Ασφάλεια #
Το EthicsPortal επεξεργάζεται ευαίσθητα δεδομένα αναφορών. Η σελίδα αυτή καταγράφει τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουμε.
Τελευταία ενημέρωση: 22 Απριλίου 2026.
Κρυπτογράφηση δεδομένων #
Όλα τα ευαίσθητα πεδία κρυπτογραφούνται σε κατάσταση ηρεμίας με Rails Active Record Encryption και μη ντετερμινιστική κρυπτογράφηση.
| Πεδίο | Κρυπτογραφημένο | Ντετερμινιστικό |
|---|---|---|
| Περιγραφή αναφοράς | Ναι | Όχι |
| Όνομα προσώπου που αναφέρει | Ναι | Όχι |
| Στοιχεία επικοινωνίας | Ναι | Όχι |
| Περιεχόμενο μηνυμάτων | Ναι | Όχι |
Όλες οι συνδέσεις στο EthicsPortal χρησιμοποιούν HTTPS/TLS.
Ανωνυμία και απόρρητο #
Ανωνυμοποίηση IP #
Το EthicsPortal δεν αποθηκεύει ποτέ IP διευθύνσεις. Τα portal routes χρησιμοποιούν one-way SHA256 hash της IP μόνο για rate limiting.
Αφαίρεση μεταδεδομένων αρχείων #
Τα uploads καθαρίζονται αυτόματα από αναγνωριστικά μεταδεδομένα πριν αποθηκευτούν:
| Τύπος αρχείου | Μεταδεδομένα που αφαιρούνται | Μέθοδος |
|---|---|---|
| Εικόνες | EXIF: GPS, μοντέλο κάμερας, author, timestamps | Vips |
| Author, creator app, history τροποποιήσεων | exiftool | |
| Βίντεο | GPS, πληροφορίες συσκευής, recording software | exiftool |
| Ήχος | Recording device, GPS, software tags | exiftool |
Έλεγχος για malware #
Όλα τα uploads ελέγχονται αυτόματα για malware με ClamAV. Τα μολυσμένα αρχεία αφαιρούνται αυτόματα.
Ανωνυμία χειριστών #
Τα πρόσωπα που αναφέρουν δεν βλέπουν ποτέ τα πραγματικά ονόματα ή email των χειριστών. Όλα τα μηνύματα εμφανίζονται ως «Case handler».
Χωρίς tracking #
Το EthicsPortal δεν χρησιμοποιεί tracking cookies, advertising pixels ή fingerprinting scripts τρίτων. Το Cloudflare Web Analytics χρησιμοποιείται μόνο στις marketing pages.
Τρέχον assurance status #
Το EthicsPortal δεν δηλώνει επί του παρόντος σε αυτόν τον ιστότοπο ISO 27001, SOC 2 ή ισοδύναμη πιστοποίηση. Επίσης δεν δημοσιεύει προς το παρόν ανεξάρτητο third-party audit της αρχιτεκτονικής ανωνυμίας. Αν αυτό αλλάξει, το scope και η ημερομηνία θα δημοσιευθούν εδώ.
Υλικά για security review #
Οι πελάτες που χρειάζονται υλικά για procurement ή νομικό review μπορούν να τα ζητήσουν κατά την αξιολόγηση. Τα διαθέσιμα υλικά μπορεί να περιλαμβάνουν αντιυπογεγραμμένη DPA, αποδεικτικά μητρώου και φορολογικά έγγραφα, συμπληρωμένο security questionnaire και γραπτές απαντήσεις για backup και restore procedures, privileged production access και incident response.
Έλεγχος πρόσβασης #
Η εξουσιοδότηση εφαρμόζεται στο επίπεδο εφαρμογής με Pundit.
| Ρόλος | Βλέπει αναφορές | Διαχειρίζεται ρυθμίσεις οργάνωσης | Αναθέτει χειριστές |
|---|---|---|---|
| Admin | Όλες | Ναι | Ναι |
| Handler | Μόνο όσες του έχουν ανατεθεί | Όχι | Όχι |
Δύο παράγοντες #
Οι λογαριασμοί handlers και admins μπορούν να ενεργοποιήσουν TOTP-based 2FA.
Τα πρόσωπα που αναφέρουν αυθεντικοποιούνται επίσης με δύο παράγοντες: Case ID και passcode.
Rate limiting #
| Endpoint | Όριο |
|---|---|
| Υποβολή αναφοράς | 5 ανά 10 λεπτά |
| Αναζήτηση υπόθεσης | 10 ανά 3 λεπτά |
| Υποβολή μηνύματος | 10 ανά 3 λεπτά |
Audit και συμμόρφωση #
Audit trail μόνο με προσθήκες #
Κάθε ενέργεια στο EthicsPortal καταγράφεται με:
- timestamp (UTC)
- actor
- action type
Οι εγγραφές δεν μπορούν να τροποποιηθούν ή να διαγραφούν από χρήστες.
Διατήρηση δεδομένων #
Οι οργανισμοί ορίζουν περίοδο διατήρησης 12, 24, 36 ή 60 μηνών μετά το κλείσιμο της αναφοράς. Μετά τη λήξη, τα δεδομένα διαγράφονται αυτόματα.
Προστασία CSRF #
Όλες οι φόρμες προστατεύονται με CSRF tokens της Rails.
Υποδομή #
| Συστατικό | Πάροχος | Τοποθεσία |
|---|---|---|
| Application server και database | Hetzner | Νυρεμβέργη, Γερμανία (ΕΕ) |
| File storage | Hetzner Object Storage | Νυρεμβέργη, Γερμανία (ΕΕ) |
| Transactional email | Mailjet | Γαλλία (ΕΕ) |
| Πληρωμές | Stripe | ΕΕ |
Operational review #
Αυτή η σελίδα είναι δημόσια σύνοψη ασφάλειας. Μέρος των operational υλικών κοινοποιείται στο πλαίσιο procurement review αντί να δημοσιεύεται πλήρως στον ανοιχτό ιστό, επειδή περιέχει λεπτομέρειες υποδομής και απόκρισης που είναι καταλληλότερες για ελεγχόμενη κοινοποίηση.
Θέματα διαθέσιμα κατόπιν αιτήματος στο procurement review περιλαμβάνουν:
- Περίληψη backup και restore
- Recovery objectives και προσέγγιση restore testing
- Περίληψη privileged production access
- Workflow incident response και escalation contacts
- Απαντήσεις για business continuity και customer offboarding / export
Υπεύθυνη γνωστοποίηση #
Αν ανακαλύψετε ευπάθεια ασφαλείας στο EthicsPortal, παρακαλούμε αναφέρετέ την στο support@ethicsportal.eu.
Τελευταία ενημέρωση: