Datenschutz und Datensicherheit
Rechenzentren und Server
Wir betreiben die Systeme von Cura Fundraising auf Servern, die in Rechenzentren in der Schweiz stehen. Auf alle diese Server haben ausschliesslich unsere Mitarbeiter Zugriff. Unser Infrastruktur-Provider ist zudem nach DIN ISO 27001 zertifiziert.
Datenschutzerklärung
Mit unserer Datenschutzerklärung informieren wir, welche Personendaten wir im Zusammenhang mit unseren Aktivitäten und Tätigkeiten bearbeiten. Wir informieren insbesondere, wofür, wie und wo wir welche Personendaten bearbeiten. Wir informieren ausserdem über die Rechte von Personen, deren Daten wir bearbeiten. Unsere Datenschutzerklärung finden Sie hier.
Auftragsverarbeitungsvertrag (AVV)
Unsere Kunden haben die Möglichkeit mit uns einen Auftragsverarbeitungsvertrag (AVV) abzuschliessen. Der AVV regelt die Pflichten, Rollen und Zuständigkeiten in Bezug auf unsere Verarbeitungen personenbezogener Daten im Kundenauftrag. Die Möglichkeit zum Abschluss des AVV befindet sich direkt im Administrationsbereich von Cura.
Auftragsverarbeitungsvertrag (AVV) (66,6 KB)
Technische und operative Massnahmen (TOM)
Um die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicherzustellen, setzen wir technische und operative Massnahmen um. Im Folgenden erläutern wir anhand von ausgewählten Beispielen wie Cura Fundraising die unterschiedlichen Anforderungen erfüllt.
Zutrittskontrolle
kein unbefugter Zutritt zu Datenverarbeitungsanlagen
- Software und Daten werden in externem Rechenzentrum gehostet (Standort Schweiz)
- Rechenzentrum: Schleuse mit biometrischer Zugangssperre, Alarmanlage, Videoüberwachung, Schliesssystem für Rackzugang, Zugangsprotokoll
Zugangskontrolle
keine unbefugte Systembenutzung
- Alle Passwörter werden mittels PBKDF2 verschlüsselt gespeichert
- Automatische Desktopsperre für alle Benutzer nach 10 Minuten Inaktivität
- 2-Faktor-Authentifizierung via Code Generator App oder SMS
- Kennwörter mit speziell hoher Sicherheit für System-Administratoren sind zwingend
- Schnittstellen werden mittels Token oder Public-Key Verfahren geschützt
- Server-Firewalls und Bruteforce-Schutz
Zugriffskontrolle
kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems
- Protokollierung der Sessions / Logins
- Änderungen an personenbezogenen Daten werden historisiert abgelegt, inkl. Zeitstempel und Benutzer sowie vorher-nachher Werten (Audit-Log)
Trennungskontrolle
getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurde
- Produktiv-, Test- und Entwicklungsumgebung sind logisch getrennt
Weitergabekontrolle
kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport
- In-Transit Verschlüsselung: Sichere Web-Verbindung über HTTPS / TLS / SSL (auch Schnittstellen)
- Alle Endpunkte erreichen ein “A” Rating in den Tests von Qualys SSL Labs (Stand August 2023)
- Transaktionale E-Mails (Passwort-Zurücksetzen, Downloads, Benachrichtigungen etc.) sind unverschlüsselt, beinhalten aber immer nur zugriffsgeschützte Verlinkungen und nie die Daten selbst
- Für E-Mails die direkt und unverschlüsselt aus der Applikation versendet werden, ist der Kunde verantwortlich
Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
- Protokollierung der Sessions / Logins
- Änderungen an personenbezogenen Daten werden historisiert abgelegt, inkl. Zeitstempel und Benutzer sowie vorher-nachher Werten (Audit-Log)
- Applikations-Logfiles
- Server-Logfiles, regelmässige Löschung nach 7 Tagen
Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust
- Rechenzentrum: Redundante Solid-State-Drives (RAID), synchrone Spiegelung der Daten auf ein physisch isoliertes, redundantes System (High Availability Setup), täglich logische Backups innerhalb des Rechenzentrums, externe Überwachung der Software- und Hardwarekomponenten inkl. Alarmierung, Pikett
- Rechenzentrum: Redundante Notstromsysteme mit Dieselgeneratoren und USV, Gas-Feuerlöschanlage, Überwachung Temperatur und Feuchtigkeit, redundante Klimatisierung
- arteria GmbH: Tägliche physische und logische Spiegelung der Daten in Offsite-Storage A (Standort Schweiz), sowie zusätzlicher BTRFS read-only Snapshot in Offsite-Storage B (Standort Schweiz, z.B. gegen Ransomware-Angriffe), alle Offsite-Storages besitzen redundante Solid-State-Drives (RAID) und sind at-rest verschlüsselt und physisch zugangsgesichert
- Umsetzung einer 3-2-1 Backup Strategie
Auftragskontrolle
keine Datenverarbeitung im Auftrag ohne entsprechende Weisung des Kunden
- Geschulte Support-Mitarbeiter, eindeutige Vertragsgestaltung, strenge Prüfung und Auswahl des Rechenzentrums und der Unter-Auftragsverarbeiter
Rasche Wiederherstellbarkeit
- Physische und/oder logische Backups können im Notfall wieder hergestellt werden, je nach Incident-Kategorie auf derselben oder auf redundant bereitstehender Infrastruktur
Datenschutz-Management
- Bestimmungen bzgl. Datenschutz in sämtlichen Mitarbeiter-NDA und Richtlinien auf internem Wiki, Geschäftsleitung ist sensibilisiert für das Thema Datenschutz, Zugriff auf Kundendaten für Mitarbeiter je nach Notwendigkeit eingeschränkt (Need-to-know Prinzip) und nur zur Ausführung der auftragsgemässen Datenverarbeitung
Incident-Response-Management
- Integriertes Support-Tool, zur Verwaltung von Support-Anfragen (1st Level Support)
- Ticketsystem für Incident- und Change-Management (2nd / 3rd Level Support)
Datenschutzfreundliche Voreinstellungen
- z.B. organisatorische Hinweise auf 2-Faktor-Authentifizierung, nur Administratoren können Organisationseinstellungen ändern, nur Administratoren können standardmässig Schlagwörter erstellen und löschen, Funktion für Consent Opt-In (Adresse, E-Mail, Telefon) inkl. Audit-Log Protokollierung, standardmässig inaktivierte BCC Inbox, standardmässige Datenübermittlung an MailChimp nur bei explizitem Opt-In, sämtliche Schnittstellen müssen aktiv verknüpft werden, Anonymisierung von Monitoring-Daten etc.