Twierdzimy, że Sygnanet to prawdziwie poufny system do obsługi zgłoszeń od sygnalistów i zarządzania nimi. Co to znaczy „prawdziwie poufny”? Na czym polega szyfrowanie zgłoszeń i korespondencji? Z czym się porównujemy?
Szyfrowanie zgłoszeń i korespondencji w Sygnanet – gwarantujemy poufność na wielu poziomach
Dostęp do treści zgłoszeń i załączników
Nie mamy dostępu do treści zgłoszeń wysyłanych do Państwa przez sygnalistów, ani do treści załączników dodawanych przez sygnalistów do zgłoszeń. Wszystkie zgłoszenia i znaczniki są szyfrowanie lokalnie, na urządzeniu sygnalisty, nie na naszym serwerze. Proszę zwrócić na to uwagę gdzie (na jakim etapie) dostawca oprogramowania szyfruje zgłoszenie i załączniki. Jeśli dopiero na serwerze oznacza to, że ma dostęp do treści zgłoszenia oraz do treści załączników przed zaszyfrowaniem. To nas wyróżnia. Sygnanet jest wynikiem naszej pracy jako dostawcy oprogramowania szyfrującego dokumenty i pozwala szyfrować na wcześniejszym etapie niż inne programy szyfrujące zgłoszenia.
Co za tym idzie – do treści zgłoszenia i ewentualnych załączników ma dostęp jedynie osoba zgłaszająca (sygnalista) i odbierająca zgłoszenie. Każde zgłoszenie odbiorca zgłoszeń musi odszyfrować. Używa w tym celu hasła, które tylko on zna. Hasło to odbiorca zgłoszenia ustala podczas rejestracji w systemie.
Korespondencja ze zgłaszającym
Sygnalista otrzymuje możliwość korespondowania z odbiorcą zgłoszeń poprzez skrzynkę odbiorcza sygnalisty. Login i hasło są ustalane w momencie wysyłki zgłoszenia. Każdy sygnalista otrzymuje indywidualny login i hasło, które dotyczą tylko i wyłącznie tego jedynego zgłoszenia. Serwer nie przechowuje haseł lecz wynik działania funkcji jednokierunkowej na treści hasła. Oznacza to, że serwer może sprawdzić, czy hasło jest poprawne nie znając treści hasła.
Serwer nie przechowuje haseł
Jako dostawcy oprogramowania nie tylko nie mamy dostępu do treści zgłoszeń i załączników przesyłanych do Państwa przez sygnalistów. Nie mamy dostępu także do Państwa hasła służącego do logowania w systemie i odszyfrowywania zgłoszeń. Podobnie jak w przypadku hasła sygnalisty, serwer nie przechowuje haseł lecz wynik działania funkcji jednokierunkowej na treści hasła.
Szyfrowanie na serwerze
Proszę zapamiętać także, że wszystkie zgłoszenia znajdujące się w systemie przechowujemy w zaszyfrowanej formie. Tylko osoba posiadająca hasło ma do nich dostęp. Dotyczy to zgłoszeń dopiero otrzymanych, w trakcie procedowania oraz zakończonych spraw.
Kontrola dostępu
Niech Państwa uwadze nie umknie także fakt, że każda osoba w Państwa firmie, która otrzyma dostęp do panelu Sygnanet, może mieć inne uprawnienia. Oznacza to, że dany użytkownik może mieć dostęp tylko do określonych czynności. Na przykład nie może zarządzać całym systemem albo ma dostęp jedynie do wybranych zgłoszeń. To kolejna użyteczność, która chroni treść zgłoszeń i załączniki przed niepowołanym dostępem.
Ważny jest także fakt, że nie wystarczy zalogować się do systemu, aby procedować zgłoszenia. Każde zgłoszenie, do którego chcemy mieć dostęp należy dodatkowo odszyfrować swoim hasłem.
Jakie algorytmy wykorzystujemy do szyfrowania zgłoszeń i załączników w Sygnanet?
Dla bezpieczeństwa treści raportów i załączników proces szyfrowania i deszyfrowania oparliśmy o algorytm RSA-4096, wykorzystywany na całym świecie do utajniania informacji i uznany za standard bezpieczeństwa w kryptografii. Sygnanet używa również biblioteki System.Security.Cryotography zgodnej z zaleceniem OWASP i posiadającej certyfikację FIPS.
Algorytm szyfrowania RSA składa się z trzech części: generowania klucza, szyfrowania i deszyfrowania. W pierwszym etapie tworzona jest para kluczy – prywatny i publiczny. Klucz publiczny używamy do szyfrowania plików, natomiast klucz prywatny do ich deszyfrowania. 4096 to długość klucza. W algorytmie RSA klucz publiczny to para liczb. Jedna z nich jest mała, natomiast druga ma długość od 512 bitów do 4096 bitów (nie stosuje się dłuższych kluczy, ponieważ znacząco wydłużają czas szyfrowania i deszyfrowania). Klucze 2048 bitowe to klucze do zastosowań wojskowych. Nasz klucz ma aż 4096 bitów czyli ponad 1200 cyfr. Reasumując – szyfrowanie asymetryczne polega na tym, że każdy kto wejdzie w posiadanie klucza publicznego, może nim zaszyfrować dowolny plik czy katalog, ale tylko jedna osoba, która zna klucz prywatny, może tę wiadomość odszyfrować. To tak, jakbyśmy mieli drzwi na zatrzask – każdy może je zamknąć, ale tylko osoba posiadająca klucz wejdzie do środka.
Co to znaczy, że korespondencję szyfrujemy na urządzeniu użytkownika (sygnalisty, odbiorcy), nie na naszym serwerze?
Jeśli kiedykolwiek szyfrowaliście Państwo pliki online, z pewnością jesteście Państwo przyzwyczajeni do typowego procesu, w którym plik jest przekazywany na serwer i tam szyfrowany. Wmawia się nam w takich przypadkach, że to proces bezpieczny, ponieważ korzystamy z szyfrowanego łącza. Nic bardziej mylnego.
Otóż plik z jawną treścią zgłoszenia jest bezpiecznie przekazywany na serwer, gdzie na jego podstawie tworzony jest nowy plik zaszyfrowany i ten jest przechowywany. A co się dzieje z plikiem przekazanym od nadawcy? Jaką mamy pewność, że został skasowany? Jaką mamy gwarancję, że nie odnajdzie go administrator serwisu lub złośliwe oprogramowanie? A przecież taka sama sytuacja powstaje w momencie odszyfrowywania pliku i przekazywania do odbiorcy. Co się dzieje z odszyfrowanym plikiem pozostającym na serwerze po jego przekazaniu do odbiorcy? Czy na takim serwerze rzeczywiście treści zgłoszeń pozostają poufne? Dlaczego mielibyśmy być skazani na zapewnienia właściciela serwisu o organizacyjnych zabezpieczeniach, zamiast na rozwiązania technologicznie jednoznaczne?
W serwisie Sygnanet szyfrowanie zgłoszenia jest wykonywane na komputerze sygnalisty, czyli tylko tam jest jawne, gdzie powstało. W postaci zaszyfrowanej jest przekazywane na serwer. Pobiera je uprawniony odbiorca na swój komputer i tu odszyfrowuje. Czyli w postaci jawnej jest uwidocznione tylko osobie, dla której było przeznaczone i w jego miejscu pracy.
Który serwis jest więc rzeczywiście bezpieczny i poufny dla treści zgłoszeń?
Możemy pomóc Ci wdrożyć szyfrowany i prosty w obsłudze kanał do sygnalizowania nieprawidłowości w Twojej organizacji, dzięki któremu spełnisz wymagania prawne. Umów się na prezentację systemu Sygnanet 1 na 1 lub napisz do nas na kontakt@sygnanet.pl
Przeczytaj także:
Ustawa o ochronie sygnalistów. Jak spełnić nowe obowiązki prawne i uniknąć kar
Pomoc dla sygnalisty – nowa platforma informacyjna
Dowiedz się więcej: Wszystko o Sygnanet