Oxari-SGN to narzędzie zarządzające procesem rejestracji zgłoszeń oraz ochrony sygnalistów wykonywanych w ramach dyrektywy (UE) 2019/1937 z 23 października 2019r. Zgodnie z jej założeniami każda firma zatrudniająca powyżej 50 pracowników jest zobowiązana do zapewnienia anonimowego kanału informacyjnego pozwalającego zgłosić dowolne naruszenie w obrębie działalności organizacji. Procedura wymusza również, aby sprawa była prowadzona w sposób przejrzysty i bezpieczny dla zgłaszającego.
Proces rejestracji naruszenia
Zgłoszenie naruszenia
- zapoznanie z Regulaminem Zgłoszenia Naruszeń
- rejestracja naruszenia poprzez anonimowy formularz (brak logowania użytkownika, generowanie indywidualnego tokenu dostępowego)
Przyjęcie zgłoszenia
- zapis zgłoszenia w bezpiecznej bazie danych
- ograniczenie dostępu do zgłoszenia dla wybranej grupy osób
Analiza
- wstępna analiza zasadności zgłoszenia oraz ocena wpływu na organizację
Działania następcze
- wdrożenie środków naprawczych według ustalonego planu działania
- dokumentacja zdarzenia oraz zastosowanych środków
Zamknięcie
- zamknięcie zgłoszenia wraz z przeniesieniem do archiwum
Korzyści wdrożenia systemu OXARI-SGN
- Zgodność z dyrektywą UE oraz ISO
Spełnienie wymagań prawa unijnego oraz certyfikacji ISO37002 w zakresie rejestracji, obsługi oraz terminu zakończenia postępowania.
Zapewnienie maksymalnej anonimowości sygnaliście poprzez wbudowane mechanizmy dostępu do informacji wrażliwych.
Pełne bezpieczeństwo danych dzięki wewnętrznemu szyfrowaniu kluczowych informacji dotyczących naruszenia oraz komunikacja z wykorzystaniem protokołu HTTPS.
Wsparcie dla sygnalisty w zakresie aktualnego stanu zgłoszenia (unikalny token dostępowy) oraz zapewnienie bezpiecznego kanału komunikacji (pytania, odpowiedzi, konsultacje z sygnalistą).
Krótki czas wdrożenia oraz uruchomienia produkcyjnego dzięki użyciu dedykowanych funkcji systemu.
Obsługa procedury naruszenia w systemie OXARI
Zdefiniowane role w systemie
Główny administrator systemu – osoba wyznaczona do tej roli, która odpowiada za stworzenie i edycję formularza zgłoszenia oraz zarządzanie rolami systemowym
Sygnalista – pracownik zgłaszający naruszenie w organizacji
Opiekun – dowolna osoba z organizacji dedykowana do obsługi procedury naruszenia
Rejestracja zgłoszenia
Rejestracja zgłoszenia przez użytkownika wewnętrznego może odbyć się na dwa sposoby:
- Zgłoszenie zalogowanego pracownika
- Zgłoszenie anonimowe
W przypadku zgłoszenia anonimowego pracownik na ekranie logowania do systemu OXARI-SGN ma do dyspozycji dedykowany formularz zgłoszenia. Zgłoszenie po rejestracji otrzymuje unikalny numer sprawy oraz generuje token dostępowy dla sygnalisty umożliwiający podgląd aktualnego statusu zgłoszenia. System automatycznie wysyła powiadomienie mailowe o nowym zgłoszeniu do wyznaczonych osób nadzorujących procedurę naruszeń.
Obsługa zgłoszenia – przyjęcie, analiza, działania
Opiekun jest jedyną osobą mającą dostęp do interfejsu systemu w zakresie zgłoszeń o charakterze „Sygnalisty”. W systemie OXARI znajduje się zbiór uprawnień do realizacji procesu rejestracji i obsługi naruszenia. Pozostali Administratorzy IT nie mają dostępu do tego obszaru konfiguracji oraz zakresu prezentowanych danych. Po rejestracji naruszenia Opiekun może dodawać komentarze, załączniki oraz zmieniać status. System pozwala także określić, które informacje są dostępne dla zgłaszającego (dostęp przez wygenerowany numer sprawy oraz token).
Możliwości implementacji
Składniki OXARI-SGN mogą zostać zainstalowane w infrastrukturze klienta lub dostępne za pośrednictwem usługi Cloud. Separacja narzędzia procesowego od własnych zasobów IT dodatkowo podnosi bezpieczeństwo Sygnalisty i wyklucza możliwość ingerencji oraz podglądu danych przez niepowołane osoby.
Formularz zgłoszenia dla sygnalisty
System OXARI posiada wbudowany formularz zgłoszenia zawierający predefiniowane atrybuty takie jak opis zgłoszenia oraz opcjonalny prywatny adres e-mail sygnalisty.
Administrator może edytować formularz w zakresie widocznych oraz wymaganych atrybutów.
Co ważne, wdrożenie prawidłowej polityki w zakresie „Sygnalisty” wymaga wyznaczenia i upoważnienia do konfiguracji systemu wybranej osoby/grupy osób (również w obrębie dostępu do bazy danych). Ograniczenie jest związane z bezpośrednim dostępem technicznym pracowników działu IT do infrastruktury przechowującej wrażliwe dane (bazy danych, kopie zapasowe, zasoby sieciowe).