Вопрос-ответ

Общие

• Кто такие информаторы и анонимные информаторы?

  Информаторы - это неравнодушные лица по отношению к организации (компании), ее работникам или региону, которые обладают информацией, способной принести пользу организации или помочь избежать причинения вреда ее работникам или региону и, действуя из лучших намерений, желают помочь и готовы поделиться важной информацией.

  Этиконтроль дает возможность информаторам сообщать информацию анонимно, конфиденциально для компании или идентифицируя себя для команды реагирования.

  Анонимность означает, что личность информатора остается неизвестной никому: ни представителям Этиконтроль, принимавших сообщение, ни команде реагирования, ни другим представителям компании.

  Конфиденциальность от компании предполагает раскрытие своего имени для компании Этиконтроль, однако исключает передачу этой информации другим лицам без согласия информатора. В такой ситуации Этиконтроль выступает посредником между информатором и компанией, защищая анонимность информатора.

  Идентификация означает, что источник раскрывает свое имя при регистрации сообщения и готов открыто и самостоятельно, без посредничества Этиконтроль, сотрудничать с организацией.

  Однако, идентификация не означает, что все должны знать, кто оставлял сообщения. Вся информация из сообщения, а также любая информаци об информаторе является конфиденциальной. Этиконтроль предоставляет доступ к конфиденциальной информации только авторизованным членам команд реагирования компании, которые обязаны придерживаться соответствующего режима секретности.

• Для кого создается горячая линия? Для сотрудников или кого-то еще?

  По умолчанию, линия доверия Этиконтроль предназначена для любых заинтересованных и небезразличных сторон компании: собственники акций, сотрудники, клиенты и поставщики, деловые партнеры, бывшие сотрудники, родственники сотрудников, жители окружающих территорий и другие.
  По желанию компании, целевая аудитория может варьироваться.

• Сколько стоят услуги Этиконтроль?

  Наша цель - предоставлять услуги дешевле чем затраты на создание и поддержание такого инструмента собственными силами.
  На странице Стоимость Вы можете в этом самостоятельно убедится.

  Стоимость наших услуг зависит в первую очередь от количества сотрудников в Вашей компании, так как это главный фактор нагрузки нашего контакт-центра и веб-систем. Дополнительные затраты возникают при работе в нескольких юрисдикциях или при желании существенной доработки нашего процесса или системы.

  Каждый случай особенный и мы готовы максимально учесть пожелания и бюджет наших клиентов.

• Предоставляет ли Этиконтроль консультации и советы информаторам?

  Нет. Мы не предоставляем консультаций относительно сути сообщения и возможных последующих действий для информатора.
  Более того, мы не должны разбираться в сложностях каждой организации и ее процессах, чтобы ни в коем случае не ввести Вас в заблуждение.

  Исключением является лишь, то что мы всегда готовы проконсультировать Вас и помочь Вам сохранить свою анонимность или какие детали инцидента необходимо сообщить, чтобы команде реагирования было легче оперативно выполнить свою работу.

Анонимность

• Как вы гарантируете анонимность и конфиденциальность?

  Гарантиями Вашей анонимности и конфиденциальности являются три вещи.

  Первое - НАША НЕЗАВИСИМОСТЬ.
  Мы являемся независимыми от собственников, руководства, служб безопасности и любых других сотрудников Вашей компании. Наша независимость позволяет нам всегда называть вещи своими именами и не отклоняться от главной задачи нашей компании - сохранения Вашей анонимности и конфиденциальности.

  Второе - НАША ЗАЩИЩЕННОСТЬ.
  Мы тоже люди и, также как и Вы, сильно переживаем по поводу сохранности своего здоровья и жизни. Соответственно, лучший способ обезопасить себя самих - это ничего не знать и не иметь технической возможности что-то узнать. Именно этим принципом мы пользовались, когда придумывали архитектуру нашей системы.
  В нашей системе информация разделена. Мы можем знать лишь крупинку, которая видна на этапе регистрации сообщения, и мы сделали все возможное, чтобы у такой информации не было возможности где-то сохраниться. Ко всему остальному мы доступа не имеем.
  Это и есть гарантия нашей защищенности и, одновременно, Вашей анонимности. Более детально см. в ответе на вопрос "Какую информацию Этиконтроль знает о компании?" в разделе Безопасность.

  Третье - ВАША и НАША ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.
  Наверное, это должно быть на первом месте.
  С одной стороны, если сам информатор нарушает простые правила информационной безопасности, то никаких гарантий быть не может. Чтобы остаться анонимными, информаторы должны строго придерживаться правил. Наши рекомендации указаны в разделе Безопасность.

  С другой стороны, мы как ИТ компания очень серьезно относимся к собственной информационной безопасности. И поэтому мы выбираем только сертифицированных по лучшим мировым стандартам подрядчиков, тратим много усилий на различные системы шифрования, защиты и внедряем лучшие практики в собственных процессах. Более детально в разделе Безопасность.

• Может ли кто-то идентифицировать меня по телефону?

  Задача Этиконтроль - помочь информаторам сохранить, при желании, свою анонимность, не только от компании, но и вообще от любых третьих лиц, включая нашу службу.

  Для этого, мы никогда не отслеживаем номер входящего звонка, мы не записываем телефонные разговоры, а наши сотрудники натренированы помочь Вам сохранить анонимность.

  Чтобы сохранить с Вами связь в будущем, мы выдаем уникальный секретный код каждому звонящему. По этому коду, Вы сможете самостоятельно проверить статус обработки сообщения или получить информации по делу, не идентифицируя себя в дальнейшем.

  Просим придерживаться следующих правил, чтобы максимально усложнить или удорожить задачу желающим Вас идентифицировать:
  *не совершайте звонков с территории вашей организации;
  *не совершайте звонков со средств связи, которые принадлежат вашей компании, или о которых она уведомлена;
  *не совершайте звонков со средств связи, с которых вы совершали звонки на средства связи вашей компании или о которых она уведомлена;
  *не совершайте звонков в присутствии лиц, которым вы не доверяете;
  *не совершайте звонков в присутствии средств связи, с которых вы совершали звонки на средства связи вашей компании или о которых она уведомлена;
  *не передавайте информацию, которая поможет вас косвенно идентифицировать.

• Почему у меня спрашивают мои персональные данные?

  Несмотря на то, что система Этиконтроль рассчитана для эффективной работы с анонимными информаторами, практика показывает, что личный контакт в некоторых случаях более эффективен.
  Например, жизненный цикл сообщений, в которых информатор идентифицировал себя, в среднем, на 40% короче всех остальных.

  Поэтому, мы всегда готовы предоставить возможность информаторам себя идентифицировать и периодически спрашиваем такие персональные данные как имя, контактный телефон или электронная почта.

• Что входит в защиту анонимности и данных?

  1. Наша независимость от руководства Вашей компании. Мы не собираем и не предоставляем информацию об информаторах, по которой можно отследить или вычислить личные данные пользователей системы.

  Соответственно, наш сайт не использует cookies, не определяет ip адреса, а наш контакт центр не определяет номер звонящего и не производит запись телефонных разговоров. Наши операторы не задают вопросы, по которым компания может узнать личность информатора, и даже если анонимный информатор каким-то образом себя раскрыл, мы проследим чтобы этого не было в системе.

  2. Защита передачи данных. Все данные которые передаются через веб-интерфейс шифруются при помощи SSL шифрования.

  3. Защита анонимности. Каждый информатор получает секретный код для доступа в кабинет информатора, чтобы продолжить анонимно держать связь с командой, которая занимается реагированием на его сообщение.

  4. Сертифицированный независимый сервер. База данных вашей компании размещается на сервере третьего лица.
  Мы используем только сертифицированные серверы согласно требованиям SOX 404, SAS 70, SSAE 16, а также PCI DSS 3.0., ISO 27000, ISO 20000.

  5. Мы не имеем доступа к Вашим данным. Архитектура системы разделяет базу данных от приложения, с целью ограничения доступа сотрудников Этиконтроль к базе данных инцидентов Вашей компании. А система, в свою очередь, фиксирует любые действия по доступу к базе данных.

  6. Защита персональных данных согласно требований ЕС Directive 95/46/EC и Data Protection Directive, а также соответствующего национального законодательства.

  7. Шифрование и резервное копирование данных на сервере.

Безопасность

• Какую информацию Этиконтроль знает о компании?

  Если коротко - Этиконтроль знает о компании лишь то, что компания самостоятельно позволила о ней знать.

  Еще раз, Этиконтроль не имеет права распространять ЛЮБУЮ информацию о компании, включая сам факт пользования услугой без письменного разрешения компании.

  Если шире - то стоит начать с самого определения понятия «знать» - давайте это понимать как возможность зарегистрировать информацию, её сохранить и накопить, а также возможность её потом продублировать, применить, использовать или распространить.

  Соответственно, когда говорим о регистрации или получения информации - Этиконтроль получает общую информацию о компании при регистрации и подписании договора на обслуживание. К такой информации относятся: название, организационная форма, налоговые и банковские реквизиты, контактные лица, средства коммуникации, адрес, размещения и название организационных подразделений, имена и основания для действий уполномоченного руководства, а также имена и электронные почтовые адреса пользователей веб-системы от имени компании.

  Далее, в контакт-центр Этиконтроль, попадает информация об инцидентах, вызвавших беспокойство информаторов. Она содержит: вид инцидента, что случилось, когда, кто виноват, кто свидетели, кто пострадавший и прочее. Данная информация проходит через нас, но мы её "не запоминаем".
  Это связано с тем, что любая информация, прошедшая через веб-сайт или контакт-центр напрямую попадает в базу данных, которая принадлежит Вашей компании.
  "Напрямую" обозначает, что она больше нигде не регистрируется и не сохраняется. У нас остаются только общие данные о времени и длительности контакта, вид и номер инцидента, а также уникальный код информатора.
  Кроме этого, из соображений информационной безопасности, мы осуществляем ряд мер, чтобы исключить возможность сохранения даже бита конфиденциальной информации. Детали см. в разделе Вопросы-Ответы.
  Мы не имеем постоянного доступа к базе данных, а при необходимости технического обслуживания, такой доступ происходит после согласования с компанией и под наблюдением её технических специалистов. В то же время, система фиксирует любые запросы на доступ к данным и нас легко проверить.
  Хранение Ваших данных в базе данных компании организовано в соответствии с требованиями законодательства соответствующей юрисдикции.

  Таким образом, мы не располагаем информацией о компании или событиях, указанных в сообщениях информаторов и знаем только то, что нам разрешено.

• Какие гарантии безопасности для информатора? Как уберечься от травли?

  Среди гарантий безопасности или защиты от преследования за пользование линией доверия очень часто можно увидеть:
  письменное обязательство менеджмента,
  защита акционеров или же защита с помощью суда и гражданско-правовых или уголовно-правовых механизмов.

  Однако, мы не можем такие методы назвать словом ГАРАНТИЯ.

  Мы в Этиконтроль считаем, что единственной гарантией безопасности информатора является его полная АНОНИМНОСТЬ.

  Рекомендуем Вам ознакомиться с соответствующим разделом на странице Вопрос-Ответ.

• Насколько легко взломать систему?

  Сломать можно любую систему - доказано анонимными хакерами на примере многочисленных американских банков или госорганов США.

  Мы разработали систему безопасности таким образом, чтобы сделать взлом системы экономически нецелесообразным - дорого и долго.

  Например, чтобы расшифровать зашифрованное по технологии SSL сообщение, пересылаемое с Вашего браузера через сервис Этиконтроль, необходимо потратить суммарные мощности огромного дата-центра, который должен работать не менее двух месяцев лишь на одну задачу. Стоимость такой задачи исчисляется миллионами долларов.

  В то же время, через два месяца, согласно нашего типового процесса, к тому времени, сообщение уже должно быть обработано, проверено, расследовано и закрыто, уменьшая в разы стоимость раскрытой конфиденциальной информации.

• Что происходит с моими данными и информацией, которую я предоставляю?

  Любая информация через веб-сайт либо контакт-центр напрямую попадает в базу данных, которая принадлежит Вашей компании.
  "Напрямую" обозначает, что она больше нигде не регистрируется и не хранится. У нас остаются лишь общие данные о времени и длительности контакта, вид и номер инцидента, а также уникальный код информатора.

  Кроме этого, из соображений информационной безопасности, мы очищаем временную память (кэш) серверов веб-системы и терминалов контакт-центра регулярно, чтобы исключить возможность сохранения даже бита конфиденциальной информации.

  Мы не имеем постоянного доступа к базе данных, и даже при необходмости технического обслуживания, такой доступ происходит после согласования с компанией и под присмотром ее технических специалистов. В то же время, система журналирует любые запросы на доступ к данным.

  Само хранение Ваших данных в базе данных компании организовано в соответствии с требования законодательства соответствующей юрисдикции.

• Что происходит с информацией по делу после его закрытия?

  Вся информация по делу, находящаяся в базе данных, принадлежит компании.
  Компании самостоятельно утверждают политику хранения данных.

  По умолчанию, любая информация по делу, хранится еще два месяца после закрытия дела. После этого, дело подвергается процедуре очистки: сохраняется лишь скелет важной информации, а все имена и персональные данные удаляются.

• Существует ли риск потери информации?

  Да, существует.
  Однако, мы позаботились, чтобы его минимизировать и предусмотрели дополнительное регулярное резервное копирование зашифрованных носителей данных.
  Кроме того, мы используем серверы, географически распределенные в разных местах. Мы пользуемся услугами только сертифицированных поставщиков, чей уровень надежности подтверждается наличием собственных процедур резервирования и бесперебойного управления.

Процесс

• Кому вы передаете информацию полученную от информаторов?

  Информация заносится в веб-систему и сразу же попадает в базу данных Вашей компании.
  Перечень пользователей системы компания определяет самостоятельно.

  Этиконтроль физически не имеет возможности передать информацию после того, как она была записана в базе данных, а также не имеет права передавать права доступа лицам, которые не были определены компанией в качестве пользователей системы.

• Сколько времени занимает обработка сообщения и когда мне ждать обратную связь?

  Этиконтроль обрабатывает Ваши сообщения мгновенно.

  Таким образом, с поправкой на скорость связи, Ваше сообщение в течении 2-5 минут автоматически попадает на рабочий стол ответственного лица компании.
  Далее все зависит от скорости работы команды реагирования и уровня детализации Вашего сообщения.

  Первые уточняющие вопросы могут возникнуть в течении первых 72 часов.

  Если информации достаточно, то обработка сообщения командой реагирования и может занять 3-15 рабочих дней. Соответственно, первые выводы и результаты следует ожидать в течении 30 дней после регистрации сообщения.

  Конечно, случаи бывают разные, а особо тяжелые инциденты могут требовать детальных расследований, которые могут длиться несколько месяцев, а также могут насчитывать десятки итераций связи между информатором и командой реагирования.

  Обычно, компании утверждают свои собственные регламенты реагирования, используя или модифицируя наш типовый процесс.

  Независимо от специфики компании, мы в Этиконтроль считаем, что любое сообщения должно быть отработано и закрыто не дольше чем два месяца после его регистрации.

• Вовлекаетесь ли вы в процесс расследований? Кто вовлечен?

  Нет.
  Этиконтроль является лишь изолированным проводником информации между информаторами и компанией.
  Мы не принимаем участие в процессе внутренних расследований компании и не имеем доступа к материалам следствия. Мы предоставляем инструмент, отвечаем за двустороннюю связь, за сохранение анонимности и эффективность процесса.

• Как информатор получает обратную связь?

  Каждый информатор, после обращения в Этиконтроль, получает уникальный секретный код сообщения. Данный код является кодом доступа к веб-кабинету информатора и паролем для анонимного получения информации о сообщении через контакт-центр.
  Зайдя через интернет в веб-кабинет Вы можете увидеть:
  * некоторые детали первичного сообщения;
  * статус обработки Вашего сообщения;
  * вопросы и комментарии от команды реагирования на сообщение;
  * ориентировочную дату появления следующей обратной связи либо изменения статуса обработки сообщения.
  Всю эту информацию также можно получить по телефону позвонив на телефон горячей линии и назвав секретный код сообщения.

  Система автоматически отслеживает любые изменения в состоянии сообщения и генерирует автоматические уведомления, которые сразу показываются у веб-кабинете информатора.

  Если Вы идентифицировали себя и оставили Ваши контактные данные (электронная почта, телефон), то Этиконтроль вышлет Вам уведомление на почту либо СМС с приглашением посетить веб-кабинет чтобы получить обратную-связь. Если Вы указали возможность принимать звонки по телефону, то при появлении обратной связи, операторы контакт-центра позвонят Вам самостоятельно.

• Обслуживает ли контакт-центр звонящих на иностранных языках?

  Да, при условии, что данная возможность включена в тарифный план Вашей компании.
  Базовыми языками, не требующими дополнительных затрат, являются, одновременно, украинский и русский языки.