jest winny, kto jest świadkiem, kto jest ofiarą itd. Informacje te przechodzą przez nas, ale ich nie "pamiętamy".
Wynika to z faktu, że wszelkie informacje, które przeszły przez stronę internetową lub centrum kontaktowe, trafiają bezpośrednio do bazy danych należącej do Twojej firmy.
"Bezpośrednio" oznacza, że nie są one rejestrowane ani zapisywane nigdzie indziej. Przechowujemy jedynie ogólne informacje o czasie i długości kontaktu, rodzaju i numerze incydentu, a także unikalny kod dla zgłaszającego.
Ponadto, ze względów bezpieczeństwa informacji, wdrażamy kilka środków, aby wykluczyć możliwość przechowywania nawet odrobiny poufnych informacji. Szczegółowe informacje można znaleźć w sekcji Najczęściej zadawane pytania dotyczące zgłaszania nieprawidłowości.
Nie mamy stałego dostępu do bazy danych, a jeśli wymagana jest konserwacja, dostęp taki następuje po uzgodnieniu z firmą i pod nadzorem jej specjalistów technicznych. Jednocześnie system rejestruje wszelkie żądania dostępu do danych i łatwo jest nas sprawdzić.
Przechowywanie danych użytkownika w bazie danych firmy odbywa się zgodnie z wymogami ustawodawstwa obowiązującego w danej jurysdykcji.
W związku z tym nie posiadamy informacji o firmie lub zdarzeniach wskazanych w raportach sygnalistów i wiemy tylko to, co wolno nam wiedzieć.
Jakie są gwarancje bezpieczeństwa dla sygnalisty? Jak chronić się przed nękaniem?
Wśród gwarancji bezpieczeństwa lub ochrony przed odwetem za korzystanie z infolinii dla sygnalistów często można zobaczyć pisemne zobowiązanie ze strony kierownictwa, ochronę akcjonariuszy lub ochronę za pośrednictwem sądów i mechanizmów prawa cywilnego, lub karnego.
Nie możemy jednak nazwać takich metod GWARANCJĄ.
W Ethicontrol uważamy, że jedyną gwarancją bezpieczeństwa zgłaszającego jest jego całkowita ANONIMOWOŚĆ.
Zalecamy zapoznanie się z odpowiednią sekcją na stronie z pytaniami i odpowiedziami.
Jak łatwo jest zhakować system?
Każdy system można zhakować — anonimowi hakerzy udowadniają to na przykładzie wielu amerykańskich banków czy agencji rządowych USA.
Zaprojektowaliśmy system zabezpieczeń w taki sposób, aby hakowanie systemu było ekonomicznie uzasadnione — kosztowne i czasochłonne.
Przykładowo, aby odszyfrować wiadomość zaszyfrowaną protokołem SSL wysłaną z przeglądarki użytkownika za pośrednictwem usługi Ethicontrol, trzeba poświęcić całą moc obliczeniową ogromnego centrum danych, które powinno pracować przez co najmniej dwa miesiące tylko nad jednym przypadkiem. Koszt takiej sprawy szacowany jest na miliony dolarów.
Jednocześnie po dwóch miesiącach, zgodnie z naszym typowym procesem, wiadomość powinna być już przetworzona, zweryfikowana, zbadana i zamknięta, co znacznie obniża koszt ujawnionych informacji poufnych.
Co dzieje się z przekazanymi przeze mnie informacjami i danymi?
Wszelkie informacje, które przechodzą przez stronę internetową lub centrum kontaktowe, trafiają bezpośrednio do bazy danych należącej do Państwa firmy.
"Bezpośrednio" oznacza, że nie są rejestrowane ani przechowywane nigdzie indziej. Posiadamy jedynie ogólne dane o czasie i długości kontaktu, rodzaju i numerze incydentu, a także unikalny kod sygnalisty.
Ponadto, ze względów bezpieczeństwa informacji, regularnie czyścimy pamięć tymczasową (cache) serwerów systemu internetowego i terminali centrum kontaktowego, aby wykluczyć możliwość przechowywania choćby odrobiny poufnych informacji.
Nie mamy stałego dostępu do bazy danych. Gdy zachodzi potrzeba konserwacji, dostęp taki odbywa się za zgodą firmy i pod nadzorem specjalistów technicznych. Jednocześnie system rejestruje wszelkie żądania dostępu do danych.
Przechowywanie danych w bazie danych firmy jest zorganizowane zgodnie z wymogami ustawodawstwa odpowiedniej jurysdykcji.
Jedynym wyjątkiem jest to, że zawsze jesteśmy gotowi doradzić w sprawie opcji anonimowości. Ponadto jasno wyjaśniamy, jakie szczegóły incydentu należy podać, aby ułatwić zespołowi ds. zgodności szybkie zakończenie pracy.
Co dzieje się z informacjami o sprawie po jej zamknięciu?
Wszystkie informacje o sprawie w bazie danych należą do firmy.
Firmy niezależnie zatwierdzają zasady przechowywania danych.
Domyślnie wszelkie informacje na temat sprawy są przechowywane przez dwa miesiące po jej zamknięciu.
Następnie sprawa przechodzi procedurę czyszczenia: zapisywany jest tylko szkielet ważnych informacji, a system usuwa wszystkie nazwiska i dane osobowe.
Czy istnieje ryzyko utraty danych?
Tak, istnieje.
Zadbaliśmy jednak o to, aby je zminimalizować i zapewnić dodatkowe regularne kopie zapasowe zaszyfrowanych nośników danych.
Dodatkowo korzystamy z serwerów rozmieszczonych geograficznie w różnych lokalizacjach. Korzystamy wyłącznie z usług certyfikowanych dostawców, których poziom niezawodności potwierdzony jest dostępnością własnych procedur backupu i sprawnym zarządzaniem.
 |
Proces |
Komu przekazywane są informacje otrzymane od reporterów?
Informacje wprowadzone do systemu internetowego natychmiast trafiają do bazy danych firmy.
Firma samodzielnie decyduje o liście użytkowników systemu.
Ethicontrol nie ma fizycznej możliwości przesyłania informacji po ich zarejestrowaniu w bazie danych, a także nie ma prawa do przekazywania praw dostępu osobom, które nie zostały zidentyfikowane przez firmę jako użytkownicy systemu.
Jak długo trwa przetwarzanie zgłoszenia i kiedy można spodziewać się odpowiedzi?
Ethicontrol przetwarza wiadomości w mgnieniu oka.
W ten sposób, dostosowana do szybkości komunikacji, wiadomość automatycznie trafia na pulpit osoby odpowiedzialnej w firmie w ciągu 2-5 minut.
Ponadto wszystko zależy od szybkości zespołu reagującego i precyzji wiadomości.
Pierwsze pytania wyjaśniające mogą pojawić się w ciągu 72 godzin.
Jeśli informacje są wystarczające do przeprowadzenia dochodzenia, zespół reagujący może potrzebować od 3 do 15 dni roboczych na przetworzenie wiadomości. W związku z tym pierwszych wniosków i wyników należy spodziewać się w ciągu 30 dni od zarejestrowania wiadomości.
Oczywiście przypadki są różne, a szczególnie złożone incydenty mogą wymagać szczegółowych dochodzeń, które mogą trwać kilka miesięcy, a także mogą obejmować dziesiątki iteracji komunikacji między zgłaszającym a zespołem reagowania.
Zazwyczaj firmy ustanawiają własne procedury reagowania, wykorzystując lub modyfikując nasz typowy proces.
Niezależnie od specyfiki firmy, Ethicontrol uważa, że każda wiadomość powinna zostać przetworzona i rozwiązana nie dłużej niż dwa miesiące po jej zarejestrowaniu.
Czy jest Ethicontrol zaangażowany w wewnętrzne kontrole i dochodzenia? Jeśli nie, kto jest w nie zaangażowany?
Nie.
Ethicontrol jest jedynie odizolowanym pośrednikiem informacji między dziennikarzami a firmą.
Nie bierzemy udziału w wewnętrznych dochodzeniach firmy i nie mamy dostępu do materiałów dochodzeniowych. Dostarczamy narzędzie i jesteśmy odpowiedzialni za dwustronną komunikację, zachowanie anonimowości i efektywność procesu.
W jaki sposób sygnalista może otrzymać informację zwrotną?
Po skontaktowaniu się z Ethicontrol każdy sygnalista otrzymuje unikalny tajny kod wiadomości. Kod ten jest kodem dostępu do biura internetowego zgłaszającego oraz hasłem umożliwiającym anonimowy dostęp do informacji zawartych w wiadomości za pośrednictwem centrum kontaktowego.
Po wejściu na konto internetowe można zobaczyć
- szczegóły głównej wiadomości;
- status przetwarzania wiadomości;
- pytania i komentarze dotyczące wiadomości od zespołu reagowania;
- szacowaną datę następnej informacji zwrotnej lub zmiany statusu przetwarzania wiadomości.
Wszystkie te informacje są dostępne przez telefon, jeśli zadzwonisz na infolinię i podasz tajny kod wiadomości.
System automatycznie monitoruje wszelkie zmiany statusu wiadomości i generuje automatyczne powiadomienia, które natychmiast pojawiają się w biurze internetowym informatora.
Jeśli użytkownik zidentyfikował się i pozostawił swoje dane kontaktowe (e-mail, telefon), Ethicontrol wysyła powiadomienie e-mailem lub SMS-em z zaproszeniem do odwiedzenia konta internetowego w celu uzyskania informacji zwrotnej. Jeśli zaznaczyłeś możliwość otrzymywania połączeń telefonicznych, to gdy pojawi się informacja zwrotna, operatorzy centrum kontaktowego zadzwonią do Ciebie.
Czy infolinia świadczy usługi dla osób posługujących się językami obcymi?
Tak, pod warunkiem że funkcja ta jest uwzględniona w planie taryfowym Państwa firmy.
Podstawowym językiem, który nie wymaga dodatkowych opłat, jest angielski.