(A) Allgemeine Bestimmungen
Dieses Dokument beschreibt die technischen und organisatorischen Massnahmen, welche Condent Software AG zum Schutz der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit von Personendaten trifft.
(B) Technische und organisatorische Sicherheitsmassnahmen
1. Vertraulichkeit
1.1. Zugangskontrolle
"Unbefugten ist der (räumliche) Zutritt zu Datenverarbeitungsanlagen, in denen Kundendaten (einschliesslich Personendaten) verarbeitet werden oder genutzt werden, zu verwehren."
Umgesetzte Massnahmen:
1.2. Benutzerkontrolle
"Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können."
Umgesetzte Massnahmen:
1.3. Zugriffskontrolle und Speicherkontrolle
"Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die zur Erfüllung ihrer Aufgaben notwendigen (Need-to-Know) und ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Kundendaten (einschliesslich Personendaten) bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können."
Umgesetzte Massnahmen:
2. Integrität
2.1. Weitergabekontrolle (Transportkontrolle, Datenträgerkontrolle und Bekanntgabekontrolle)
"Es ist zu gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung von Personendaten durch Einrichtungen zur Datenübertragung vorgesehen ist."
Umgesetzte Massnahmen:
2.2. Eingabekontrolle und Protokollierung
"Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind."
Umgesetzte Massnahmen:
3. Verfügbarkeit und Belastbarkeit
3.1. Verfügbarkeitskontrolle und Wiederherstellung
"Es ist zu gewährleisten, dass Kundendaten (einschliesslich Personendaten) gegen zufällige oder mutwillige Zerstörung oder Verlust geschützt sind. Rasche Wiederherstellbarkeit ist sicherzustellen."
Umgesetzte Massnahmen:
3.2. Belastbarkeit und Zuverlässigkeit
"Es ist sicherzustellen, dass IT- Systeme möglichst auch bei Störungen und Fehlern funktionsfähig bleiben. Zudem ist sicherzustellen, dass Fehlfunktionen von IT-Systemen intern gemeldet werden."
Umgesetzte Massnahmen:
4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung
4.1. Datenschutz-Management
Umgesetzte Massnahmen:
4.2. Incident-Response-Management (Erkennung und Minderung oder Beseitigung von Verletzungen der Datensicherheit)
Umgesetzte Massnahmen:
4.3. Datenschutzfreundliche Voreinstellungen
Umgesetzte Massnahmen:
Grundsatz der Datenminimierung wird eingehalten. Es werden nur Daten zum Zweck gesammelt, welche in der Datenschutzerklärung angegeben werden Auftragskontrolle
"Keine Auftragsdatenverarbeitung oder Unter-Auftragsbearbeitung ohne entsprechende Weisung des Kunden."
Umgesetzte Massnahmen:
Letzte Version: September 2023