Versions Compared

Version Old Version 3 New Version Current
Changes made by

Paavo Schmid

Paavo Schmid

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Martin Steiger
Die TOM sollten die tatsächlichen TOM darstellen und nicht fiktive TOM.

Eine sinnvolle Struktur der TOM kann man Art. 3 DSV entnehmen: https://www.fedlex.admin.ch/eli/oc/2022/568/de#art_3

Als Beispiel: Cyon hat gerade neue (oder aktualisierte) TOM veröffentlicht: https://www.cyon.ch/files/legal/cyon_TOM.pdf

Organisationen, die selbst oder im Auftrag Personendaten erheben, bearbeiten oder nutzen, haben die technischen und organisatorischen Massnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Massnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

...

  • Zutrittskontrolle: 

    • Die Vergabe von Schlüsseln und RFID-Chips für den Zutritt in die Büroräumlichkeiten wird dokumentiert. 

    • Kein unbefugter Zutritt zu den Datenverarbeitungsanlagen in den Rechenzentren

  • Zugangskontrolle: 

    • Die Systemnutzung ist ausschliesslich mittels persönlichem Benutzernamen und Passwort möglich, sofern möglich und angemessen. 

    • Der Zugriff auf die produktiven Server ist,  sofern möglich, ausschliesslich mit einem privaten SSH Schlüssel möglich.

  • Verschlüsselung:

    • Um einen optimalen Schutz von personenbezogenen Daten zu gewährleisten, werden diese auf lokalen Speichergeräten und -medien ausschliesslich verschlüsselt gespeichert.

    • Alle im Einsatz befindlichen Arbeitsplatzrechner sollen nach fünfminütiger Inaktivität automatisch die Anmeldemaske des jeweiligen Betriebssystems aufrufen.

  • Personalisierte Logins:

    • Sowohl für interne als auch externe Systeme werden grundsätzlich, sofern technisch möglich und sinnvoll, personalisierte Logins vergeben. So können einzelne Zugänge zielgerichtet gesperrt oder gelöscht werden, ohne dass dies Einfluss auf die Zugänge anderer Mitarbeitenden hat.

  • Sichere Passwörter:

    • Sowohl für interne als auch externe Zugänge werden ausschliesslich sichere Passwörter verwendet. Zusätzlich zu sicheren Passwörtern wird auf unterstützten Systemen und Diensten eine Zwei-Faktor-Authentifizierung verwendet.

  • Minimale Anzahl an Mitarbeitern mit administrativen Rechten:

    • Um zu gewährleisten, dass lediglich autorisierte Personen Zugriff auf kritische IT-Systeme sowie darauf gespeicherten Daten haben, verfügen nur ausgewählte Mitarbeitende über die notwendigen administrativen Rechte.

  • Sperrung von Zugängen beim Austritt von Mitarbeitenden

    • Verlässt ein Mitarbeiter oder eine Mitarbeiterin das Unternehmen, so erfolgt noch vor dessen Austritt die Sperrung bzw. Löschung aller ihm zugewiesenen Zugänge für interne und externe Systeme.

  • Trennung von internem WLAN und Gäste-WLAN

    • Gäste, denen ein Zugang zum Internet ermöglicht werden soll, erhalten einen individualisierten Zugang oder die Zugangsdaten zu einem eigenen WLAN.

  • Durchführung von Code-Reviews in der Entwicklung

    • Alle entwickelten Code-Bestandteile zur Verarbeitung von Personendaten werden durch einen zweiten Mitarbeitenden mit entsprechenden Fachkenntnissen geprüft.

  • Nutzung einer Versionskontrolle in der Entwicklung:

    • Für die Entwicklung von Anwendungen werden gängige Versionierungssysteme (Git) eingesetzt. Diese stellen sicher, dass vorherige Softwarestände nicht versehentlich überschrieben werden und die parallele Entwicklung durch mehrere Mitarbeitende an einem System nicht zu Fehlern oder zum Überschreiben von bestehenden Daten führt. Zudem können durch eine Versionskontrolle Änderungen und Fehler nachträglich schneller und besser nachvollzogen und behoben werden. Unabsichtlich durchgeführte Änderungen können ausserdem rückgängig gemacht werden.

...

titleCopy Paste aus AVV mit Düring AG

Copy Paste aus AVV mit Düring AG

Der Auftragnehmerin verpflichtet sich gegenüber der Auftraggeberin zur Einhaltung von technischen und organisatorischen Massnahmen, die zur Wahrung des Datenschutzes angemessen und erforderlich sind. 

Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

Die technischen und organisatorischen Massnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Massnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Massnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

Technische und organisatorische Massnahmen gemäss Art. 32 Abs. 1 DSGVO:

...

Zutrittskontrolle: 

  • Die Vergabe von Schlüsseln und RFID-Chips für den Zutritt in die Büroräumlichkeiten wird dokumentiert. 

  • Kein unbefugter Zutritt zu den Datenverarbeitungsanlagen in den Rechenzentren

...

Zugangskontrolle: 

  • Die Systemnutzung ist ausschliesslich mittels persönlichem Benutzernamen und Passwort möglich, sofern möglich und angemessen. 

  • Der Zugriff auf die produktiven Server ist,  sofern möglich, ausschliesslich mit einem privaten SSH Schlüssel möglich.

...

Verschlüsselung:

  • Um einen optimalen Schutz von personenbezogenen Daten zu gewährleisten, werden diese auf lokalen Speichergeräten und -medien (Dateiserver, externe Festplatten, CDs, DVDs, Blu-Rays) ausschliesslich verschlüsselt gespeichert.

  • Alle im Einsatz befindlichen Arbeitsplatzrechner sollen nach fünfminütiger Inaktivität automatisch die Anmeldemaske des jeweiligen Betriebssystems aufrufen.

...

Personalisierte Logins:

  • Sowohl für interne als auch externe Systeme werden grundsätzlich, sofern technisch möglich und sinnvoll, personalisierte Logins vergeben. So können einzelne Zugänge zielgerichtet gesperrt oder gelöscht werden, ohne dass dies Einfluss auf die Zugänge anderer Mitarbeitenden hat.

...

Sichere Passwörter:

  • Sowohl für interne als auch externe Zugänge werden ausschliesslich sichere Passwörter verwendet. Zusätzlich zu sicheren Passwörtern wird auf unterstützten Systemen und Diensten eine Zwei-Faktor-Authentifizierung verwendet.

...

Minimale Anzahl an Mitarbeitern mit administrativen Rechten:

  • Um zu gewährleisten, dass lediglich autorisierte Personen Zugriff auf kritische IT-Systeme sowie darauf gespeicherten Daten haben, verfügen nur ausgewählte Mitarbeitende über die notwendigen administrativen Rechte.

...

Sperrung von Zugängen beim Austritt von Mitarbeitenden

  • Verlässt ein Mitarbeiter oder eine Mitarbeiterin das Unternehmen, so erfolgt noch vor dessen Austritt die Sperrung bzw. Löschung aller ihm zugewiesenen Zugänge für interne und externe Systeme.

...

Trennung von internem WLAN und Gäste-WLAN

  • Gäste, denen ein Zugang zum Internet ermöglicht werden soll, erhalten einen individualisierten Zugang oder die Zugangsdaten zu einem eigenen WLAN.

Durchführung von Code-Reviews in der Entwicklung

...

    • zwei Mitarbeitenden mit entsprechenden Fachkenntnissen geprüft.

  • Nutzung einer Versionskontrolle in der Entwicklung:

    • Für die Entwicklung von Anwendungen werden gängige Versionierungssysteme (Git) eingesetzt. Diese stellen sicher, dass vorherige Softwarestände nicht versehentlich überschrieben werden und die parallele Entwicklung durch mehrere Mitarbeitende an einem System nicht zu Fehlern oder zum Überschreiben von bestehenden Daten führt. Zudem können durch eine Versionskontrolle Änderungen und Fehler nachträglich schneller und besser nachvollzogen und behoben werden. Unabsichtlich durchgeführte Änderungen können ausserdem rückgängig gemacht werden.