El nivel de seguridad del sistema informático es adecuado a la importancia de la información que se maneja en canales de denuncias y se obtiene mediante las siguientes medidas de seguridad:
Arquitectura de seguridad
El sistema cuenta con 2 áreas separadas: un área de denuncia, donde el informante registra su denuncia y consulta la respuesta; y un área de gestión de quejas, donde CTR y los clientes atienden las quejas. Cada área está optimizada para cumplir con los requisitos de seguridad específicos.
Anonimato de los denunciantes
Los denunciantes (Whistleblowers) tienen la opción de registrar su denuncia de forma anónima, es decir, sin facilitar sus datos identificativos. No hay seguimiento de la dirección IP del dispositivo del denunciante ni uso de cookies almacenadas en su dispositivo. Para realizar consultas adicionales sobre el avance de su denuncia, el denunciante solo recibe un número de protocolo aleatorio, el cual no contiene ningún dato que pueda identificarlo.
Control de acceso
En el área de gestión de reclamaciones, se autoriza el acceso de CTR y clientes proporcionando un nombre de usuario y contraseña individual. Al crear una contraseña, el sistema requiere el cumplimiento de criterios mínimos de seguridad relacionados con el tamaño y tipo de caracteres.
Segregación de funciones y tareas
Los derechos de acceso se diferencian según la responsabilidad de cada usuario: cliente, gestor de reclamaciones, administrador.
Prevención de la interceptación de datos
Todas la conexiones a los servicios web están encriptadas a través del protocolo HTTPS.
Integridad de los datos
Las copias de seguridad completas se realizan a diario y se cifran en el origen.
Actualizaciones de seguridad
Las correcciones de vulnerabilidades en los componentes de software de terceros utilizados en el sistema se controlan y se aplican de inmediato.
Gestión de personal
Los empleados están capacitados en temas de prevención de incidentes de seguridad que afectan sus rutinas de trabajo.
Certificación de la infraestructura
Aplicación alojada en un Data Center certificado según la norma ISO27001.
Protección de datos personales
Los datos se procesan de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (GDPR), a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y a la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
Normas internacionales para los sistemas de gestión
Además de todos los protocolos anteriormente informados, Control Total de Riesgos sigue las directrices de la Norma UNE-ISO 37002 – Sistemas de gestión de la denuncia de irregularidades. Esta norma proporciona orientación para que las organizaciones creen un sistema de gestión de la denuncia de irregularidades basado en los principios de confianza, imparcialidad y protección.