fusedeck

1. Vertraulichkeit

1.1 . Zutrittskontrolle

Technische Massnahmen
  • Alarmanlage
  • Biometrische Zugangssperren
  • Chipkarten / Transpondersysteme
  • Manuelles Schliesssystem
  • Sicherheitsschlösser
  • Zugangs-Fernsperrung
Organisatorische Massnahmen
  • Schlüsselregelung / Schlüsselliste
  • Besuchermanagement-System: Erfassung Check-In/Out, Begleitung zu Mitarbeiter
  • Sorgfalt bei Auswahl Reinigungsdienste

1.2 . Zugangskontrolle

Technische Massnahmen
  • Login mit Benutzername und Passwort
  • Passwort Mindestanforderungen
  • 2-Faktor-Authentifizierung
  • Anti Viren / Malware Schutz
  • Firewall
  • Verschlüsselung von Datenträgern
  • Verschlüsselung von Daten in der Datenbank
  • Automatische Desktopsperre
  • Beschränkte Installationsbefugnisse
Organisatorische Massnahmen
  • Verwaltung von Benutzerberechtigungen
  • Richtlinie „sicheres Passwort“
  • Mobile Device Policy
  • Automatisiertes Update der Anti-Viren Software
  • Richtlinie für externe Datenträger

1.3 . Zugriffskontrolle

Technische Massnahmen
  • Protokollierung von Zugriffen auf Anwendungen (Eingabe, Änderung und Löschung von Daten)
  • Aktenschredder
Organisatorische Massnahmen
  • Verwaltung Benutzerrechte durch IT
  • Minimale Anzahl an Administratoren
  • Richtlinie Zugangsrechte

1.4 . Trennungskontrolle

Technische Massnahmen
  • Trennung von Produktiv-, Test- und Entwicklungsumgebung
  • Physikalische Trennung von Systemen und Datenbanken oder Shared Stack (je nach Kundenwunsch)
  • Mandantenfähigkeit (keine globalen Accounts)
Organisatorische Massnahmen
  • Festlegung von Datenbankrechten
  • Datensätze sind mit Zweckattributen versehen

1.5 . Anonymisierung / Pseudonymisierung

Technische Massnahmen
  • Standardmässige Anonymisierung (Tracking) von personenbezogenen Daten (z.B. IP-Adressen)
Organisatorische Massnahmen
  • Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren

2. Integrität

2.1. Weitergabekontrolle

Technische Massnahmen
  • Protokollierung Zugriffe und Abrufe
  • Einsatz von VPN
  • Verschlüsselte Verbindungen (https, wss)
Organisatorische Massnahmen
  • Dokumentation der Datenempfänger
  • Datenweitergabe wenn möglich in anonymisierter oder pseudonymisierter Form
  • Zugriffs-Logs

2.2. Eingabekontrolle

Technische Massnahmen
  • Technische Protokollierung von Eingaben, Änderungen und Löschungen
  • Manuelle Kontrolle der Protokolle
Organisatorische Massnahmen
  • Nachvollziehbarkeit auf Nutzerebene
  • Vergabe von Rechten für Zugriff, Änderung und Löschung
  • Automatisierte Löschungen

3. Verfügbarkeit und Belastbarkeit

3.1. Verfügbarkeitskontrolle

Technische Massnahmen
Organisatorische Massnahmen
  • Backup- und Recovery-Verfahren
  • Tests zur Datenwiederherstellung

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

4.1. Datenschutz-Management

Technische Massnahmen
  • Software-Lösung für Datenschutz Management im Einsatz
  • Zentrale, interne Dokumentation von Verfahrensweisen und Regelungen zum Datenschutz
  • Interne Informationssicherheitsdokumentation
  • Regelmässige Überprüfung der technischen Schutzmassnahmen
Organisatorische Massnahmen
  • Interner Datenschutz-Beauftragter und Datenschutz-Vertretung im EWR: https://fusedeck.com/de/datenschutzerklaerung/
  • Mitarbeiter geschult und verpflichtet auf Vertraulichkeit und Geheimhaltung
  • Regelmässige Sensibilisierung der Mitarbeiter

4.2. Incident-Response-Management

Technische Massnahmen
  • Einsatz von Firewall und regelmässige Updates
  • Einsatz von Spam-Filter und regelmässige Updates
  • Einsatz von Virenscanner und regelmässige Updates
Organisatorische Massnahmen
  • Prozess zur Erkennung und Meldung von Sicherheitsvorfällen
  • Dokumentation von Sicherheitsvorfällen durch Ticket-System
  • Prozess zur Nachbearbeitung von Sicherheitsvorfällen

4.3. Datenschutzfreundliche Voreinstellungen

Technische Massnahmen
  • Per Default werden nicht mehr Daten erhoben als sie für den jeweiligen Zweck notwendig sind.
  • Einfache Ausübung des Widerrufrechts, Recht auf Korrektur oder Löschung
  • Automatisierte Löschung von Daten nach Ablauf der Retention Time. Der Auftraggeber kann eigene Speicherdauern pro Event festlegen.
Organisatorische Massnahmen
  • Vertraglich vereinbarte Zuständigkeiten zwischen Auftraggeber und Datenverarbeiter

4.4. Auftragskontrolle

Technische Massnahmen
  • Zugriff auf Löschfunktionen beim Auftragnehmer wenn immer möglich
Organisatorische Massnahmen
  • Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmassnahmen
  • Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. Standard-Vertragsklauseln
  • Regelung zum Einsatz von Subunternehmen
  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

5. Unterstützung des Auftraggebers

5.1. Unterstützung bei Beantwortung von Anträgen betroffener Personen

Technische Massnahmen
  • Dem Auftraggeber stehen technische Funktionen zur Verfügung, um Daten selbst zu exportieren oder zu löschen
Organisatorische Massnahmen
  • Prozess um Anfragen von betroffenen Personen an den Verantwortlichen weiterzuleiten