Il Whistleblowing di Venis S.p.A utilizza un sistema a doppia crittografia:

• asimmetrica lato client, sul browser di chi effettua la segnalazione
• simmetrica lato server, nel Centro Servizi di Venis S.p.A

Le informazioni relative al fatto segnalato, il messaggio ed i file allegati vengono crittati, prima dell'invio sul browser di chi sta segnalando, con la chiave pubblica del Responsabile anti corruzione.
I dati anagrafici di chi segnala il fatto vengono crittati, allo stesso modo, con la chiave pubblica del Responsabile della sicurezza informatica.

Tutti i dati sono pertanto trasmessi attraverso la rete Internet già crittografati e attraverso il protocollo sicuro HTTPS.
Una volta inviati al server, i dati sono ulteriormente crittati con chiave simmetrica e salvati all'interno del database. I file, prima di essere salvati nel database, sono compressi all'interno di un file zip.

Soltanto i due Responsabili, in possesso esclusivo delle rispettive credenziali di accesso e delle chiavi private, sono in grado di visualizzare il contenuto della parte di segnalazione di propria competenza.

I dati e le informazioni relative alla segnalazione possono essere visualizzati soltanto dal Responsabile anti corruzione di Venis S.p.A.
I dati anagrafici possono essere decriptati soltanto dal Responsabile dela sicurezza informatica e solo su richiesta dell'Autorità giudiziaria, dopo aver ricevuto l'identificativo della segnalazione da parte del Responsabile anti corruzione.

La cifratura lato server è eseguita con algoritmo AES-256-CBC con vettore unico ad inizializzazione casuale per ogni operazione. La cifratura lato client è implementata attraverso il protocollo OpenPGP.

Questo è il flusso delle operazioni in invio della segnalazione
client encryption -> server encryption -> database saving

Questo è invece il flusso delle operazioni in lettura della segnalazione
database loading -> server decryption -> client decryption

Le principali tecnologie utilizzate sono:

• NodeJS
• MongoDB
• OpenPGP.js
• Material design

Il Whistleblowing di Venis S.p.A è stato realizzato da Marco Gazzuolo con la collaborazione di Gianluca Mura dell'Unità Operativa Nuovi Servizi di Venis SpA