Anweisungen zur Zusammenstellung eines Whistleblowing -Berichts

Die Anweisungen zur Zusammenstellung eines Whistleblowing -Berichts sind nachstehend beschrieben

1. SAMMLUNG DES BERICHTS

Der Whistleblower leitet die Meldeschritte in Übereinstimmung mit der von dem für die Verarbeitung Verantwortlichen erlassenen "Whistleblowing-Verordnung" ein.

Der Whistleblower greift über einen Link, der unter der URL https://www.iusprivacy.eu/whistleblowing/whistleblowing/902710428/700015181/DE/ im unteren Bereich der Website des für die Verarbeitung Verantwortlichen zu finden ist, auf die Schnittstelle der Whistleblowing-Plattform zu, die zu diesem Zweck eingerichtet wurde, und gibt die Meldung ab.

Der Reporter kann über die Plattformschnittstelle:

  • den Bericht unter Angabe ihrer persönlichen Identifikations- und Kontaktdaten zu verfassen oder alternativ einen anonymen Bericht zu verfassen;

  • das rechtswidrige Verhalten, von dem er/sie im Rahmen seiner/ihrer Tätigkeit Kenntnis erlangt hat, detailliert zu beschreiben und dabei die von der Whistleblowing-Plattform geforderten Angaben zu machen, die für die Untersuchung der Meldung nützlich sind, oder alternativ eine Audiodatei aufzunehmen und zu übermitteln, in der der Verstoß beschrieben wird;

  • Geben Sie alle Themen an und stellen Sie alle anderen Elemente zur Verfügung, die zur sicheren Überprüfung des Gemeldeten beitragen können, indem Sie ebenfalls Unterlagen (Anhänge) einreichen;

  • mit Hilfe eines speziellen Passworts, das bei der Eingabe angegeben wurde, auf die zuvor eingegebene Meldung zugreifen, um den Stand des gemeldeten Verstoßes abzufragen und/oder Mitteilungen von/an den autorisierten SO zu lesen/schreiben.

 Die bei der Eingabe des Berichts erhobenen personenbezogenen Daten werden im Folgenden beschrieben:

Bericht-ID

Ganzes

Unternehmen Reporting System ID

Ganzes

ID des Eigentümers des Signalsystems

Ganzes

Datum und Uhrzeit der Eingabe des Berichts

Datum

Berichtssitzung

Chiffre

Privates Interesse an der Berichterstattung

Chiffre

Teilnahme an der Straftat

Chiffre

Name und Nachname des Meldenden (falls nicht anonym)

Chiffre

Art der Kommunikation (falls nicht anonym)

Chiffre

E-Mail des Reporters (falls nicht anonym)

Chiffre

Telefonvorwahl der meldenden Partei (falls nicht anonym)

Chiffre

Telefonnummer des Meldenden (falls nicht anonym)

Chiffre

Büro/Funktion

Chiffre

Name und Nachname der gemeldeten Person

Chiffre

Über das Gemeldete

Chiffre

Anonym melden

Chiffre

Bericht Akzeptanzstatus

Ganzes

Bearbeitungsstatus melden

Ganzes

Art der gemeldeten Straftat

Chiffre

Gegenstand des Berichts

Chiffre

Beschreibung des Berichts

Chiffre

Ort, an dem die Straftat begangen wurde

Chiffre

Zeitraum, in dem der Verstoß begangen wurde

Chiffre

Kenntnisnahme der Datenschutzrichtlinie

Ganzes

Datenschutzrichtlinie Fingerabdruck konsultiert

Chiffre

Kenntnisnahme der Datenschutzverordnung

Ganzes

Fingerabdruck der Whistleblowing-Verordnung akzeptiert

Chiffre

Verschlüsselter Signalisierungszugang Passwort

Chiffre

Datum der Annullierung (wenn abgeschlossen)

Datum

Anmerkungen zur Berichterstattung

Chiffre

ID des Leiters der internen Berichterstattungsdienste (RSIS)

Ganzes

Datum und Uhrzeit der Aktualisierung des Berichts

Datum

Meldecode

Ganzes

Verkehrskommunikation zwischen dem Meldepflichtigen und dem Sist. Int. der Meldung (falls eingegeben)

Chiffre

Anhänge im PDF-Format oder Audioreport

Chiffre

 

2. VERWALTUNG DES MANAGERS DES INTERNEN BERICHTERSTATTUNGSSYSTEMS

Innerhalb der Whistleblowing-Plattform kann der Whistleblowing-Manager Einstellungen vornehmen:

 

  • das Ergebnis des Berichts als eine der folgenden Angaben: zugestellt, in Empfang genommen, abgelehnt, gefunden und unbegründet;

  • den Status des Berichts: Zu prüfen, In Prüfung, Informationen angefordert, Prüfung abgeschlossen.

Der GdS (Whistleblowing-Manager) greift auf die Whistleblowing-Plattform zu, entweder in regelmäßigen Abständen oder weil er vom E-Mail-Warnsystem benachrichtigt wird, und zwar mit seinen eigenen Zugangsdaten, indem er eine doppelte Authentifizierung über ein OTP vornimmt, das an seine eigene Mailbox übermittelt wird.

Bericht zugestellt - Wenn der Whistleblower einen Bericht eingibt, wird dieser automatisch als "zugestellt" vermerkt; die Plattform stellt dem Whistleblower eine Nachricht mit dem Ergebnis des erfolgreichen Empfangs des Berichts (Berichtseingang) zur Verfügung, die ausschließlich dem Whistleblower zur Verfügung steht und als Passwort für die spätere Einsichtnahme in den Bericht verwendet werden kann.

Aufgenommene Meldung - Die GdS konsultiert die eingegangene Meldung und setzt sie, wenn sie zuverlässige Elemente enthält, als "Aufgenommene Meldung"; wenn die Meldung aufgenommen wurde, generiert die Whistleblowing-Plattform eine "Empfangsmitteilung" (alphanumerischer Code). 

Der Meldepflichtige kann die Empfangsbestätigung zur Kenntnis nehmen, indem er mit seinem Zugangspasswort ("Empfangsbestätigung") auf die Empfangsbestätigung zugreift und ihren Status überprüft.

Die meldende Person kann durch Zugriff auf das System jederzeit den Status der übermittelten Ausschreibung überprüfen.

 

Wenn die Meldung als zuverlässig und "in die Verantwortung genommen" angesehen wird, führt die GdS alle Ermittlungsmaßnahmen durch, die darin bestehen, den gemeldeten Sachverhalt durch die Bewertung der in der Meldung gesammelten Elemente festzustellen sowie weitere Informationen zu beschaffen, die für eine wirksame Überprüfung des Sachverhalts nützlich sind, um festzustellen, ob die Voraussetzungen für die Rechtmäßigkeit der gemeldeten Straftat erfüllt sind, und um die Vertraulichkeit der Identität der meldenden Person zu gewährleisten.

Der Reporting Manager bietet:

  • Weiterleitung der Akte und der Untersuchungsergebnisse an die zuständige Unternehmensleitung, damit diese geeignete Maßnahmen festlegen und ergreifen kann;

  • Benachrichtigung des Meldenden, dass eine Untersuchung im Gange ist, indem der Bearbeitungsstatus auf "In Prüfung" gesetzt wird; oder alternativ "Informationen anfordern", wenn die SO weitere Informationen vom Meldenden anfordert.

Die GdS kann interne und/oder externe Strukturen des für die Datenverarbeitung Verantwortlichen bestimmen und nutzen, die unter Einhaltung der Grundsätze des Schutzes und der Vertraulichkeit unverzüglich Unterstützungsmaßnahmen ergreifen.

 Abgelehnte
Meldung - Wenn die Meldung keine Elemente enthält, die es erlauben, mit den nächsten Schritten fortzufahren, da sie nicht in den objektiven Rahmen der Whistleblowing-Gesetzgebung fällt, setzt die GdS die Meldung auf "Abgelehnt" und informiert den Whistleblower über die Irrelevanz der übermittelten Meldung.

Begründete Meldung - Sollte die Untersuchungstätigkeit ein tatsächliches rechtswidriges Verhalten ergeben, ergreift das Management die geeigneten Maßnahmen, die in der von dem für die Verarbeitung Verantwortlichen erlassenen Whistleblowing-Verordnung vorgesehen sind. Das Whistleblowing-Management vermerkt in der Whistleblowing-Plattform den Grund für die Einstufung der Meldung als "begründet" und den Bearbeitungsstatus als "Untersuchung abgeschlossen", wenn alle Aktivitäten abgeschlossen sind.

Unbegründete Meldung - Wenn die Untersuchungsaktivitäten das in der Meldung festgestellte rechtswidrige Verhalten nicht aufdecken, ergreift das Management die geeigneten Maßnahmen gemäß der von dem für die Verarbeitung Verantwortlichen angenommenen Whistleblowing-Verordnung. Das Whistleblowing-Management hält den Grund innerhalb der Whistleblowing-Plattform fest, setzt die Meldung auf "unbegründet" und den Bearbeitungsstatus auf "Untersuchung abgeschlossen", wenn alle Aktivitäten abgeschlossen sind.

 

Sie sieht vor, dass die Mitteilung der Beschwerdepunkte dem Meldenden innerhalb von drei Monaten nach dem Datum der Empfangsbestätigung oder - bei Fehlen einer solchen Mitteilung - innerhalb von drei Monaten nach Ablauf der siebentägigen Frist für eine solche Mitteilung eine Rückmeldung geben muss.

In diesem Zusammenhang ist darauf hinzuweisen, dass es nicht notwendig ist, die Bewertung innerhalb der Dreimonatsfrist abzuschließen, da es Fälle geben kann, die eine längere Zeitspanne für die Überprüfung erfordern. Es handelt sich also um eine Feststellung, die bei Ablauf der angegebenen Frist endgültig sein kann, wenn die Untersuchung abgeschlossen ist, oder um eine Zwischenfeststellung über den Fortgang der Untersuchung, die noch nicht abgeschlossen ist.

Daher kann der Alarmmanager nach Ablauf der drei Monate den Berichterstatter informieren:

  • die Einreichung des Berichts unter Angabe der Gründe;

  • ob der Bericht fundiert ist und an die zuständigen internen Stellen weitergeleitet wird;

  • die bisher durchgeführte und/oder die geplante Tätigkeit.

Im letzteren Fall ist es ratsam, die meldende Person auch über das spätere Endergebnis der Untersuchung der Meldung zu informieren (Archivierung oder Bewertung der Begründetheit der Meldung mit Weiterleitung an die zuständigen Stellen), in Übereinstimmung mit dem ANAC LG.

 

c. LÖSCHUNG VON AUSSCHREIBUNGEN

Die Aufbewahrungsfrist wird auf 5 Jahre ab dem Ende des Bewertungsverfahrens des gesammelten Berichts festgelegt. Diese Frist wurde unter Bezugnahme auf die Bestimmungen von Art. 14 des Gesetzesdekrets Nr. 24 / 2023 festgelegt.

Dies gilt unbeschadet des Rechts des für die Verarbeitung Verantwortlichen, die mit dem Bericht gesammelten Informationen sowohl bei begründeten als auch bei unbegründeten Anschuldigungen zu verwenden, um die Rechte vor Gericht zu verteidigen und/oder ein mögliches Disziplinarverfahren einzuleiten.

Die Whistleblowing-Plattform zeigt für jede Meldung das Datum an, ab dem die Löschung der Meldung möglich ist, die immer manuell von der GdS vorgenommen wird.



Verwaltungsvorschriften für Whistleblowing -Berichte

Nachfolgend finden Sie die Verwaltungsregulierung von Whistleblowing -Berichten

1. EINLEITUNG

Das Whistleblowing-Institut bietet Mitarbeitern sowie anderen Beteiligten die Möglichkeit, potenzielle Straftaten und rechtswidriges Verhalten gegen die Organisation, im Folgenden das „Unternehmen“, zu melden.

Zweck dieser Verordnung ist es, das Verfahren zur Bearbeitung von Straftatenmeldungen zu regeln und bekannt zu geben, mit welchen Mitteln die Stelle, im Folgenden „Unternehmen“ genannt, den Schutz des Hinweisgebers, sogenannter Hinweisgeber, gewährleistet. Hinweisgeber, der in der geltenden Gesetzgebung zu diesem Thema vorgesehen ist.

Die Gesellschaft CARTELLI SEGNALATORI CF: 07803080154 ist ein Unternehmen, das in einem wettbewerbsoffenen Kontext [SETTORE].

Das Unternehmen hat einen Korruptionspräventions- und Transparenzmanager (der “P.C.T.“) ernannt (dessen Name und Referenzen z. B. auf der institutionellen Website des Unternehmens veröffentlicht sind).

Gemäß Gesetzesdekret vom 8. Juni 2001, Nr. 231 und nachfolgende Änderungen („Disziplin der Verwaltungshaftung von juristischen Personen, Gesellschaften und Vereinigungen, auch ohne Rechtspersönlichkeit, gemäß Artikel 11 des Gesetzes Nr. 300 vom 29. September 2000“) (das „Gesetzesdekret 231/2001“) und weiterer Vorschriften zu diesem Thema hat das Unternehmen sowohl einen Ethik- und Verhaltenskodex und nachfolgende Aktualisierungen (der „Ethikkodex“) als auch ein Organisations-, Management- und Kontrollmodell und nachfolgende Aktualisierungen (das „M.O.G.“) verabschiedet und einen ernannt kollegiales Aufsichtsorgan (das „O.D.V.“) für die Ausübung der im Gesetzesdekret 231/2001 genannten Aufgaben.

2. WAS SIE MELDEN KÖNNEN

Gesetzesdekret Nr. 24/2023 legt fest, dass Informationen über Verstöße, einschließlich begründeter Verdachtsmomente, gegen nationale und europäische Vorschriften, die dem öffentlichen Interesse oder der Integrität der öffentlichen Verwaltung oder der privaten Einrichtung schaden, im Organisationsbereich der Einrichtung begangen werden, mit der die meldende Partei zusammenarbeitet Rechtsverhältnisse bestehen und von denen er Kenntnis erlangt hat.

Gegenstand des Berichts können beispielsweise sein:

  1. Verstöße gegen nationales Recht;

  2. Verwaltungs-, Buchhaltungs-, Zivil- oder Strafdelikte;

  3. Cerhebliches rechtswidriges Verhalten gemäß Gesetzesdekret vom 8. Juni 2001, Nr. 231;

  4. Verstöße gegen EU-Recht;

  5. Handlungen oder Unterlassungen, die den finanziellen Interessen der Europäischen Union schaden;

  6. Handlungen oder Unterlassungen im Zusammenhang mit dem Binnenmarkt, die den freien Waren-, Personen-, Dienstleistungs- und Kapitalverkehr beeinträchtigen.

Darüber hinaus können alle Elemente, die Verhaltensweisen betreffen, die auf die Verschleierung der Verstöße selbst abzielen, Gegenstand der Anzeige sein.

Alle Informationen, die offensichtlich unbegründet erscheinen, öffentlich zugänglich sind oder durch „Gerüchte“ erworben wurden, sind vom objektiven Geltungsbereich ausgeschlossen.

 

3. WER KANN MELDEN?

Die Bestimmungen des Gesetzesdekrets 24/2023 gelten für Hinweisgeber, die Verstöße melden, der Justiz- oder Rechnungslegungsbehörde melden oder öffentlich bekannt geben, von denen sie in ihrem Arbeitskontext Kenntnis erlangen.

Insbesondere können folgende Personen gemeldet werden: (Die Liste muss die im Unternehmen tätigen Personen berücksichtigen.)

  1. Angestellte Arbeitnehmer, einschließlich Arbeitnehmer, deren Arbeitsverhältnis durch das Gesetzesdekret Nr. 81/2015 o Arbeitnehmer, die gelegentliche Dienstleistungen erbringen;

  2. Selbstständig;

  3. Selbstständige, die ihre Arbeit für Unternehmen des privaten Sektors ausführen;

  4. Inhaber einer Kooperationsbeziehung;

  5. Inhaber eines Kooperationsverhältnisses im Sinne von Art. 2 des Gesetzesdekrets Nr. 81/2015. Hierbei handelt es sich um vom Auftraggeber organisierte Kooperationen in Form ausschließlich persönlicher und kontinuierlicher Arbeit, deren Durchführungsmodalitäten vom Auftraggeber selbst organisiert werden;

  6. Freiberufliche Fachkräfte und Berater, die für Unternehmen des privaten Sektors arbeiten;

  7. Freiwillige und Praktikanten, bezahlt und unbezahlt;

  8. Aktionäre, natürliche Personen, sofern anwesend;

  9. Personen mit Verwaltungs-, Leitungs-, Kontroll-, Aufsichts- oder Vertretungsfunktionen.

Die Schutzmaßnahmen gelten auch, wenn die Meldung stammt von:

  • für diejenigen, die kein Rechtsverhältnis haben, hat es noch nicht begonnen;

  • durch die Kandidaten, wenn die Kenntnis der Verstöße im Rahmen des Auswahlverfahrens oder in anderen vorvertraglichen Phasen erlangt wurde;

  • von denen, die sich in der Probezeit befinden;

  • nach Auflösung des Rechtsverhältnisses, wenn die Erkenntnisse über die Verstöße während des Vertrags erlangt wurdenBeziehung selbst.

Gemäß Art. Gemäß Art. 3, Absatz 5 des Gesetzesdekrets 24/2023 wird der Schutz nicht nur dem Meldenden gewährt, sondern auch allen Personen, die jedoch aufgrund ihrer Rolle im Meldeprozess Opfer von Vergeltungsmaßnahmen sein könnten.

Insbesondere gelten die im Dekret Nr. 24/2023 genannten Schutzmaßnahmen:

  1. Moderatoren;

  2. Personen aus dem gleichen Arbeitskontext mit einer familiären Beziehung bis zum vierten Grad und einer stabilen emotionalen Bindung;

  3. Arbeitskollegen mit einer üblichen und aktuellen Beziehung im gleichen Arbeitskontext;

  4. Unternehmen, die der meldenden Person gehören oder für die die meldende Person arbeitet oder die im gleichen Arbeitskontext tätig sind.

 

4. BERICHTE

4.1 BERICHTSMETHODEN UND KANÄLE

Gemäß der Verordnung gelten folgende Meldemethoden:

  1. Interner Kanal: Gemäß Art. 4 Absatz 2 des Dekrets kann der interne Meldekanal sowohl von einer Person oder einem Büro innerhalb des Unternehmens als auch von einer externen Partei verwaltet werden. In beiden Fällen muss die Person, die die Berichte verwaltet, autonom und ausreichend geschult sein.

  2. Externer ANAC-Kanal: Der Reporter kann einen externen Bericht erstellen, indem er den zu diesem Zweck beim A.N.A.C. aktivierten externen Kanal nutzt. gemäß Art. 7 des Gesetzesdekrets 24/2023 und die A.N.A.C.-Richtlinien. 2023, wenn zum Zeitpunkt seiner Präsentation eine der folgenden in der Kunst vorgesehenen Bedingungen vorliegt. 6 des Gesetzesdekrets 24/2023: hat bereits einen internen Bericht erstellt und dieser wurde nicht weiterverfolgt; befürchtet, dass der Bericht das Risiko von Vergeltungsmaßnahmen birgt oder dass er möglicherweise nicht wirksam weiterverfolgt wird; ist der Ansicht, dass der Verstoß eine unmittelbare oder offensichtliche Gefahr für das öffentliche Interesse darstellen könnte.

  3. Öffentliche Offenlegung: Der Whistleblower kann auf die öffentliche Offenlegung über die Presse oder Medien oder soziale Medien zurückgreifen, wenn: er bereits intern und/oder an ANAC eine Meldung gemacht hat, ohne eine Antwort zu erhalten; befürchtet, dass die Meldung das Risiko von Vergeltungsmaßnahmen birgt oder aufgrund der besonderen Umstände des konkreten Falles möglicherweise nicht wirksam weiterverfolgt wird; ist der Ansicht, dass der Verstoß eine unmittelbare oder offensichtliche Gefahr für das öffentliche Interesse darstellen könnte.

  4. Meldung: Das Dekret erkennt letztlich auch das Recht des Hinweisgebers an, rechtswidriges Verhalten, das als Straftat angesehen werden kann, direkt den zuständigen Behörden zu melden.

Meldungen können in schriftlicher Form, unter Einsatz von IT-Methoden über die entsprechende Plattform oder in mündlicher Form erfolgen.

Interne Meldungen in mündlicher Form können über Telefonleitungen oder Sprachnachrichtensysteme oder auf Wunsch der meldenden Person durch ein direktes Treffen innerhalb einer angemessenen Frist erfolgen.

4.2 INHALTE BERICHTEN

Um den Sachverständigen die Aufklärung des Sachverhalts zu ermöglichen, ist eine möglichst detaillierte Darstellung des Berichts erforderlich.

Darüber hinaus ist es erforderlich, dass der Bericht eindeutig Folgendes enthält:

  • die persönlichen Daten oder andere Elemente, die eine Identifizierung der Person ermöglichen, der der gemeldete Sachverhalt zugeschrieben werden kann;

  • die Umstände von Zeit und Ort, an denen sich das gemeldete Ereignis ereignete;

  • die Beschreibung des Sachverhalts;

  • Fügen Sie Dokumente bei, die Elemente zur Untermauerung der gemeldeten Tatsachen liefern können;

  • die Angabe möglicher Zeugen.

Wenn der Bericht nicht ausreichend detailliert ist, kann derjenige, der die Berichte verwaltet, den Reporter über die Plattform oder sogar persönlich um zusätzliche Elemente bitten, wenn der Reporter ein persönliches Treffen gewünscht hat.

Als anonym gelten Meldungen, aus denen sich kein Rückschluss auf die Identität des Meldenden ergibt. Anonyme Meldungen werden, soweit detailliert, den gewöhnlichen Meldungen gleichgestellt und der Reihe nach gemäß den Bestimmungen dieser Verordnung behandelt.

 

4.3 MELDEVERFAHREN: DIE WhistleBlowing-IusPrivacy-Plattform

Das Unternehmen hat durch die Nutzung der WhistleBlowing-Plattform IusPrivacy, die über die Website [URL DER WEBSITE], im Folgenden „Meldeplattform“, zugänglich ist, einen eigenen internen Kanal eingerichtet, in dem im entsprechenden Abschnitt die Anweisungen zur Formulierung und Einsichtnahme von Berichten veröffentlicht werden.

 

5. SCHUTZ DES REPORTERS

Die Whistleblower-Verordnung sieht ein Maßnahmenpaket zum Schutz des Whistleblowers vor.

Im Einzelnen handelt es sich bei den vorgenannten Maßnahmen um:

  • Der Schutz der Vertraulichkeit richtet sich an den Berichterstatter, den Moderator, die beteiligte Person und die im Bericht genannten Personen;

  • Schutz vor möglichen Vergeltungsmaßnahmen des Unternehmens aufgrund der Meldung, Offenlegung oder Beschwerde sowie der Bedingungen für deren Anwendung;

  • Die Haftungsbeschränkungen in Bezug auf die Offenlegung und Verbreitung bestimmter Kategorien von Informationen gelten unter bestimmten Bedingungen.

 

5.1 Vertraulichkeit

Die Identität der meldenden Person und alle anderen Informationen, aus denen man direkt oder indirekt auf diese Identität schließen kann, dürfen und werden nicht ohne die ausdrückliche Zustimmung der meldenden Person an andere Personen weitergegeben werden als diejenigen, die für die Entgegennahme oder Weiterverfolgung der Meldung zuständig sind Informationen. Berichte.

So wird die Vertraulichkeit des Hinweisgebers gewährleistet:

  • Im Rahmen eines Strafverfahrens unterliegt die Identität des Hinweisgebers der Geheimhaltung im Rahmen und in den Grenzen des Artikels 329 der Strafprozessordnung.

  • Im Verfahren vor dem Rechnungshof kann die Identität des Hinweisgebers erst nach Abschluss des Ermittlungsverfahrens bekannt gegeben werden;

  • Im Rahmen des Disziplinarverfahrens darf die Identität des Hinweisgebers nicht bekannt gegeben werden. Beruht die Streitigkeit ganz oder teilweise auf der Meldung und ist die Kenntnis der Identität des Hinweisgebers für die Verteidigung des Angeklagten unabdingbar, so wird die Meldung für Zwecke des Disziplinarverfahrens nur in Anwesenheit des Täters verwendet ausdrückliche Zustimmung des Hinweisgebers zur Offenlegung seiner Identität.

Um die Identität des Meldenden zu schützen, ergreift das Unternehmen strenge Sicherheitsmaßnahmen, die im entsprechenden Abschnitt der Meldeplattform beschrieben sind.

Auch die Vertraulichkeit aller an der Meldung Beteiligten ist gewährleistet.

Die Vertraulichkeit ist sowohl bei internen als auch bei externen Meldungen gewährleistet, die mündlich über Telefonleitungen oder alternativ Sprachnachrichtensysteme oder auf Wunsch der meldenden Person durch ein direktes Treffen mit der Person, die die Meldung bearbeitet, erfolgen.

Die Vertraulichkeit des Hinweisgebers bleibt auch dann gewahrt, wenn die Meldung andere Personen als die zur Bearbeitung der Meldungen befugten und kompetenten Personen erreicht, an die sie in jedem Fall unverzüglich weitergeleitet werden muss.

Das Dekret sieht nur zwei Hypothesen vor, die es ermöglichen, die Identität des Reporters preiszugeben. In diesen Fällen ist nicht nur die ausdrückliche Einwilligung derselben erforderlich, sondern auch eine schriftliche Mitteilung der Gründe für die Weitergabe.

Die beiden Hypothesen:

  1. in Disziplinarverfahren, bei denen die Offenlegung der Identität des Hinweisgebers für die Verteidigung der Person, gegen die der Disziplinarvorwurf angefochten wird, von wesentlicher Bedeutung ist;

  2. in Verfahren, die aufgrund interner oder externer Meldungen eingeleitet werden, wenn die Offenlegung auch für Zwecke der Verteidigung des Beteiligten unerlässlich ist.

 

5.2 SCHUTZ DER ANONYMITÄT

Zum Schutz des Hinweisgebers ist auch das Maß der Anonymität vorgesehen, d. h. die Identität des Hinweisgebers darf nicht ohne seine ausdrückliche Zustimmung preisgegeben werden.

Alle Personen, die Meldungen erhalten oder an deren Bearbeitung beteiligt sind, sind verpflichtet, die Vertraulichkeit dieser Informationen zu wahren.

 

5.3 Schutz vor Vergeltungsmaßnahmen

Das Dekret sieht zum Schutz des Hinweisgebers das Verbot von Vergeltungsmaßnahmen vor, die definiert sind als „jedes Verhalten, jede Handlung oder Unterlassung, auch wenn es nur versucht oder angedroht wird, die aufgrund der Meldung, der Beschwerde bei der Justizbehörde oder der Öffentlichkeit erfolgt“. Offenlegung und die der meldenden Person oder der Person, die die Beschwerde eingereicht hat, direkt oder indirekt einen ungerechtfertigten Schaden zufügt oder verursachen kann“ (Gesetzesdekret 24/2023, Art. 2, Absatz 1, Buchstabe m).

Das Unternehmen xxx wird in Übereinstimmung mit den gesetzlichen Bestimmungen eine aktive Rolle bei der Verhinderung der Manifestation von Vergeltungsmaßnahmen spielen, wie zum Beispiel und nicht erschöpfend:

a) Entlassung, Suspendierung oder gleichwertige Maßnahmen;

b) Herabstufung im Rang oder Nichtbeförderung;

c) Funktionswechsel, Wechsel des Arbeitsortes, Gehaltskürzung, Änderung der Arbeitszeit;

d) Aussetzung der Ausbildung oder jegliche Einschränkung des Zugangs dazu;

e) Anmerkungen zu Mängeln oder negativen Referenzen;

f) Verhängung von Disziplinarmaßnahmen oder anderen Sanktionen, einschließlich finanzieller Sanktionen;

g) Nötigung, Einschüchterung, Belästigung oder Ausgrenzung;

h) Diskriminierung oder anderweitige Benachteiligung;

i) Unterlassene Umwandlung eines befristeten Arbeitsvertrags in einen unbefristeten Arbeitsvertrag, wenn der Arbeitnehmer eine berechtigte Erwartung auf eine solche Umwandlung hatte;

j) Nichtverlängerung oder vorzeitige Beendigung eines befristeten Arbeitsvertrags;

k) Schäden, einschließlich des Rufs der Person, insbesondere in sozialen Medien, oder wirtschaftliche oder finanzielle Nachteile, einschließlich Verlust wirtschaftlicher Möglichkeiten und Einkommensverluste;

l) Einfügen bei unsachgemäßen Einträgen auf der Grundlage einer formellen oder informellen Branchen- oder Branchenvereinbarung, die dazu führen kann, dass die Person in Zukunft keine Anstellung in der Branche oder Branche finden kann;

m) vorzeitige Beendigung oder Stornierung des Vertrags über die Lieferung von Waren oder Dienstleistungen;

n) Widerruf einer Lizenz oder Genehmigung;

o) Antrag auf psychiatrische oder medizinische Untersuchungen.

 

5.4. HAFTUNGSBESCHRÄNKUNG FÜR REPORTER

Die Kunst. Art. 20 des Dekrets regelt den Umfang der Haftungsbeschränkungen.

Diese Maßnahme funktioniert nur in Fällen, in denen zwei Bedingungen gleichzeitig auftreten:

1. Die erste Voraussetzung ist, dass zum Zeitpunkt der Offenlegung oder Offenlegung berechtigte Gründe für die Annahme vorliegen, dass die Informationen zur Aufdeckung des Verstoßes erforderlich sind. Der Meldende muss daher davon überzeugt sein, dass diese Informationen unerlässlich sind, um den Verstoß ans Licht zu bringen;

2. Die zweite Bedingung erfordert jedoch, dass die Meldung, die öffentliche Offenlegung oder die Beschwerde in Übereinstimmung mit den im Gesetzesdekret Nr. 24/2023, um Schutz vor Vergeltungsmaßnahmen zu erhalten.

Beide Voraussetzungen müssen, wie bereits erwähnt, vorliegen, um eine Haftung auszuschließen.

Wenn sie zufrieden sind, unterliegen Personen, die eine Anzeige erstatten, melden oder eine öffentliche Offenlegung vornehmen, keinerlei zivil-, straf-, verwaltungs- oder disziplinarrechtlicher Haftung.

 

5.5 BEDINGUNGEN FÜR DIE ANWENDUNG DES SCHUTZES

Die vorgesehenen Maßnahmen gelten für Hinweisgeber, wenn folgende Voraussetzungen erfüllt sind:

  • Reporter müssen begründeten Anlass zu der Annahme haben, dass die Informationen über die gemeldeten Verstöße der Wahrheit entsprechen (keine Vermutungen, Gerüchte oder Nachrichten im öffentlichen Bereich);

  • der gute Glaube des Meldenden bleibt auch im Falle unzutreffender Berichterstattung aufgrund schwerwiegender Fehler (Unkenntnis der gesetzlichen Regelungen) gewahrt;

  • der Meldende muss im Betreff der Meldung deutlich darauf hinweisen, dass es sich um eine Whistleblowing-Meldung handelt; Es muss ein enger Zusammenhang oder eine Konsequenz zwischen der Meldung und der ungünstigen Handlung bestehen, die der Meldende direkt oder indirekt erlitten hat, um eine Vergeltung darzustellen.

  • Der Bericht muss gemäß den Bestimmungen von Kapitel II des Gesetzesdekrets erstellt werden. 24 von 2023 und in den vorherigen Punkten 4.1, 4.2, 4.3 beschrieben.

 

6. BEDIENUNGSANLEITUNG FÜR DIE PLATTFORM

Die Anweisungen zum Verfassen eines Berichts sowie zu deren Konsultation finden Sie in dem entsprechenden Abschnitt, der auf der Webplattform veröffentlicht wird.

 

Datenschutzrichtlinie für das Whistleblowing -Berichtssystem

Begriffe für die Verarbeitung personenbezogener Daten nach der Zusammenstellung eines Whistleblowing -Berichts

Mit diesem Dokument („Informationen“) möchte der Datenverantwortliche, wie unten definiert, Sie über die Zwecke und Methoden der Verarbeitung Ihrer personenbezogenen Daten und die Ihnen durch die Verordnung (EU) 2016/679 in Bezug auf den Schutz Ihrer personenbezogenen Daten anerkannten Rechte informieren natürliche Personen, im Hinblick auf die Verarbeitung personenbezogener Daten sowie deren Freizügigkeit („DSGVO“). Diese Informationen können vom Datenverantwortlichen integriert werden, wenn von Ihnen angeforderte zusätzliche Dienstleistungen eine weitere Verarbeitung erfordern.

 

1. DATENVERANTWORTLICHER

CARTELLI SEGNALATORI CF: 07803080154, via volta 1 Cusago 20047 (Milano), tel: 0290399017, email: alessandrabagnoli@cartelli.it

2. Datenschutzbeauftragter/DSB

Email: [RECAPITO DPO]

3. ARTEN DER VERARBEITETEN DATEN

Die durchgeführten Verarbeitungstätigkeiten zielen auf die Erhebung folgender personenbezogener Daten ab:

  • Gemeinsame Daten: personenbezogene Daten.

  • Justizielle Daten: Daten zu Strafanzeigen und strafrechtlichen Verurteilungen.

  • Besondere Daten: sofern von der meldenden Partei bereitgestellt, in Bezug auf Gesundheitszustand, sexuelle Orientierung, Gewerkschaftszugehörigkeit, religiöse Überzeugungen usw.

4. KATEGORIEN DER INTERESSIERTEN PARTEIEN

Die durchgeführten Verarbeitungstätigkeiten richten sich an folgende Kategorien von Interessenten: Hinweisgeber, gemeldete Personen, Moderatoren, an der Meldung beteiligte Personen.

5. ZWECK DER VERARBEITUNG UND BEDINGUNG, WELCHE DIE VERARBEITUNG RECHTMÄSSIG MACHT

Zu. Whistleblowing-Meldesystem

Whistleblowing ist eine Handlung, durch die eine Einzelperson (Melder), häufig ein Mitarbeiter einer Organisation, vertrauliche Informationen oder rechtswidriges oder fehlerhaftes Verhalten innerhalb der Organisation selbst oder an eine zuständige externe Behörde meldet oder meldet, um das mutmaßliche rechtswidrige Verhalten bekannt zu machen von denen er aufgrund seines Arbeitsverhältnisses mit dem Datenverantwortlichen Kenntnis erlangt hat und die von den Personen begangen wurden, die in verschiedenen Funktionen mit derselben meldenden Partei interagieren, um die erforderlichen Überprüfungsaktivitäten der im Berichtsbericht enthaltenen Informationen durchzuführen.

Ihre personenbezogenen Daten werden zu folgenden Zwecken verarbeitet:

Zweck der Verarbeitung: i) zur Erfüllung der vorgesehenen Verpflichtungen: durch nationale und europäische Gesetze und durch Bestimmungen von Aufsichts- und Kontrollbehörden oder anderen hierzu legitimierten Behörden, Gesetzesdekret Nr. 231/2001, Regelung der Verwaltungshaftung von juristischen Personen, Unternehmen und Vereinen auch ohne Rechtspersönlichkeit, Gesetzesdekret. 10. März 2023, Nr. 24 in Umsetzung der Richtlinie (EU) 2019/1937; ii) um Whistleblowing-Meldungen zu ermöglichen, die Gültigkeit, Relevanz und Relevanz der gemeldeten Tatsachen und Umstände zu überprüfen, um gegebenenfalls Folgemaßnahmen, einschließlich Disziplinarmaßnahmen, zu ergreifen, die gemäß dem Gesetz als notwendig oder angemessen erachtet werden.

Voraussetzung für die Rechtmäßigkeit der Verarbeitung: Gesetzliche Verpflichtung – Art. 6, c.1, lit. C. DSGVO, Berechtigtes Interesse – Art. 6, c.1, lit. F. DSGVO.

Art der Bereitstellung: Für den Berichterstatter ist die Bereitstellung der Elemente der Meldung, auch in anonymer Form, verpflichtend; Unterbleibt die Bereitstellung, ist die Erstellung des Berichts nicht möglich. Zusätzlich zu den Angaben des Meldenden könnten auch personenbezogene Daten der gemeldeten Personen in den Meldeprozess einbezogen werden.

Aufbewahrungsfrist für personenbezogene Daten: Ihre Daten. Interne und externe Berichte sowie die damit verbundene Dokumentation werden für den Zeitraum aufbewahrt, der für die Bearbeitung des Berichts erforderlich ist, in jedem Fall jedoch nicht später als 5 Jahre ab dem Datum der Übermittlung des endgültigen Ergebnisses des Berichtsverfahrens der in den europäischen und nationalen Rechtsvorschriften zum Schutz personenbezogener Daten genannten Vertraulichkeitsverpflichtungen.

B. Gerichtliche und außergerichtliche Verteidigung, auch im Arbeitsverhältnis.

Ihre personenbezogenen Daten können zur Feststellung, Ausübung oder Verteidigung der Rechte des Verantwortlichen in gerichtlichen und außergerichtlichen Verfahren, einschließlich Arbeitsverhältnissen, verarbeitet werden.

Voraussetzung für die Rechtmäßigkeit der Verarbeitung: Berechtigtes Interesse – Art. 6, c.1, lit. F. DSGVO

Zweck der Verarbeitung: i) Ausübung der Verteidigung des Verantwortlichen in gerichtlichen und außergerichtlichen Angelegenheiten, auch im Arbeitsverhältnis; ii) Verarbeitung bestimmter Daten, auch von Mitarbeitern, zur Geltendmachung oder Verteidigung eines Rechts, auch eines Dritten, in gerichtlichen Verfahren sowie in Verwaltungsverfahren oder in Schieds- und Schlichtungsverfahren in den in der DSGVO vorgesehenen Fällen Gesetze, Verordnungen der Europäischen Union, Verordnungen oder Tarifverträge.

Art der Bestimmung: Die Verwendung personenbezogener Daten ist für die gerichtliche und außergerichtliche Verteidigung unbedingt erforderlich.

Aufbewahrungsfrist für personenbezogene Daten: Personenbezogene Daten werden für einen Zeitraum verwendet, der den gesetzlich vorgeschriebenen Zeitraum nicht überschreitet, auf jeden Fall jedoch bis zum Ablauf der Berufungsfristen und spätestens bis zum Abschluss des Urteils.

Bearbeitungsmethoden: Die Bearbeitung erfolgt überwiegend mit IT- und Papiertools.

C. IT-Systemmanagement

Personenbezogene Daten werden im berechtigten Interesse des Datenverantwortlichen und der interessierten Parteien zur Verwaltung der Sicherheit der technischen Infrastrukturen (IT) verwendet.

Zweck der Verarbeitung: Verwaltung von IT-Systemen, einschließlich Infrastrukturmanagement, Geschäftskontinuität und IT-Sicherheit.

Art der Bestimmung: Obligatorisch – Ein Widerspruch gegen die Verarbeitung kann dazu führen, dass der Datenverantwortliche die gewünschte Dienstleistung nicht erbringen kann.

Aufbewahrungsfrist für personenbezogene Daten: Ihre personenbezogenen Daten werden für den gesamten Zeitraum gespeichert, der für die Erbringung von Dienstleistungen sowie für die Gewährleistung der Ausübung oder Verteidigung von Rechten erforderlich ist.

Verarbeitungsmethoden: Die Verarbeitung erfolgt unter Einsatz von IT-Tools.

Voraussetzung für die Rechtmäßigkeit der Verarbeitung: Berechtigtes Interesse – Art. 6, c.1, lit. F. DSGVO

 

6. DATENÜBERTRAGUNG AUßERHALB DER EU

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich innerhalb der Europäischen Union

 

7. EMPFÄNGER DER BEHANDLUNG

Datenverantwortlicher: Hosting-Dienstleister, IKT-Systemwartungsdienste.

Für die Verarbeitung bestimmte Person (intern): RPCT, Berichtsmanager.

Unabhängiger Datenverantwortlicher: ANAC, Justizbehörde.

 

8. RECHTE DES BETEILIGTEN – BESCHWERDE BEI â??â??DER AUFSICHTSBEHÖRDE

Im Zusammenhang mit der in diesen Informationen beschriebenen Verarbeitung können Sie als Interessent unter den in der DSGVO festgelegten Bedingungen die in den Artikeln 15 bis 22 der DSGVO festgelegten Rechte und insbesondere die folgenden Rechte ausüben:

  • Zugangsrecht – Art. 15 DSGVO: Recht auf Bestätigung darüber, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden und in diesem Fall auf Auskunft über Ihre personenbezogenen Daten;

  • Recht auf Berichtigung – Artikel 16 DSGVO: Recht, ohne ungerechtfertigte Verzögerung die Berichtigung Sie betreffender unrichtiger personenbezogener Daten und/oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen;

  • Recht auf Widerruf (Recht auf Vergessenwerden) – Artikel 17 DSGVO: Recht, ohne ungerechtfertigte Verzögerung die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe oder zur Geltendmachung, Ausübung oder Verteidigung eines Rechts erforderlich ist. vor Gericht;

  • Recht auf Einschränkung der Verarbeitung – Artikel 18 DSGVO: Recht auf Einschränkung der Verarbeitung, wenn: a) der Interessent die Richtigkeit der personenbezogenen Daten bestreitet; b) die Verarbeitung rechtswidrig ist und der Interessent die Löschung der personenbezogenen Daten ablehnt und stattdessen eine Einschränkung ihrer Nutzung verlangt; c) die personenbezogenen Daten sind für die betroffene Partei erforderlich, um ein Recht vor Gericht festzustellen, auszuüben oder zu verteidigen; d) der Interessent hat der Verarbeitung widersprochen, bis überprüft wurde, ob die berechtigten Gründe des für die Verarbeitung Verantwortlichen im Vergleich zu denen des Interessenten überwiegen;

  • Recht auf Datenübertragbarkeit – Artikel 20 DSGVO: Recht, die Sie betreffenden personenbezogenen Daten, die Sie dem Verantwortlichen zur Verfügung gestellt haben, in einem strukturierten Format zu erhalten, das üblicherweise verwendet und von einem automatischen Gerät gelesen werden kann, und das Recht, diese ungehindert an einen anderen Verantwortlichen zu übermitteln, wenn die Verarbeitung erfolgt Die Verarbeitung erfolgt auf Grundlage einer Einwilligung und erfolgt automatisiert. Darüber hinaus haben Sie das Recht, Ihre personenbezogenen Daten direkt von diesem Eigentümer an einen anderen Eigentümer übermitteln zu lassen, sofern dies technisch machbar ist;

  • Widerspruchsrecht – Artikel 21 DSGVO: Recht, der Verarbeitung personenbezogener Daten, die Sie betreffen, jederzeit auf der Grundlage der Berechtigung eines berechtigten Interesses, einschließlich Profiling, zu widersprechen, es sei denn, es gibt berechtigte Gründe für die Fortsetzung der Verarbeitung durch den Datenverantwortlichen, die Vorrang vor dem haben Interessen, über die Rechte und Freiheiten der betroffenen Partei oder für die Beurteilung, Ausübung oder Verteidigung eines Rechts vor Gericht;

  • Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden – Artikel 22 DSGVO: Der Betroffene hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihm gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt, es sei denn, dies ist hierfür erforderlich Abschluss oder Durchführung eines Vertrages oder Sie haben Ihre Einwilligung erteilt. In jedem Fall kann ein automatisierter Entscheidungsprozess Ihre personenbezogenen Daten nicht betreffen und Sie haben jederzeit die Möglichkeit, vom Datenverantwortlichen menschliches Eingreifen zu verlangen, Ihre Meinung zu äußern und die Entscheidung anzufechten.

 

Der Interessent kann auch eine Beschwerde bei der Garantiebehörde für den Schutz personenbezogener Daten einreichen:http://www.garanteprivacy.it sowie die erteilte Einwilligung jederzeit und mit der gleichen Leichtigkeit zu widerrufen, mit der sie erteilt wurde, unbeschadet der Rechtmäßigkeit der Verarbeitung, die auf der vor dem Widerruf erteilten Einwilligung beruht.

Die oben genannten Rechte können gegenüber dem Eigentümer durch Kontaktaufnahme mit den oben angegebenen Referenzen geltend gemacht werden.

Die Ausübung Ihrer Rechte als Interessent ist gemäß Art. 12 DSGVO kostenfrei. Im Falle offensichtlich unbegründeter oder übermäßiger Anfragen, auch aufgrund ihrer Wiederholung, kann der Eigentümer jedoch eine angemessene Gebühr unter Berücksichtigung der Verwaltungskosten erheben, die für die Bearbeitung Ihrer Anfrage anfallen, oder die Erfüllung Ihrer Anfrage verweigern.

Abschließend informieren wir Sie darüber, dass der Datenverantwortliche möglicherweise weitere Informationen anfordern kann, die zur Bestätigung der Identität des Interessenten erforderlich sind.


Version 1.0 vom 11.07.2023

Sicherheitsmaßnahmen des Whistleblowing -Berichtssystems

Die geeigneten Maßnahmen für das Management von Pfeifenblasenberichten wurden ergriffen

1. DEFINITIONEN

Um die Sicherheitsmaßnahmen besser zu verstehen, werden im Folgenden einige Definitionen beschrieben:

  • „Firewall„: Eine Firewall ist eine Netzwerksicherheitskomponente, die als Barriere zwischen einem internen oder privaten Netzwerk und einem externen oder öffentlichen Netzwerk dient. Es untersucht den ein- und ausgehenden Netzwerkverkehr und entscheidet anhand einer Reihe vordefinierter Regeln, ob bestimmte Kommunikationen zugelassen oder blockiert werden. Firewallregeln geben anhand von Kriterien wie IP-Adressen, Ports, Protokollen usw. an, welche Datenpakete zugelassen oder abgelehnt werden. Bei dieser Auswertung wird auf die Angabe der Version und des Namens der verwendeten Firewall verzichtet, um die Weitergabe potenziell wertvoller Informationen an Dritte zu vermeiden.

  • Webanwendungs-Firewall („WAF„): Eine Web Application Firewall ist ein Gerät oder eine Softwareanwendung, die zwischen einer Webanwendung und eingehendem Netzwerkverkehr sitzt. Seine Hauptaufgabe besteht darin, spezifische Cyberbedrohungen zu erkennen, zu filtern und zu blockieren, die auf Webanwendungen abzielen, wie z. B. SQL-Injection-Angriffe, Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF) und andere; Bei dieser Auswertung wird auf die Angabe der Version und des Namens der verwendeten WAF verzichtet, um die Weitergabe potenziell wertvoller Informationen an Dritte zu vermeiden.

  • Verschlüsselungsschlüssel: Um den AES-Algorithmus zu verwenden, müssen Sie einen Verschlüsselungsschlüssel angeben. Dieser Schlüssel ist eine geheime Zeichenfolge, die zum Ver- und Entschlüsseln von Daten verwendet wird. Es ist wichtig, diesen Schlüssel mit äußerster Sorgfalt zu schützen, da ein unbefugter Zugriff darauf die Sicherheit Ihrer Daten gefährden könnte.

2. MASSNAHMEN ZUR GEWÄHRLEISTUNG DER VERTRAULICHKEIT DER INFORMATIONEN

  • SPEZIFISCHE ZUGRIFFSROLLEN: Der Zugriff auf die Software ist ausschließlich autorisiertem Personal (verantwortlich und verantwortlich für die Verarbeitung) vorbehalten, das im Besitz spezifischer und individueller Zugangsdaten ist, auch durch spezifische Benennung gemäß den geltenden Datenschutzgesetzen.

  • SYSTEMADMINISTRATOR-ZUGRIFF: immer nur über eine geschützte Verbindung mittels SSH-Protokoll von ausdrücklich autorisierten IPs;

  • FIREWALL: Vorhandensein einer Firewall, die den Netzwerkverkehr filtert, einschließlich Eingabe-, Ausgabe- und Weiterleitungsregeln;

  • WAFzum Schutz vor Schwachstellen in Webanwendungen: Die WAF erkennt und schützt vor häufigen Schwachstellen in Webanwendungen wie SQL-Injection, Cross-Site-Scripting (XSS), Cross-Site-Request-Forgery (CSRF) und vielen anderen Webangriffen;

  • WAFzum Blockieren bösartiger Anfragen, einschließlich IP-Reputationsanalyse: Die WAF erkennt und blockiert automatisch bösartige oder verdächtige HTTP-Anfragen, bevor sie die Webanwendung erreichen. Dazu gehört der Schutz vor bösartigen Bots, Schwachstellenscannern und Brute-Force-Angriffen;

  • WAF zur Verkehrskontrolle: Die WAF analysiert den ein- und ausgehenden HTTP-Verkehr, um verdächtige Aktivitäten oder anomales Verhalten zu identifizieren. Dadurch können Sie Bedrohungen in Echtzeit erkennen und abschwächen.

  • WAF Zur DDoS-Erkennung umfasst WAF auch einen Distributed Denial of Service (DDoS)-Schutz, der dabei helfen kann, DDoS-Angriffe gegen Ihren Webserver einzudämmen;

  • Kontinuierliche Protokollanalyse um etwaige SQL-Injection- oder XSS-Angriffe zu erkennen;

  • Softwareentwicklung nach Best Practices, auch durch die Verwendung von PreparedStatement in Java, um mögliche SQL- und/oder XSS-Injection-Angriffe zu verhindern;

  • Zugriff auf das RSIS erlaubt nach doppelter Authentifizierung mit temporärem Code (OTP);

  • Verschlüsselung der Informationen der Berichte, die in der Datenbank unter Verwendung des AES-Verschlüsselungsalgorithmus und eines spezifischen Verschlüsselungsschlüssels aufgezeichnet werden;

  • Verschlüsselung der Sicherung der Berichte: Die Sicherungsdateien werden aus Datensätzen generiert, deren Daten in verschlüsselter Form eingetragen wurden; Folglich enthält die Sicherung der Berichte Datensätze in verschlüsselter Form.

  • NAVIGATIONSLOG:

    1. Aufzeichnung der Betriebsprotokolle des Personals, das für die Verwaltung des Meldesystems verantwortlich ist;

    2. Aufzeichnung von Navigationsprotokollen ausschließlich zum Zweck des Abfangens von Cyberangriffen und der sofortigen Löschung der Registrierung einer Meldung;

  • „Verschlüsselungsschlüssel", erstellt mit dem SHA2-Algorithmus

    1. Es besteht aus einem festen Teil, der sich in einem geschützten Bereich des Webservers befindet, und einem „dynamischen“ Teil, der ausschließlich zum Zeitpunkt der Eingabe des Berichts berechnet wird.

    2.  es ist folglich für jeden Bericht unterschiedlich;

    3. es steht niemandem zur Verfügung, es steht weder dem Datenverantwortlichen und/oder Lieferanten und/oder autorisierten Parteien zur Verfügung;

    4. es wird automatisch erstellt, wenn der Bericht eingegeben oder vom RSIS eingesehen wird;

    5. Auf ausdrücklichen Wunsch des Datenverantwortlichen ist es möglich, den Verschlüsselungsschlüssel zu rekonstruieren, immer unter Einhaltung der geltenden Vorschriften;

    6. Verschlüsselung der Daten bei der Übertragung vom Plattformserver zum Kunden mithilfe des SSL/TLS-Protokolls, das verhindert, dass unbefugte Dritte den Inhalt der Kommunikation abfangen und lesen. SSL/TLS verwendet fortschrittliche Verschlüsselungsalgorithmen wie RSA, DHE (Diffie-Hellman Ephemeral) und ECC (Elliptic Curve Cryptography), um Daten zu schützen.

 

3. MASSNAHMEN ZUR SICHERUNG DER VERFÜGBARKEIT UND INTEGRITÄT DER DATEN

  • Verteilte Datenbank, in Echtzeit auf Clustern ausgerichtet, wobei sich der Masterknoten in zwei verschiedenen Rechenzentren befindet: ServerPlan und Replica auf Aruba;

  • Backup-CDP, durchgeführt über die Software „R1Soft CDP", führt eine inkrementelle Sicherung der gesamten Maschinenfestplatte durch und platziert sie auf anderen Maschinen als der Produktionsmaschine;

  • Backup-FTP, sowohl die Anwendung als auch die Datenbank, auf eine andere Maschine als die Produktionsmaschine übertragen.

 

4. LIEFERANTEN (VERANTWORTLICHER FÜR DIE DATENVERARBEITUNG) TECHNOLOGISCHER INFRASTRUKTUREN

Die Lieferanten wurden als Auftragsverarbeiter gemäß Art. 28 der EU-Verordnung 679/2016.

ServerPlan s.r.l.

Sicherheitsvorrichtungen:

Einbruchmeldesystem;

Überwachung durch Sicherheitsbeamte 24 Stunden am Tag, sieben Tage die Woche;

CCTV-Kameras und digitale Archivierung von Filmmaterial;

Rauch-, Brand- und Überschwemmungsmeldesysteme;

Mehrere und unabhängige Stromversorgungen mit diversifizierten Pfaden;

Kühlsystem mit zwei Stromkreisen;

2 Generatoren in separaten Räumen;

100-Gbit/s-Internetkonnektivität für mehrere Betreiber.

Zertifizierungen:

ISO 9001:2015, Qualitätsmanagementsysteme für den Bereich Webhosting-Dienste und Domain-Registrierungsdienste, Cloud-Speicher, Cloud-Computing, Backup und Disaster Recovery. E-Mail- und Rechnungsdienste, elektronische Dokumentenverwaltung und -speicherung sowie damit verbundene IT-Dienstleistungen

ISO 27001:2013, Informationssicherheitsmanagementsysteme im Rahmen von Webhosting-Diensten und Domain-Registrierungsdiensten, Cloud-Speicher, Cloud-Computing, Backup und Disaster Recovery. E-Mail- und Rechnungsdienste, elektronische Dokumentenverwaltung und -speicherung sowie damit verbundene IT-Dienstleistungen.

ISO 14001:2015, Serverplan entspricht der Norm ISO 14001:2015 für Webhosting-Dienste und Domain-Registrierungsdienste, Cloud-Speicher, Cloud-Computing, Backup und Disaster Recovery. E-Mail- und Rechnungsdienste, elektronische Dokumentenverwaltung und -speicherung sowie damit verbundene IT-Dienstleistungen.

ISO 27017:2015, Umfang der Sicherheitskontrollen für Cloud-Dienste. Die Cloud-Dienste von Server Plan haben die ISO/IEC 27017-Zertifizierung erhalten, die verstärkte Sicherheitsmaßnahmen und zusätzliche Kontrollen für die verwalteten Informationen bietet.

ISO 27018:2019, Geltungsbereich Schutz personenbezogener Daten in Public Cloud-Diensten. Die Cloud-Dienste von Server Plan haben die ISO/IEC 27018-Zertifizierung (eine Erweiterung des ISO 27001-Standards) mit besonderem Bezug auf die Verwaltung personenbezogener Daten erhalten, die als konform mit internationalen Standards gilt.

Zertifizierung der NATIONAL CYBERSECURITY AGENCY Serverplan hat die Prüfungen und Verifizierungen bestanden, um Teil der Gruppe der IaaS-Cloud-Anbieter für die öffentliche Verwaltung zu sein.



Aruba S.p.A.

Sicherheitsmaßnahmen:

Physische Sicherheit

Sicherheitsbereiche mit Videoüberwachung, Einbruchschutzsensoren und Fahrzeugabschreckung, Gebäudezugangskabinen mit Metalldetektoren, Sicherheitsschleusen mit doppelten Authentifizierungssystemen, technologische Systeme zur Verhinderung von Staus, separate Mitarbeiter-/Besucherparkplätze

Risikoprävention

Bereiche mit geringem seismischen und hydrogeologischen Risiko, Trennung von elektrischen Systemen und Batterien in speziellen Gebäuden, überwachte, gekühlte und feuergeschützte Systeme, automatische Rauch- und Flüssigkeitserkennungssysteme in allen sensiblen Bereichen, Inertgas-Löschsysteme und Kraftstoffabschaltung im Brandfall .

Kontinuität des Dienstes

Redundante USV, Stromaggregate und Kühleinheiten, ausgestattet mit zwei PDUs (Power Distribution Unit) für jeden Rack-Schrank, Notstromaggregate mit Volllastautonomie von 48 Stunden ohne Auftanken, Net Operation Center rund um die Uhr besetzt und ständig miteinander verbunden, Ultra -Redundante Konnektivitätssysteme dank Vereinbarungen mit zahlreichen Betreibern.

Zertifizierungen:

ISO 9001:2015. Die ISO 9001-Zertifizierung zielt darauf ab, das Organisationsmanagement eines Unternehmens durch den Einsatz von Ressourcen, Verfahren und Anweisungen zu verbessern, die von den Prinzipien der Vereinfachung, Effizienz und Effektivität inspiriert sind. Die Organisation interner Prozesse, die mit dem Certified Quality System (QMS) übernommen wurden, ermöglicht es uns, dem Kunden einen effizienteren und wettbewerbsfähigeren Service zu bieten und einen echten Beweis für die Qualität der Aruba.it-Produkte zu liefern, die im Hinblick darauf entworfen, hergestellt und geliefert werden ständige Verbesserung.

ISO 27001:2013. Ziel der ISO 27001-Zertifizierung ist es, die Einhaltung bestimmter Sicherheitsstandards bei der Verwaltung von Unternehmensdaten und -informationen sicherzustellen und deren Integrität, Vertraulichkeit und Verfügbarkeit zu wahren. Durch die Einführung eines Informationssicherheits-Managementsystems (ISMS) kann das Unternehmen seinen Kunden die Verwendung sicherer Prozesse und Anwendungen im Hinblick auf Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der verarbeiteten Daten und Informationen garantieren, die geeignet sind, Schwachstellen und Auswirkungen zu verhindern und zu reduzieren Bedrohungen durch unbefugten Zugriff oder Verlust können sich auf die verwalteten Daten und Informationen auswirken.

ISO 27017:2015. Der ISO/IEC 27017-Standard definiert zusätzliche und verstärkte Sicherheitskontrollen, um die von Cloud-Dienstanbietern implementierten Sicherheitsmaßnahmen zu berücksichtigen. Wir bestätigen daher, dass diese Kontrollen in unser Informationsmanagementsystem integriert sind.

ISO 27018:2015. Der ISO/IEC 27018-Standard ist eine Erweiterung des ISO 27001-Standards, der sich insbesondere mit der Verwaltung personenbezogener Daten in Bezug auf Cloud-Lösungen im IaaS-, PaaS- und SaaS-Modus befasst. Die Verwaltung der im Rahmen unserer Cloud-Dienste verarbeiteten personenbezogenen Daten wurde in ihren technischen, organisatorischen und vertraglichen Aspekten als konform mit diesem internationalen Standard bewertet.

ISO 37001:2019 Die ISO 37001-Zertifizierung bestätigt unser Engagement für die Bekämpfung und Verhinderung jeglichen korrupten Verhaltens innerhalb und außerhalb der Gruppe, indem wir ein Managementsystem zur Korruptionsprävention gemäß der Norm ISO 37001:2016 einführen.

 

4. TECHNOLOGISCHE INFRASTRUKTUR

SOFTWARE -Die WhistleBlowing IusPrivacy-Plattform ist eine Technologie, die vollständig von WRP srl entwickelt wurde und ihr Eigentum ist. Die WhistleBlowing-Plattform basiert nicht auf Open-Source-Anwendungen und wurde in der JAVA-Sprache erstellt und auf dem Container Tomcat-Servlet bereitgestellt. Persönliche Daten und Informationen werden in MySQL-Datenbanken erfasst.

Bei der Entwicklung von Java liegt der Schwerpunkt auf Sicherheit. Die JVM schränkt den Speicher- und Datenbankzugriff streng ein und bietet Sicherheitsmechanismen wie die Ausnahmebehandlung, die dazu beitragen, viele Arten von Fehlern und häufige Schwachstellen zu verhindern. Tomcat ist ein Java EE-Webserver, der Servlets und JSP (JavaServer Pages) unterstützt. Diese Komponenten bieten große Flexibilität bei der Verwaltung der serverseitigen Logik von Webanwendungen.

 

HARDWARE- Die Anwendung wird auf Cloud-Servern des ServerPlan-Anbieters mit Unix/Linux-Betriebssystem gehostet. Es handelt sich um die Lösung, mit der Sie schnell leistungsstarkes Hosting mit skalierbaren Ressourcen erhalten. Der Cloud-Server ist eine Maschine, die es durch den Virtualisierungsprozess schafft, ihre Ressourcen in Bezug auf RAM, Speicherplatz und Prozessor mit anderen Maschinen zu teilen.

Der Cloud-Server verwendet NVMe-SSD-Unternehmensfestplatten, die die beste Leistung für die Anwendung garantieren. Die Cloud-Server-Lösung wird auf einer redundanten Cloud-Infrastruktur bereitgestellt und bei Bedarf auf einen anderen Knoten migriert, ohne dass der Dienst unterbrochen wird.

 

INFRASTRUKTUR -Die Plattform befindet sich im Rechenzentrum von ServerPlan in Italien: Die Infrastruktur wird mit Produkten auf Unternehmensebene und zertifizierter Technologie erstellt. ServerPlan und Aruba verwenden die besten auf dem Markt verfügbaren Lösungen, um stets die höchste Leistung in Bezug auf Geschwindigkeit, Stabilität und Sicherheit zu gewährleisten.

Serverplan garantiert eine Verfügbarkeit von 99,95 % für die Konnektivität aller Systeme und stellt sicher, dass alle Routing-Geräte erreichbar sind. Einige Ereignisse können eintreten, die nicht durch das SLA garantiert werden, wie beispielsweise geplante Netzwerkwartungen. In diesem Fall erhält der Benutzer eine Benachrichtigung per E-Mail mit dem für den Eingriff festgelegten Datum.

Um hohe Standards an Sicherheit und Serviceverfügbarkeit zu bieten, wird die WhistleBlowing-Plattform vollständig auf einem anderen Server als dem von Serverplan des Anbieters Aruba S.p.A. repliziert.

 

Überprüfen Sie den Bericht, den Sie in Prandaza haben, das mit den folgenden Anmeldeinformationen eingefügt wurde

Durch Festlegen der Authentifizierungsanmeldeinformationen können Sie die vorhergehende Phase des zuvor formulierten Berichts untersuchen

Gibt das Jahr an, in dem der Bericht formuliert wurde
Wert korrekt eingegeben
 
Gibt den Monat an, in dem der Bericht formuliert wurde
Wert korrekt eingegeben
 
Indica la password che ti è stata assegnata a seguito dell'inserimento della segnalazione
Wert korrekt eingegeben
 

Fügen Sie einen neuen Bericht ein

Geben Sie einen Bericht ein: Sie können Anhänge auf der Seite nach dem ersten auf die Seite einfügen

Gibt an, ob Sie diesen Bericht auf anonyme Weise formulieren möchten

Berichte des Berichts
Wert korrekt eingegeben
*Gibt an, ob Sie ein privates Interesse am Bericht haben
Wert korrekt eingegeben
*Gibt an, ob Sie an der Straftat/dem Straftat teilgenommen haben, die Sie melden möchten
Wert korrekt eingegeben
*Geben Sie Ihren Namen und Ihren Nachnamen an
Wert korrekt eingegeben
*Gibt die Methode an, die Sie kontaktiert werden möchten und/oder informiert bleiben
Wert korrekt eingegeben
*Geben Sie Ihre E -Eil -Box an
Prefisso
Wert korrekt eingegeben
*Geben Sie Ihre Telefonnummer an
Datenberichterstattung
Wert korrekt eingegeben
*Zeigt die Art von Verbrechen/Illegal an
Wert korrekt eingegeben
*Zeigt das Objekt des Berichts an
Wert korrekt eingegeben
*Beschreiben Sie auf umfassende Weise die Straftat/das Verbrechen
Wert korrekt eingegeben
*Zeigt den Ort, die Stadt, die Stadt oder den Sitz des Unternehmens an, an dem das Verbrechen/Illegale begangen wurde
Wert korrekt eingegeben
*Es zeigt den Zeitraum an, in dem das Verbrechen/Illegale begangen wurde: Es zeigt an, dass Sie Kenntnisse hatten und da das nicht legitime Verhalten so begann, als ob die falschen Aktionen derzeit im Gange oder beendet sind
Daten der gemeldeten
Wert korrekt eingegeben
*Zeigt den Namen und den Nachnamen derer an, die, noch mehr Menschen, das Verbrechen/Illegal haben
Wert korrekt eingegeben
*Gibt die Abteilung oder das Büro an, in dem der Bericht seine Funktionen erfüllt
Wert korrekt eingegeben
*Zeigt alle anderen Informationen darüber an, wer das Verbrechen/Illegale begangen hat


Sie können die Anhänge in der nächsten Phase nach Eingabe der Anfrage eingeben

powered by IusPrivacy.eu - P.I./C.F. IT05395060824