Technische und organisatorische Massnahmen (TOMs)

  • Version: 1.0
  • Gültig ab: 06. November 2022

Dieses Dokument beschreibt die technischen und organisatorischen Massnahmen, die von der GObugfree AG implementiert wurden, um gesetzlichen und vertraglichen Anforderungen beim Umgang mit Personendaten gerecht zu werden.

Es beschreibt die minimalen Sicherheitsstandards, die GObugfree AG für die GObugfree AG-Dienstleistungen gemäss dem Servicevertrag anwendet.

Datenzugriff

Ziele

  • Physischer Zugriff auf Personendaten ist geschützt.
  • Datenverarbeitungssysteme werden nur von genehmigten, authentifizierten Nutzern verwendet.

Massnahmen beinhalten

  • GObugfree AG unterhält angemessene Kontrollen für das Anfordern, Genehmigen, Gewähren, Ändern, Widerrufen und Revalidieren des Benutzerzugriffs auf Systeme und Anwendungen, die Personendaten enthalten.
  • GObugfree AG folgt dem Prinzip der minimalen Rechtevergabe: Nur Mitarbeitende mit klar erkennbarem geschäftlichem Bedarf haben Zugriff auf Personendaten auf Servern, innerhalb von Anwendungen, Datenbanken und/oder die Möglichkeit, Daten zuzugreifen.
  • Verfahren zum Entzug von Zugriffsrechten sind vorhanden.
  • Für den Zugriff auf Systeme ist eine Zwei-Faktor-Authentifizierung erforderlich.
  • Alle Nutzenden greifen mit einer eindeutigen Kennung (Benutzer-ID) auf die Systeme der GObugfree AG zu.
  • GObugfree AG verwendet gut konfigurierte Firewalls für alle Dienste.
  • Die Produktionsumgebung ist von der Entwicklungs- und Testumgebung getrennt, und Entwicklungspersonal hat nur im Rahmen von Fehlerbehebungen Zugriff auf die Produktionsumgebung.
  • Die Büroräumlichkeiten sind stets verschlossen und nur autorisiertes Personal hat Zugang. Verfahren zum Entzug von Zugriffsrechten sind vorhanden.

Datenlebenszyklus

Ziele

  • Personendaten bleiben während der Verarbeitung vertraulich sowie intakt, vollständig und aktuell (Pseudonymisierung und Anonymisierung).
  • Personendaten sind vor versehentlicher Zerstörung oder Verlust geschützt, und im Falle eines Vorfalls ist ein rechtzeitiger Zugriff, eine Wiederherstellung oder Verfügbarkeit gewährleistet.

Massnahmen beinhalten

  • Um die Verfügbarkeit des Dienstes zu unterstützen, nutzt GObugfree AG Microsoft Azure mit Skalierung, Verfügbarkeitszonen und umfassendem Anwendungs- und Infrastrukturmonitoring.
  • GObugfree AG erstellt Backups der Datenspeicher, einschliesslich Kundendaten, welche die Kernfunktionen der GObugfree AG-Anwendung unterstützen.
  • GObugfree AG unterhält eine Reaktionseinheit für Sicherheitsvorfälle, einschliesslich eines dokumentierten Plans zur Reaktion auf Vorfälle mit Personendaten. Dieser definiert, wie Vorfälle eingedämmt, behandelt, bewertet und kommuniziert werden, sowie Rollen und Verantwortlichkeiten des GObugfree AG-Personals und die Anforderung von Nachbesprechungen.
  • GObugfree AG schult und testet seine Softwareentwickler:innen und Qualitätssicherungspersonal in Bezug auf Anwendungssicherheit und sicheres Programmieren.
  • Sicherheitstests umfassen Code-/Sicherheitsprüfungen, statische Code-Analyse-Tools und ein Bug-Bounty-Programm.
  • DDoS-Schutzmassnahmen sind installiert und schützen die Internet-Perimeter.
  • Patches, Sicherheitsupdates, Geräteaustausch, Kapazitätserweiterungen und andere Infrastrukturänderungen werden sorgfältig geplant und ausgeführt.
  • Kundendaten, die auf Servern von GObugfree AG gespeichert sind, sind verschlüsselt. Personendaten werden getrennt von Transaktionsdaten gespeichert.
  • GObugfree AG verfügt über ein Informationssicherheits-Managementsystem basierend auf dem ISO27001-Standard.

Datenaustausch

Ziele

  • Verhindern, dass Personendaten während der Übertragung von unbefugten Dritten gelesen, kopiert, verändert oder gelöscht werden.

Massnahmen beinhalten

  • GObugfree AG verschlüsselt Daten, die zwischen Kund:innen und der GObugfree AG-Anwendung über öffentliche Netzwerke übertragen werden, mittels TLS 1.2 oder höher.
  • Personendaten, die ausserhalb des Produktionsrechenzentrums gespeichert werden, sind durch Verschlüsselung im Ruhezustand geschützt.
  • GObugfree AG greift nicht auf personenbezogene Kundendaten zu, ausser zur Erbringung der Dienstleistungen für den Kunden, wie es zur Unterstützung der Kundenerfahrung erforderlich ist. Dazu gehören der allgemeine Betrieb und die Überwachung der Dienste, Fehlerbehebungs- und Wartungszwecke, Sicherheitsgründe, gesetzliche Anforderungen oder auf Anfrage des Kunden.

Auskunftsrecht

Ziele

  • Nutzende haben das Recht, über ihre Daten informiert zu werden.
  • Nutzende können verlangen, dass ihre Daten gelöscht werden, und bei fehlerhaften Daten, dass diese korrigiert werden.

Massnahmen beinhalten

  • GObugfree AG hat einen Prozess zur Löschung und Herausgabe von Kundendaten auf Anfrage innerhalb von 28 Tagen.
  • Anfragen können über das Kontaktformular oder per E-Mail an [email protected] gesendet werden.