Питання-відповіді
Загальні |
Хто такі заявники та анонімні викривачі?
Викривачі - це небайдужі особи до організації, її працівників чи регіону, які володіють інформацією, що може принести користь організації або допомогти уникнути заподіяння їй шкоди, її працівникам чи регіону та, діючи з кращих намірів, хочуть допомогти та готові поділитись важливою інформацією.
Етиконтроль дає можливість викривачам повідомляти інформацію анонімно, конфіденційно для компанії або ідентифікуючи себе для команди реагування.
Анонімність означає, що особа заявника є невідома нікому - ні представникам Етиконтроль, що приймали повідомлення, ні команді реагування, ні іншим представникам компанії.
Конфіденційність для компанії передбачає розкриття свого імені для компанії Етиконтроль, однак виключає передачу цієї інформації іншим особам без згоди викривача. За такої ситуації, Етиконтроль виступає посередником між заявником та компанією, захищаючи анонімність викривача.
Ідентифікація означає, що заявник розкриває своє ім'я під час реєстрації повідомлення і готовий відкрито та самостійно, без посередництва Етиконтроль, співпрацювати з організацією.
Однак, ідентифікація не означає, що всі повинні знати, хто лишав повідомлення. Вся інформація з повідомлення та про викривачів є конфіденційною й Етиконтроль надає доступ до неї лише авторизованим членам команд реагування компанії, які зобов'язані дотримуватись відповідного режиму секретності.
Для кого створюється гаряча лінія? Для співробітників або когось ще?
За замовчуванням, лінія довіри Етиконтроль призначена для будь-яких зацікавлених та небайдужих сторін компанії: власники акцій, співробітники, клієнти та постачальники, ділові партнери, колишні співробітники, родичі співробітників, жителі навколишніх територій та інші.
За бажанням компанії, цільова аудиторія може варіюватися.
Скільки коштують послуги Етиконтроль?
Наша мета - надавати послуги дешевше ніж витрати на створення і підтримку такого інструменту власними силами.
На сторінці Вартість ви можете в цьому переконатися самостійно.
Вартість наших послуг залежить, в першу чергу, від кількості співробітників у вашій компанії, оскільки це є головним фактором навантаження нашого контакт-центру та вебсистем. Додаткові витрати виникають при роботі в декількох юрисдикціях або при бажанні суттєвого доопрацювання нашого процесу чи системи.
Кожен випадок особливий і ми готові максимально врахувати побажання і бюджет наших клієнтів.
Чи надає Етиконтроль консультації та поради викривачам?
Ні. Ми не надаємо консультацій щодо суті повідомлення і можливих подальших дій для викривача.
Щобільше, ми не повинні розбиратися в складнощах кожної організації та її процесах, для того, щоб ні в якому разі випадково не ввести вас в оману.
Винятком є лише те, що ми завжди готові проконсультувати вас щодо збереження анонімності, або щодо того, які деталі інциденту необхідно повідомити, щоб команді реагування було легше оперативно виконати свою роботу.
Анонімність |
Як ви гарантуєте анонімність і конфіденційність?
Гарантією Вашої анонімності та конфіденційності є три речі.
Перша - НАША НЕЗАЛЕЖНІСТЬ.
Ми є незалежними від власників, керівництва, служб безпеки та будь-яких інших співробітників Вашої компанії. Наша незалежність дозволяє нам завжди називати речі своїми іменами й не відхилятися від головного завдання нашої компанії - збереження Вашої анонімності та конфіденційності.
Друга - НАША ЗАХИЩЕНІСТЬ.
Ми теж люди, і так само як і ви переживаємо з приводу збереження свого здоров'я й життя. Відповідно, найкращий спосіб убезпечити себе самих, це нічого не знати й не мати технічної можливості щось дізнатися. Саме цим принципом ми користувалися, коли придумували архітектуру нашої системи.
У нашій системі інформація розподілена. Ми можемо знати лише крупинку, яку видно на етапі реєстрації повідомлення, але ми зробили все можливе, щоб у такої інформації не було можливості десь зберегтися. До всього іншого ми доступу не маємо.
Це і є гарантія нашої захищеності та, одночасно, вашої анонімності.
Більш детально див. у відповіді на питання "Яку інформацію Етиконтроль знає про компанії?" в розділі Безпека.
Третя - ВАША і НАША ІНФОРМАЦІЙНА БЕЗПЕКА.
Напевно, це має бути на першому місці.
З одного боку, якщо сам викривач порушує прості правила інформаційної безпеки, то жодних гарантій бути не може. Щоб залишитися анонімними, заявники повинні суворо дотримуватися правил. Наші рекомендації вказані в розділі Безпека.
З іншого боку, ми як ІТ компанія дуже серйозно ставимося до власної інформаційної безпеки. І тому ми обираємо тільки сертифікованих за найкращими світовими стандартами підрядників, витрачаємо багато зусиль на різні системи шифрування, захисту і впроваджуємо кращі практики у власних процесах. Більш детально в розділі Безпека.
Чи може хтось ідентифікувати мене телефоном?
Завдання Етиконтроль - допомогти заявникам зберегти, при бажанні, свою анонімність, не тільки від компанії, але і взагалі від будь-яких третіх осіб, включно з нашою службою.
Для цього ми ніколи не відстежуємо номер вхідного дзвінка, не записуємо телефонні розмови, а наші співробітники натреновані допомогти Вам зберегти анонімність.
Щоб зберегти з вами зв'язок в майбутньому, ми видаємо унікальний секретний код кожному додзвонювачу або відвідувачу вебанкети. За цим кодом, ви зможете самостійно перевірити статус обробки повідомлення або отримати інформацію у справі, не ідентифікуючи себе надалі.
Просимо дотримуватися наступних правил, щоб максимально ускладнити або здорожчати завдання охочим вас ідентифікувати:
- не робіть дзвінків з території вашої організації;
- не робіть дзвінків із засобів зв'язку, які належать вашій компанії, або про які вона повідомлена;
- не робіть дзвінків із засобів зв'язку, з яких ви здійснювали дзвінки на засоби зв'язку вашої компанії або про які вона повідомлена;
- не робіть дзвінків у присутності осіб, яким ви не довіряєте;
- не робіть дзвінків у присутності засобів зв'язку, з яких ви здійснювали дзвінки на засоби зв'язку вашої компанії або про які вона повідомлена;
- не передавайте інформацію, яка допоможе вас побічно ідентифікувати.
Аналогічні рекомендації ми надаємо стосовно використання вебанкети.
Чому в мене запитують мої персональні дані?
Попри те, що система Етиконтроль розрахована для ефективної роботи з анонімними заявниками, практика показує, що особистий контакт є іноді більш ефективним.
Наприклад, життєвий цикл повідомлень, в яких викривач ідентифікував себе, в середньому, на 40% коротше всіх інших.
Тому, ми завжди готові надати можливість заявникам себе ідентифікувати та періодично запитуємо такі персональні дані як ім'я, контактний телефон або електронна пошта.
Що входить до захисту анонімності та даних?
1. Наша незалежність від керівництва вашої компанії. Ми не збираємо і не надаємо інформацію про викривачів, по якій можна відстежити або вирахувати особисті дані користувачів системи.
Відповідно, наш сайт не використовує cookies, не визначає ip адреси, а наш контакт центр не визначає номер абонента і не здійснює запис телефонних розмов. Наші оператори не ставлять питання, по яких компанія може дізнатися особу заявника, і навіть якщо анонім якимось чином себе розкрив, ми простежимо, щоб цього не було в системі.
2. Захист передачі даних. Всі дані які передаються через вебінтерфейс шифруються за допомогою SSL шифрування.
3. Захист анонімності. Кожен викривач отримує секретний код для доступу в кабінет заявника, щоб продовжити анонімно тримати зв'язок з командою, яка займається реагуванням на його повідомлення.
4. Сертифікований незалежний сервер. База даних вашої компанії розміщується на сервері третьої особи.
Ми використовуємо тільки сертифіковані сервери згідно з вимогами SOX 404, SAS 70, SSAE 16, а також PCI DSS 3.0., ISO 27000, ISO 20000.
5. Ми не маємо доступу до ваших даних. Архітектура системи розділяє базу даних від програми, з метою обмеження доступу співробітників Етиконтроль до бази даних інцидентів Вашої компанії. А система, своєю чергою, фіксує будь-які дії по доступу до бази даних.
6. Захист персональних даних згідно з вимогами ЄС Directive 95/46 / EC і Data Protection Directive, а також відповідного національного законодавства.
7. Шифрування і резервне копіювання даних на сервері.
Безпека |
Яку інформацію Етиконтроль знає про компанію (підприємство)?
Якщо коротко - Етиконтроль знає про компанію лише те, що компанія самостійно дозволила про неї знати.
Ще раз, Етиконтроль не має права розповсюджувати БУДЬ-ЯКУ інформацію про компанію, включаючи сам факт користування послугою, без письмового дозволу компанії.
Якщо ширше - то варто почати з самого визначення поняття "знати" - давайте це розуміти як можливість зареєструвати інформацію, її зберегти та накопичити, а також можливість її потім продублювати, застосувати, використати чи поширити.
Відповідно, коли говоримо про реєстрацію чи отримання інформації - Етиконтроль отримує загальну інформацію про компанію під час реєстрації та підписання договору на обслуговування. До такої інформації належать: назва, організаційна форма, податкові та банківські реквізити, контактні особи, засоби комунікації, адреса, розміщення та назва організаційних підрозділів, імена та підстави для дій уповноваженого керівництва, а також імена та електронні поштові адреси користувачів вебсистеми від імені компанії.
Далі, до контакт-центру Етиконтроль потрапляє інформація щодо інцидентів, що викликали занепокоєння викривачів.
Вона містить: вид інциденту, що трапилось, коли, хто винен, хто свідки, хто постраждалий та інше. Дана інформація проходить через нас, однак ми її "не запам'ятовуємо".
Це пов'язано з тим, що будь-яка інформація, що пройшла через вебсайт або контакт-центр напряму потрапляє в базу даних, яка належить вашій компанії.
"Напряму" позначає, що вона більше ніде не реєструється і не зберігається. У нас залишаються лише загальні дані про час і тривалість контакту, вид та номер інциденту, а також унікальний код заявника.
Крім цього, з міркувань інформаційної безпеки, ми здійснюємо ряд заходів, щоб виключити можливість збереження навіть біта конфіденційної інформації. Деталі див. в розділі Питання-Відповіді.
Ми не маємо постійного доступу до бази даних, і навіть за необхідності технічного обслуговування, такий доступ відбувається після узгодження з компанією і під наглядом її технічних фахівців.
Водночас система фіксує будь-які запити на доступ до даних. Зберігання ваших даних в базі даних компанії організовано відповідно до вимог законодавства відповідної юрисдикції.
Таким чином, ми не володіємо інформацією про компанію чи події, що зазначені в повідомленнях заявників і знаємо лише те, що нам дозволено.
Які гарантії безпеки для викривача? Як уберегтися від цькування?
Серед гарантій безпеки або захисту від переслідування за користування лінією довіри дуже часто можна побачити: письмове зобов'язання менеджменту, захист власників або ж захист за допомогою суду та цивільноправових або кримінально-правових механізмів.
Однак, такі методи ми не можемо назвати словом ГАРАНТІЯ.
Ми в Етиконтроль вважаємо, що єдиною гарантією безпеки заявника є його повна АНОНІМНІСТЬ.
Рекомендуємо вам ознайомитись з відповідним розділом на сторінці Питання-Відповіді.
Наскільки легко зламати систему?
Зламати можна будь-яку систему - доведено анонімними хакерами на прикладі численних американських банків чи держорганів США.
Ми розробили систему безпеки таким чином, щоб зробити злам системи економічно недоцільним - дорого і довго.
Наприклад, щоб розшифрувати зашифроване по технології SSL повідомлення, яке пересилається з вашого браузера через сервіс Етиконтроль, необхідно витратити потужності величезного дата-центру, що мав би працювати не менше двох місяців. Вартість такого завдання обчислюється мільйонами доларів.
Водночас через два місяці, згідно з нашим типовим процесом, повідомлення вже б мало бути оброблене, перевірене, розслідуване, відреаговане та закрите, зменшуючи в рази вартість розкритої конфіденційної інформації.
Що відбувається з моїми даними та інформацією, яку я надаю?
Будь-яка інформація через вебсайт або контакт-центр напряму потрапляє в базу даних, яка належить вашій компанії.
"Напряму" означає, що вона більше ніде не реєструється і не зберігається. У нас залишаються лише загальні дані про час і тривалість контакту, вид та номер інциденту, а також унікальний код заявника.
Крім цього, з міркувань інформаційної безпеки, ми очищаємо тимчасову пам'ять (кеш) серверів вебсистеми та терміналів контакт-центру регулярно, щоб виключити можливість збереження навіть біта конфіденційної інформації.
Ми не маємо постійного доступу до бази даних, і навіть за необхідності технічного обслуговування, такий доступ відбувається після узгодження з компанією і під наглядом її технічних фахівців. Водночас система фіксує будь-які запити на доступ до даних.
Зберігання ваших даних в базі даних компанії організовано відповідно до вимог законодавства відповідної юрисдикції.
Що відбувається з інформацією у справі після її закриття?
Вся інформація по справі, яка перебуває в базі даних, належить компанії.
Компанії самостійно затверджують політику зберігання даних.
За замовчуванням, будь-яка інформація по справі, зберігається ще два місяці після закриття справи. Після цього, справа піддається процедурі очищення: зберігається лише скелет важливої інформації, а всі імена та персональні дані видаляються.
Чи існує ризик втрати інформації?
Так, існує.
Однак, ми подбали, щоб його мінімізувати та передбачили додаткове регулярне резервне копіювання зашифрованих носіїв даних.
Окрім того, ми використовуємо сервери, що географічно розподілені в різних місцях. Ми користуємось послугами лише сертифікованих постачальників, чий рівень надійності підтверджується наявністю власних процедур резервування та безперебійного управління.
Процес |
Кому ви передаєте інформацію отриману від заявників?
Інформація заноситься до вебсистеми та відразу ж потрапляє в базу даних вашої компанії.
Перелік користувачів системи компанія визначає самостійно.
Етиконтроль фізично не має можливості передати інформацію після того, як вона була записана в базі даних, а також не має права передавати права доступу особам, що не були визначені компанією в якості користувачів системи.
Скільки часу займає обробка повідомлення і коли мені чекати на зворотній зв'язок?
Етиконтроль обробляє ваші повідомлення миттєво.
Таким чином, з поправкою на швидкість зв'язку, ваше повідомлення протягом 2-5 хвилин автоматично потрапляє на робочий стіл відповідальної особи компанії.
Далі все залежить від швидкості роботи команди реагування та рівня деталізації Вашого повідомлення.
Перші уточнювальні питання можуть виникнути протягом перших 72 годин.
Якщо інформації достатньо, то обробка повідомлення командою реагування може зайняти 3-15 робочих днів. Відповідно, перші висновки та результати слід очікувати протягом 30 днів після реєстрації повідомлення.
Звичайно, випадки бувають різні, а особливо важкі інциденти можуть вимагати детальних розслідувань, які можуть тривати кілька місяців, а також можуть нараховувати десятки ітерацій зв'язку між заявником і командою реагування.
Зазвичай, компанії затверджують свої власні регламенти реагування, використовуючи або модифікуючи наш типовий процес.
Незалежно від специфіки компанії, ми в Етиконтроль вважаємо, що будь-яке повідомлення повинно бути відпрацьовано і закрито не довше ніж за два місяці після його реєстрації.
Чи приймаєте ви участь у внутрішніх перевірках та розслідуваннях? Хто залучений?
Ні.
Етиконтроль є лише ізольованим провідником інформації між викривачами та компанією.
Ми не беремо участі в процесі внутрішніх перевірок компанії та не маємо доступу до матеріалів перевірок. Ми надаємо інструмент, відповідаємо за двосторонній зв'язок, за збереження анонімності й ефективність процесу.
Як викривач отримує зворотний зв'язок?
Кожен викривач, після звернення в Етиконтроль, отримує унікальний секретний код повідомлення. Даний код є кодом доступу до вебкабінету заявника і паролем для анонімного отримання інформації про повідомлення через контакт-центр.
Зайшовши через інтернет у вебкабінет ви можете побачити:
- деякі деталі первинного повідомлення;
- статус обробки вашого повідомлення;
- запитання та коментарі від команди реагування на повідомлення;
- орієнтовну дату появи наступного зворотного зв'язку або зміни статусу обробки повідомлення.
Усю цю інформацію також можна отримати за телефоном, зателефонувавши на телефон гарячої лінії та назвавши секретний код повідомлення.
Система автоматично відстежує будь-які зміни в статусі повідомлення і генерує автоматичні повідомлення, які відразу демонструються у вебкабінеті заявника.
Якщо ви ідентифікували себе і залишили Ваші контактні дані (електронна пошта, телефон), то Етиконтроль надішле вам повідомлення на пошту або СМС із запрошенням відвідати вебкабінет, щоб отримати зворотний зв'язок.
Якщо ви вказали можливість приймати дзвінки телефоном, то при появі зворотного зв'язку, оператори контакт-центру подзвонять вам самостійно.
Чи обслуговує контакт-центр тих, хто спілкується іноземною мовою?
Так, за умови, що дана можливість включена до обраного тарифного плану вашої компанії.
Базовими мовами, що не потребують додаткових витрат є, одночасно, українська та російська мови.