Preguntas más frecuentes de la denuncia de irreguladores
 |
General |
¿Quiénes son los informadores/denunciantes?
Los reporteros son personas que no son indiferentes a la organización, sus empleados o la región, que tienen información que puede beneficiar a la organización o ayudar a evitar daños, a sus empleados o a la región, y que, actuando con las mejores intenciones, quieren ayudar y están dispuestos a compartir información importante.
Ethicontrol permite a los informadores comunicar información de forma anónima y confidencial a la empresa, o identificarse ante el equipo de respuesta.
Anonimato significa que nadie conoce la identidad del informante: ni los representantes de Ethicontrol que recibieron el mensaje, ni el equipo de respuesta, ni otros representantes de la empresa.
La confidencialidad para la empresa prevé la revelación de su nombre a la empresa Ethicontrol, pero excluye la transferencia de esta información a terceros sin el consentimiento del informante. En tal situación, Ethicontrol actúa como intermediario entre el informante y la empresa, protegiendo el anonimato del informante.
Identificación significa que el informante revela su nombre durante el registro del mensaje y está dispuesto a cooperar con la organización de forma abierta e independiente, sin la mediación de Ethicontrol.
Sin embargo, la identificación no significa que todo el mundo deba saber quién dejó el mensaje. Toda la información sobre la denuncia y sobre los informantes es confidencial y Ethicontrol sólo da acceso a ella a los miembros autorizados de los equipos de respuesta de la empresa, que están obligados a observar el régimen de confidencialidad adecuado.
¿Para qué sirve una línea directa de denuncia de irregularidades? ¿Es para los empleados o para otras personas?
Por defecto, la línea de denuncia de irregularidades de Ethicontrol está destinada a cualquier parte interesada y no indiferente a la empresa: accionistas, empleados, clientes y proveedores, socios comerciales, antiguos empleados, familiares de empleados, residentes de los territorios circundantes y otros.
El público destinatario puede variar a petición de la empresa.
¿Cuál es el precio de los servicios de Ethicontrol?
Nuestro objetivo es ofrecer servicios a un coste inferior al de desarrollar y mantener una herramienta de este tipo por su cuenta.
En la página Precios, puede comprobar cómo funciona.
El coste del servicio depende principalmente del número de empleados de su empresa, ya que este es el factor principal de la carga de nuestros sistemas del centro de contactos y web. Se aplican cargos adicionales cuando se trabaja en varias jurisdicciones o cuando se desea mejorar nuestro proceso o sistema de forma significativa.
Cada caso es único, y estamos dispuestos a tener en cuenta los deseos y presupuestos de nuestros clientes en la medida de lo posible.
¿Ofrece Ethicontrol asesoramiento a los denunciantes?
No. No asesoramos sobre el contenido del mensaje ni sobre posibles acciones de seguimiento para el informador.
Además, no tenemos por qué entender las complejidades de cada organización y sus procesos para no inducirle a error.
La única excepción es que siempre estamos dispuestos a asesorarle sobre las opciones de anonimato. Además, explicamos claramente qué detalles del incidente deben facilitarse para facilitar que el equipo de cumplimiento termine su trabajo rápidamente.
 |
Anonimato |
¿Cómo se garantiza el anonimato y la confidencialidad?
Tres cosas garantizan su anonimato y confidencialidad.
La primera es NUESTRA AUTONOMÍA.
No dependemos de los propietarios, la dirección, los servicios de seguridad ni ningún otro empleado de su empresa. Nuestra autonomía nos permite llamar a las cosas por su nombre y no desviarnos de la tarea principal de nuestra empresa: la preservación de su anonimato y confidencialidad.
La segunda es NUESTRA PROTECCIÓN.
Nosotros también somos humanos y, como a usted, nos preocupa la seguridad de nuestra salud y nuestra vida. En consecuencia, la mejor manera de protegerse es no saber nada y no ser técnicamente capaz de aprender algo. "Política de conocimiento cero" es el principio que utilizamos cuando ideamos la arquitectura de nuestro sistema.
En nuestro sistema, la información está distribuida. Sólo podemos conocer un grano que es visible en la fase de registro de un mensaje, y hemos hecho todo lo posible para evitar que dicha información se almacene en algún lugar. No tenemos acceso a todo lo demás.
Esta es la garantía de nuestra seguridad y, al mismo tiempo, de su anonimato. Para más detalles, consulte la respuesta a la pregunta "¿Qué información conoce Ethicontrol sobre la empresa?", y consulte la sección Seguridad.
Tercero - SU y NUESTRA SEGURIDAD DE LA INFORMACIÓN.
Probablemente, esto debería ser lo primero.
Por un lado, si el propio denunciante viola normas sencillas de seguridad de la información, no puede haber garantías. Para permanecer en el anonimato, los denunciantes deben cumplir estrictamente las normas. Nuestras recomendaciones figuran en la sección Seguridad.
Por otra parte, como empresa de TI, nos tomamos muy en serio la seguridad de nuestra propia información. Por eso sólo seleccionamos contratistas certificados según las mejores normas internacionales, hacemos todo lo posible por mantener diversos sistemas de cifrado y seguridad, y aplicamos las mejores prácticas en nuestros propios procesos.
¿Puede alguien identificarme por llamada telefónica?
La tarea de Ethicontrol es ayudar a los denunciantes a preservar su anonimato (previa solicitud) no solo frente a la empresa, sino también frente a terceros en general, incluido nuestro servicio.
Para ello, nunca hacemos un seguimiento del número de llamadas entrantes, no grabamos las conversaciones telefónicas y nuestros empleados están formados para ayudarle a mantener el anonimato.
Para mantener el contacto con usted en el futuro, emitimos un código secreto único para cada persona que llama o visita el perfil web. Utilizando este código, podrá comprobar de forma independiente el estado de tramitación de los mensajes u obtener información sobre el caso sin identificarse en el futuro.
Le pedimos que respete las siguientes normas para que la tarea resulte lo menos complicada o costosa posible a quienes deseen identificarle:
- no realice llamadas desde el territorio de su organización;
- no realice llamadas desde los medios de comunicación que pertenezcan a su empresa o sobre los que se le notifique;
- no realice llamadas desde los medios de comunicación que utilizó para realizar llamadas a los medios de comunicación de su empresa (o sobre los que se le notifique);
- no realice llamadas en presencia de personas en las que no confíe;
- no realice llamadas en presencia de los medios de comunicación desde los que realizó llamadas a los medios de comunicación de su empresa (o sobre los que se le notifique);
- no transmita información que ayude a identificarle indirectamente.
El público destinatario puede variar a petición de la empresa.
¿Por qué me piden mis datos personales?
Aunque el sistema Ethicontrol está diseñado para trabajar eficazmente con denunciantes anónimos, la práctica demuestra que el contacto personal puede dar más de sí.
Por ejemplo, el ciclo de vida de los mensajes en los que el reportero se identificó dura un 40% menos de media que el de todos los demás.
Por eso, siempre estamos dispuestos a ofrecer a los denunciantes la oportunidad de identificarse y pedirles datos personales como el nombre, el número de contacto o el correo electrónico.
¿Qué incluye el anonimato y la protección de datos?
1. Nuestra independencia de la dirección de su empresa. No recopilamos ni proporcionamos información sobre los reporteros, que pueda utilizarse para rastrear o exponer los datos personales de los usuarios del sistema.
En consecuencia, nuestro sitio no utiliza cookies, no determina las direcciones IP y nuestro centro de contacto no determina el número de la persona que llama ni graba las conversaciones telefónicas. Nuestros operadores no hacen preguntas mediante las cuales la empresa pueda averiguar la identidad del denunciante, e incluso si el denunciante anónimo se revelara de algún modo, nos aseguraremos de que esto no figure en el sistema.
2. Protección de la transmisión de datos. Todos los datos transmitidos a través de la interfaz web se cifran mediante encriptación SSL.
3. Protección del anonimato. Cada denunciante recibe un código secreto para acceder a la oficina del denunciante y seguir en contacto con el equipo que responde a su mensaje de forma anónima.
4. Servidor independiente certificado. La base de datos de su empresa se aloja en un servidor de terceros.
Utilizamos únicamente servidores certificados que cumplen los requisitos de SOX 404, SAS 70, SSAE 16, así como PCI DSS 3.0., ISO 27000 e ISO 20000.
5. No tenemos acceso a sus datos. La arquitectura del sistema separa la base de datos de la aplicación para restringir el acceso de los empleados de Ethicontrol a la base de datos de incidentes de su empresa. Y el sistema, a su vez, registra cualquier acción para acceder a la base de datos.
6. Protección de datos personales según la Directiva 95/46/CE y la Directiva de protección de datos, así como la legislación nacional pertinente.
7. Cifrado y copia de seguridad de los datos en el servidor.
 |
Seguridad |
¿Qué información de la empresa "conoce" Ethicontrol?
En resumen, Ethicontrol sólo sabe de la empresa lo que se le permite saber de sí misma.
Una vez más, Ethicontrol no tiene derecho a difundir NINGUNA información sobre la empresa, incluido el hecho mismo de utilizar el servicio sin el permiso por escrito de la empresa.
En términos más generales, deberíamos empezar por la propia definición de "saber": entendámoslo como una oportunidad de registrar información, guardarla y acumularla, así como la capacidad de duplicarla más tarde, aplicarla, utilizarla o distribuirla.
En consecuencia, cuando hablamos de registro u obtención de información - Ethicontrol recibe información general sobre la empresa al registrarse y firmar un acuerdo de servicio. Dicha información incluye el nombre, la forma organizativa, los datos fiscales y bancarios, las personas de contacto, los medios de comunicación, la dirección, la ubicación y el nombre de las unidades organizativas, los nombres y los motivos de las acciones de la dirección autorizada, así como los nombres y las direcciones de correo electrónico de los usuarios del sistema web en nombre de las empresas.
Además, el centro de contacto de Ethicontrol recibe información sobre los incidentes que han causado la preocupación de los denunciantes. Contiene el tipo de incidente, qué ocurrió y cuándo, quién es el culpable, quién es el testigo, quién es la víctima, etcétera. Esta información pasa por nosotros, pero no la "recordamos".
Esto se debe al hecho de que toda la información que pasa por el sitio web o el centro de contacto va directamente a la base de datos que pertenece a su empresa.
"Directamente" significa que no se registra ni se guarda en ningún otro sitio. Solo guardamos información general sobre la hora y la duración del contacto, el tipo y el número del incidente, así como el código único del denunciante.
Además, por razones de seguridad de la información, estamos aplicando varias medidas para excluir la posibilidad de almacenar incluso un poco de información confidencial. Consulte la sección de preguntas frecuentes para más detalles.
No tenemos acceso permanente a la base de datos, y si se requiere mantenimiento, dicho acceso se produce previo acuerdo con la empresa y bajo la supervisión de sus especialistas técnicos. Al mismo tiempo, el sistema registra cualquier solicitud de acceso a los datos, y es fácil controlarnos.
El almacenamiento de sus datos en la base de datos de la empresa se organiza conforme a los requisitos de la legislación de la jurisdicción pertinente.
Por lo tanto, no disponemos de información sobre la empresa o los acontecimientos indicados en los informes de los denunciantes, y solo sabemos lo que se nos permite saber.
¿Qué garantías de seguridad tiene el periodista? ¿Cómo protegerse del acoso?
Entre las garantías de seguridad o protección frente a represalias por utilizar la línea de denuncia de irregularidades, a menudo se puede ver un compromiso por escrito de la dirección, la protección de los accionistas o la protección a través de tribunales y mecanismos de derecho civil o penal.
Sin embargo, no podemos llamar a estos métodos GARANTÍA.
En Ethicontrol creemos que la única garantía de seguridad del reportero es su total ANONIMATO.
Le recomendamos que se familiarice con la sección correspondiente de la página Pregunta-Respuesta.
¿Es fácil piratear el sistema?
Cualquier sistema puede ser pirateado: los hackers anónimos lo demuestran con el ejemplo de numerosos bancos estadounidenses o agencias gubernamentales de Estados Unidos.
Hemos diseñado el sistema de seguridad de forma que hackearlo resulte económicamente sensato, es decir, caro y lleva mucho tiempo.
Por ejemplo, para descifrar un mensaje cifrado con SSL enviado desde su navegador a través del servicio Ethicontrol, es necesario gastar la capacidad total de un enorme centro de datos, que debería funcionar durante al menos dos meses en un solo caso. El coste de un caso así se estima en millones de dólares.
Al mismo tiempo, al cabo de dos meses, según nuestro proceso típico, el mensaje ya debería haber sido procesado, verificado, investigado y cerrado, lo que reduce significativamente el coste de la divulgación de información confidencial.
¿Qué ocurre con la información y los datos que proporciono?
Toda la información que pasa por el sitio web o el centro de contacto va directamente a la base de datos que pertenece a su empresa.
"Directamente" significa que no se registra ni almacena en ningún otro sitio. Solo tenemos datos generales sobre la hora y la duración del contacto, el tipo y el número de incidencia, así como el código único del informante.
Además, por razones de seguridad de la información, borramos periódicamente la memoria temporal (caché) de los servidores del sistema web y de los terminales del centro de contacto para excluir la posibilidad de que se almacene siquiera un poco de información confidencial.
No tenemos acceso permanente a la base de datos. Cuando hay necesidad de mantenimiento, dicho acceso se produce con el permiso de la empresa y bajo la supervisión de especialistas técnicos. Al mismo tiempo, el sistema registra cualquier solicitud de acceso a los datos.
El almacenamiento de datos en la base de datos de la empresa se organiza conforme a los requisitos de la legislación de la jurisdicción pertinente.
La única excepción es que siempre estamos dispuestos a asesorarle sobre las opciones de anonimato. Además, explicamos claramente qué detalles del incidente deben facilitarse para facilitar que el equipo de cumplimiento termine su trabajo rápidamente.
¿Qué ocurre con la información del caso una vez cerrado?
Toda la información sobre el caso en la base de datos pertenece a la empresa.
Companies independently approve data storage policies.
Por defecto, toda la información sobre el caso se conserva durante dos meses tras el cierre del caso. Después, el caso se somete a un procedimiento de limpieza: solo se guarda un esqueleto de información importante, y el sistema borra todos los nombres y datos personales.
¿Existe riesgo de pérdida de datos?
Sí, hay.
Sin embargo, nos aseguramos de minimizarlo y de proporcionar copias de seguridad periódicas adicionales de los soportes de datos cifrados.
Además, utilizamos servidores con distribución geográfica en distintas ubicaciones. Solo utilizamos los servicios de proveedores certificados cuyo nivel de fiabilidad se confirma con la disponibilidad de sus propios procedimientos de copia de seguridad y una gestión sin problemas.
 |
Proceso |
¿A quién transmite la información recibida de los periodistas?
La información introducida en el sistema web pasa inmediatamente a la base de datos de su empresa.
La empresa decide la lista de usuarios del sistema de forma independiente.
Ethicontrol es físicamente incapaz de transferir información una vez registrada en la base de datos, y tampoco tiene derecho a transferir derechos de acceso a personas que no hayan sido identificadas por la empresa como usuarios del sistema.
¿Cuánto se tarda en tramitar la solicitud y cuándo hay que esperar el seguimiento?
Ethicontrol procesa sus mensajes de un vistazo.
Así, ajustado a la velocidad de comunicación, su mensaje llega automáticamente al escritorio de la persona responsable de la empresa en un plazo de 2 a 5 minutos.
Además, todo depende de la velocidad del equipo de reacción y de la precisión de su mensaje.
Las primeras preguntas aclaratorias pueden surgir en un plazo de 72 horas.
Si la información es suficiente para la investigación, el equipo de reacción puede tardar entre 3 y 15 días laborables en procesar el mensaje. En consecuencia, las primeras conclusiones y resultados deben esperarse en un plazo de 30 días tras el registro del mensaje.
Por supuesto, los casos difieren, y los incidentes especialmente complejos pueden requerir investigaciones detalladas que pueden durar varios meses y también pueden incluir docenas de iteraciones de comunicación entre el informador y el equipo de respuesta.
Normalmente, las empresas establecerán sus propios procedimientos de reacción utilizando o modificando nuestro proceso típico.
Independientemente de las particularidades de la empresa, los Ethicontrollers consideran que cualquier mensaje debe tramitarse y resolverse en un plazo no superior a dos meses desde su registro.
¿Participan en los controles e investigaciones internos? En caso negativo, ¿quién participa?
No.
Ethicontrol es solo un intermediario aislado de información entre los reporteros y la empresa.
No participamos en las investigaciones internas de la empresa y no tenemos acceso a los materiales de la investigación. Proporcionamos una herramienta y somos responsables de la comunicación bidireccional, la preservación del anonimato y la eficacia del proceso.
¿Cómo puede el periodista recibir comentarios?
Tras ponerse en contacto con Ethicontrol, cada denunciante recibe un código secreto exclusivo del mensaje. Este código es un código de acceso a la oficina web del denunciante y una contraseña para acceder de forma anónima a la información del mensaje a través del centro de contacto.
Al entrar en la cuenta web, puede ver:
- detalles del mensaje principal;
- el estado del tratamiento de su mensaje;
- preguntas y comentarios sobre su mensaje por parte del equipo de reacción;
- la fecha estimada de la próxima respuesta o cambio en el estado del tratamiento del mensaje.
Toda esta información está disponible por teléfono si se llama a la línea directa y se da el código secreto del mensaje.
El sistema supervisa automáticamente cualquier cambio en el estado del mensaje y genera notificaciones automáticas que aparecen inmediatamente en la oficina web del informador.
Si se identificó y dejó su información de contacto (correo electrónico, teléfono), Ethicontrol le envía una notificación por correo electrónico o SMS con una invitación a visitar la cuenta web para obtener feedback. Si indicó la posibilidad de recibir llamadas por teléfono, cuando aparezca el feedback, los operadores del centro de contacto le llamarán.
¿Presta el centro de llamadas servicios a hablantes de lenguas extranjeras?
Sí, siempre que esta función esté incluida en el plan de tarifas de su empresa.
La lengua básica que no requiere costes adicionales es el inglés.