Technische und organisatorische Massnahmen (TOM)

Version: 29.09.2023

Verantwortlicher

Verantwortlicher gem. Art. 5 lit. j Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) ist Netstream AG, Richtistrasse 4, 8304 Wallisellen, Schweiz, E-Mail: hello@netstream.ch. Gesetzlich vertreten werden wir durch Alexis Caceda.

Datenschutzberater

Unser Datenschutzberater ist über die heyData GmbH, Schützenstrasse 5, 10117 Berlin, www.heydata.eu, E-Mail: datenschutz@heydata.eu erreichbar.

Gegenstand des Dokuments

Dieses Dokument fasst die vom Verantwortlichen getroffenen technische und organisatorische Massnahmen im Sinne von Art. 8 Abs. 1 DSG zusammen. Das sind Massnahmen, mit denen der Verantwortliche personenbezogene Daten schützt.

1. Vertraulichkeit

1.1 Zutrittskontrolle

Massnahmen Büroräumlichkeiten:

     Absicherung von Gebäudeschächten

     Automatisches Zugangskontrollsystem

     Chipkarten-/Transponder-Schliesssystem

     Sicherheitsschlösser

     Klingelanlage mit Kamera

     Schlüsselregelung / Schlüsselbuch

     Sorgfältige Auswahl von Sicherheitspersonal

     Besucher nur in Begleitung durch Mitarbeitende

     Sorgfältige Auswahl des Reinigungspersonals und vertragliche Policy

     Türen mit Knauf Aussenseite

     Arbeit im Homeoffice: Policy vorhanden

 

Massnahmen Rechenzentren:

     Videoüberwachung

     Automatisches Zugangskontrollsystem

     Elektronisches Schliesssystem mit Berechtigungsmanagement

     Biometrische Zugangssperren

     Restriktive Zugangsrichtlinien

     Wachpersonal

     Besucherbegleitung ausschliesslich durch berechtigte Mitarbeitende

     Alarmsystem Eingänge

     Vertragliche Absicherung mit Dienstleistern (Wartung)

     Sicherheitsschlösser

 

1.2 Zugangskontrolle

Massnahmen:

     Authentifikation mit Benutzer und Passwort

     Einsatz von Anti-Viren-Software

     Einsatz von Firewalls

     Einsatz von VPN-Technologie bei Remote-Zugriffen

     Verschlüsselung von Datenträgern

     Automatische Desktopsperre

     Verschlüsselung von Notebooks / Tablets

     Verwaltung von Benutzerberechtigungen

     Erstellen von Benutzerprofilen

     Zentrale Passwortregeln

     Nutzung von 2-Faktor-Authentifizierung

     Schlüsselregelung / Schlüsselbuch

     Allgemeine Unternehmens-Richtlinie zum Datenschutz und zur Sicherheit

     Unternehmens-Richtlinie für sichere Passwörter

     Unternehmens-Richtlinie “Löschen/Vernichten”

     Unternehms-Richtlinie “Cleandesk”

     Unternehmens-Richtlinie zur Verwendung mobiler Geräte

     Allgemeine Anweisung, bei Verlassen des Arbeitsplatzes Desktop manuell zu sperren

1.3 Zugriffskontrolle

Massnahmen:

     professionelle, externe Vernichtung von Datenträgern und Akten

     Physische Löschung von Datenträgern vor deren Wiederverwendung

     Protokollierung von Zugriffen auf Anwendungen (insbesondere bei der Eingabe, Änderung und Löschung von Daten)

     Einsatz eines Berechtigungskonzepts

     Anzahl der Administratoren ist so klein wie möglich gehalten

     Sichere Aufbewahrung von Datenträgern

     Verwaltung der Benutzerrechte durch Systemadministratoren

1.4 Trennungskontrolle

Massnahmen:

     Trennung von Produktiv- und Testsystem

     Logische Mandantentrennung (softwareseitig)

     Berechtigungskonzept

     Festlegung von Datenbankrechten

     Mandantenfähigkeit relevanter Anwendungen

1.5 Pseudonymisierung

Massnahmen:

     Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu

     anonymisieren / pseudonymisieren

     Pseudonymisierung personenbezogenen Daten zu analytischen Zwecken in Zusammenarbeit mit Dritten

2. Integrität

2.1 Weitergabekontrolle

Massnahmen:

     Einrichtungen von VPN-Tunneln

     WLAN-Verschlüsselung (WPA2 mit starkem Passwort)

     Protokollierung von Zugriffen und Abrufen

     Bereitstellung von Daten über verschlüsselte Verbindungen wie SFTP oder HTTPS

     Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen

     Lieferantenmanagement nach ISO 27001

2.2 Eingangskonrolle

Massnahmen:

     Protokollierung der Eingabe, Änderung und Löschung von Daten

     Manuelle oder automatische Kontrolle der Protokolle

     Aufbewahrung von Formularen, deren Daten in automatisierte Verarbeitungen übernommen worden sind

     Erstellen einer Übersicht, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können

     Nachvollziehbarkeit der Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

     Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

Massnahmen:

     Data Center nach Tier 4 Standard

     Feuer- und Rauchmeldeanlagen und Löschanlagen

     Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen

     Klimaanlage in Serverräumen

     Schutzsteckdosenleisten in Serverräume

     Unterbrechungsfreie Stromversorgung (USV) und Notstromanlage

     RAID-System / Festplattenspiegelung

     Videoüberwachung in Serverräumen

     Alarmmeldung bei unberechtigtem Zutritt zu Serverräumen

     Regelmässige Backups

     Backup- & Recoverykonzepts (Business Continuity Policy)

     Kontrolle des Sicherungsvorgangs

     Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

     Monitoringsysteme

     Existenz eines Notfallplans

     Redundante Netzzuleitung

     Regelmässige Überprüfung und Tests der Notfallpläne

     Incident-Management-Policy

4. Verfahren für regelmässige Überprüfung, Bewertung und Evaluierung

4.1 Datenschutzmassnahmen

Massnahmen:

     Verwendung der heyData-Plattform zum Datenschutz-Management

     Stellung des Datenschutzberaters durch heyData

     Verpflichtung der MItarbietenden auf das Datengeheimnis

     Regelmässige Schulungen der Mitarbeitenden im Datenschutz

     Führen eines Verzeichnisses über Bearbeitungstätigkeiten (Art. 12 DSG)

     Sicherheitszertifizierung nach ISO 27001

     regelmässige Überprüfung der Wirksamkeit der technischen Schutzmassnahmen

     CISO / interner Informationssicherheitsbeauftrage

     Audits (intern und extern)

     Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

4.2 Incident-Response-Managment

Massnahmen:

     Meldeprozess für Datenschutzverletzungen nach Art. 5 lit. h DSG gegenüber dem EDÖB (Art. 24 Abs. 1 DSG)

     Meldeprozess für Datenschutzverletzungen nach Art. 5 lit. h DSG gegenüber betroffenen Personen (Art. 24 Abs. 4 DSG)

     Einbindung des Datenschutzberaters in Sicherheitsvorfälle und Datenpannen

     Einsatz von Anti-Viren-Software

     Einsatz von Firewalls

     regelmässige Aktualisierung

     regelmässige Überprüfung nach Sicherheitslücken

     Risikomanagement

     Spamfilter

     Virenscanner

     Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen

     Incident-Management-Policy

4.3 Datenschutzfreundliche Voreinstellungen

Massnahmen:

Die folgenden implementierten Massnahmen tragen den Voraussetzungen der Prinzipien “Privacy by design” und “Privacy by default” Rechnung:

 

     Schulung der Mitarbeiter im “Privacy by design” und “Privacy by default”

     Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.

  •  

4.4 Auftragskontrolle

Massnahmen:

Durch folgende Massnahmen ist sichergestellt, dass, dass personenbezogene Daten nur entsprechend der Weisungen verarbeitet werden können:

     Schriftliche Weisungen an den Auftragnehmer oder Weisungen in Textform (z.B. durch Auftragsverarbeitungsvertrag)

     Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags, z.B. durch Anfrage entsprechender Bestätigungen

     Bestätigung von Auftragnehmern, dass sie ihre eigenen Mitarbeiter auf das Datengeheimnis verpflichten (typischerweise im Auftragsverarbeitungsvertrag)

     Sorgfältige Auswahl von Auftragnehmern (insbesondere hinsichtlich Datensicherheit)

     Laufende Überprüfung von Auftragnehmern und ihren Tätigkeiten

Netstream Logo White

Haben Sie Fragen zu unseren Dienstleistungen oder benötigen Informationen? Kontaktieren Sie uns gerne via Formular oder direkt an hello(at)netstream.ch

Nutzen Sie alternativ auch unseren LiveChat unten rechts oder rufen Sie uns an unter 058 058 40 00.

Netstream Logo White