Technische und organisatorische Massnahmen (TOM)
OPTEN AG

(A) Allgemeine Bestimmungen

Dieses Dokument beschreibt die technischen und organisatorischen Massnahmen, welche OPTEN AG zum Schutz der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit von Personendaten trifft.


(B) Technische und organisatorische Sicherheitsmassnahmen


1. Vertraulichkeit

1.1. Zugangskontrolle
"Unbefugten ist der (räumliche) Zutritt zu Datenverarbeitungsanlagen, in denen Kundendaten (einschliesslich Personendaten) verarbeitet werden oder genutzt werden, zu verwehren."

Umgesetzte Massnahmen:

  • Zutrittskontrollsystem (Chipkarte) Schlüssel / Schlüsselvergabe
  • Türsicherung (elektrische Türöffner)
  • Regelmässige Überprüfung der Dauerzutrittsgenehmigungen

1.2. Benutzerkontrolle
"Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können."

Umgesetzte Massnahmen:

  • Zutrittskontrollsystem (Chipkarte) Schlüssel / Schlüsselvergabe
  • Türsicherung (elektrische Türöffner)
  • Regelmässige Überprüfung der Dauerzutrittsgenehmigungen

1.3. Zugriffskontrolle und Speicherkontrolle
"Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die zur Erfüllung ihrer Aufgaben notwendigen (Need-to-Know) und ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Kundendaten (einschliesslich Personendaten) bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können."

Umgesetzte Massnahmen:

  • Differenzierte Berechtigungen (Profile, Rollen) Auswertungen / Reports
  • Kein “Account-Sharing” (mehrere Personen nutzen einen Account) / eindeutige “Benutzer- ID” (Benutzer-Zuordnung)


2. Integrität

2.1. Weitergabekontrolle (Transportkontrolle, Datenträgerkontrolle und Bekanntgabekontrolle)
"Es ist zu gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung von Personendaten durch Einrichtungen zur Datenübertragung vorgesehen ist."

Umgesetzte Massnahmen:

  • Verschlüsselung / Tunnelverbindung (VPN = Virtual Private Network)
  • Protokollierung (Logging) Transportsicherung

2.2. Eingabekontrolle und Protokollierung
"Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind."

Umgesetzte Massnahmen:

  • Protokollierungs- und Protokollauswertungssysteme


3. Verfügbarkeit und Belastbarkeit

3.1. Verfügbarkeitskontrolle und Wiederherstellung
"Es ist zu gewährleisten, dass Kundendaten (einschliesslich Personendaten) gegen zufällige oder mutwillige Zerstörung oder Verlust geschützt sind. Rasche Wiederherstellbarkeit ist sicherzustellen."

Umgesetzte Massnahmen:

  • Backup-Verfahren, Widerstandsfähigkeit (Resilience) von IT-Systemen Integrität (Integrativity) der IT-Systeme
  • Spiegeln von Festplatten, z.B. RAID-Verfahren
  • Getrennte Aufbewahrung
  • Virenschutz / Firewall

3.2. Belastbarkeit und Zuverlässigkeit
"Es ist sicherzustellen, dass IT- Systeme möglichst auch bei Störungen und Fehlern funktionsfähig bleiben. Zudem ist sicherzustellen, dass Fehlfunktionen von IT-Systemen intern gemeldet werden."

Umgesetzte Massnahmen:

  • IT-Systeme sind so ausgestaltet, dass wesentliche Funktionen auch bei Störungen und Fehlern ausführbar bleiben.
  • Einrichtungen werden so geplant und implementiert, dass eine dem Risiko angemessene Ausfallsicherheit besteht.
  • Es werden Prozesse zur Meldung von Fehlfunktionen an die Geschäftsleitung implementiert


4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

4.1. Datenschutz-Management
Umgesetzte Massnahmen:

  • Datenschutzerkärung
  • Datenschutzerklärung für Mitarbeitende
  • ADV
  • TOM
  • Schulungen

4.2. Incident-Response-Management (Erkennung und Minderung oder Beseitigung von Verletzungen der Datensicherheit)
Umgesetzte Massnahmen:

  • Schulungen
  • Prozesse

4.3. Datenschutzfreundliche Voreinstellungen
Umgesetzte Massnahmen:
Grundsatz der Datenminimierung wird eingehalten. Es werden nur Daten zum Zweck gesammelt, welche in der Datenschutzerklärung angegeben werden Auftragskontrolle

"Keine Auftragsdatenverarbeitung oder Unter-Auftragsbearbeitung ohne entsprechende Weisung des Kunden."

Umgesetzte Massnahmen:

  • Eindeutige Vertragsgestaltung
  • Schriftliche Auftragserteilung
  • Kriterien zur Auswahl des Auftragnehmers
  • Kontrolle der Vertragsausführung

 

Letzte Version: August 2023