expedientes-denuncias
sistema-interno-informacion
actividad-canal

Seguridad en un canal de denuncias

mysecway es un canal de denuncias que protege la identidad de los informantes y evita las fugas de información

La Ley 2/2023, de 20 de febrero, expresamente regula la necesidad de protección de la identidad de las personas informantes para evitar que puedan sufrir represalias o acoso; además es necesario evitar la fuga de información relacionada con los asuntos denunciados, que son de especial sensibilidad para cualquier organización. Mysecway implementa las siguientes medidas para garantizar estos y otros aspectos de la seguridad.

La importancia de la seguridad en mysecway

La Seguridad está y ha estado presente en todas las fases del ciclo de vida de la solución, desde su concepción, desarrollo, despliegue o mantenimiento, aplicando los criterios de seguridad por diseño y por defecto en todo momento.

Anonimato del informante

En mysecway el informante tiene tres opciones a la hora de abrir un expediente:

– Informar de forma anónima
– Informar como usuario registrado pero ocultando su identidad
– Informar como usuario registrado mostrando su identidad a los gestores del canal

Para el informante, el estar registrado le facilita el seguimiento de los expedientes abiertos, y mysecway garantiza la protección de su identidad. Una ventaja de informar como usuario registrado es que se facilitaría el proceso judicial en caso de que fuera necesario, ya que mediante orden judicial podría desvelarse la identidad a la fiscalía.

Por ello mysecway permite la opción de registrarse como usuario pero informar sin mostrar la identidad a los gestores del expediente.

Correos enviados desde canal de denuncias

El envío de correos electrónicos desde un canal de denuncias podría dar lugar a una trazabilidad entre éste y los servicios de correo que permitiese la identificación de los usuarios.

Por este motivo mysecway nunca envía correos electrónicos al informante si éste ha solicitado mantener oculta su identidad.

Así mismo, los correos electrónicos nunca incluyen de forma visible ninguna información relativa al expediente, tan solo enlaces que requerirán autenticación y autorización del usuario que desee acceder al expediente.

Registro de actividad respetando el anonimato

Es importante mantener un registro de toda la actividad en el canal de denuncias, y así lo requiere de hecho la regulación.

Si el informante eligió informar anónimamente, mysecway asegura que en los registros de actividad tanto la identidad del usuario como la dirección IP desde la que accedió sean inaccesibles a los gestores del canal.

Autenticación segura

Mysecway requiere a los gestores de expedientes del canal una autenticación de doble factor mediante una contraseña segura y una validación mediante un código de 6 dígitos enviado al usuario.

En modalidad premium el segundo factor puede ser un código proporcionado por una aplicación externa de autenticación, y al no requerir el envío de correo electrónico como en la modalidad básica, se puede aplicar no solo a los usuarios gestores de expedientes sino también a los informantes.

Seguridad de toda la información mediante claves de cifrado dinámicas

Toda la información del usuario queda cifrada en base de datos para que ni siquiera un administrador de los sistemas pueda acceder a los datos identificativos de los usuarios.

Del mismo modo toda la información aportada a un expediente (asunto, mensajes y archivos adjuntos) se almacena cifrada con claves generadas dinámicamente que por tanto no son accesibles ni siquiera por los administradores del sistema, de modo que la información solo pueda ser descifrada desde la aplicación una vez autenticado y autorizado el usuario que la solicita.

Visualización con marcas de agua para prevenir fugas de información mediante capturas de pantalla

En modalidad premium los mensajes se muestran con marca de agua generada dinámicamente para mostrar la fecha y hora y la dirección de correo del usuario que está accediendo a la información, lo que permitiría identificar una eventual captura de pantalla, actuando así de mecanismo de persuasión para que esto no ocurra.

Marcas de agua invisibles

También es posible entre las opciones premium la incorporación de una marca de agua invisible en la visualización de mensajes y documentos, de modo que haga más difícil su borrado si alguien quisiera difundir sin autorización una captura de pantalla.

Integración con soluciones IRM

Opcionalmente, los canales de información de mysecway pueden integrarse con la solución IRM (Information Rights Management) Prot-On (https://www.prot-on.com). Mediante esta integración, cuando un usuario (informante o gestor del canal) accede a un archivo adjunto al expediente, este está protegido con el IRM para que solamente los usuarios autorizados puedan acceder en modalidad de solo lectura.

Los archivos se muestran en el visor web del IRM con marca de agua según se ha explicado anteriormente. Los usuarios también podrán descargar el archivo pero este seguirá estando cifrado y siempre se requerirá la aplicación para su visualización.

Posibilidad de bloqueo de mensajes y archivos de forma previa a su eliminación

Mysecway permite el bloqueo de mensajes y archivos adjuntos que permite que solamente el responsable del canal pueda acceder a dicha información previamente a su eliminación automática.

Esto implementa el requerimiento regulatorio de que la información que, por ejemplo, pudiera violar la normativa en cuanto a protección de datos personales, sea eliminado inmediatamente del sistema, asegurando que esto ocurre con el conocimiento del responsable del canal.

Cierre de expedientes como no procedentes

Del mismo modo cuando una denuncia se considera no procedente por ejemplo porque afecte al ámbito de la privacidad de las personas y no al ámbito de las relaciones laborales, puede cerrarse como “no procedente”, lo que hará que el sistema la elimine automáticamente después de haber informado al responsable del canal.

Eliminación de metadatos de archivos adjuntos

Cuando el informante o los gestores adjuntan documentos a los expedientes, mysecway procesa los archivos antes de su almacenamiento no solo para cifrar la información, sino también para eliminar todos los metadatos que pudieran aportar información sobre la autoría del documento, poniendo el riesgo la protección de la identidad del informante.

Distorsión de voz en la grabación de mensajes

En la modalidad premium, los mensajes de voz que aportan informantes que desean mantenerse en el anonimato, se almacenan con un procesado previo de distorsión de voz que dificulta que se reconozca la identidad del informante.

Sellado de tiempo para garantizar la integridad y seguridad

Más allá de la protección de la identidad del informante o de evitar fugas de información, un aspecto fundamental de la seguridad es garantizar la integridad de la información.

Para ello mysecway ofrece en la modalidad premium la posibilidad de sellado de tiempo certificado por una entidad externa cualificada.

Dicho sellado de tiempo se aplica a toda la información aportada al expediente.

Infraestructura certificada en estándares de seguridad y calidad

La infraestructura sobre la que se ejecuta la aplicación y se almacena la información, reside en centros de datos en la Unión Europea, y están certificados como ENS, SOC2 tipo 2, ISO/IEC 27001:2013 y PCI-DSS.