TOM - Technische und organisatorische Massnahmen

Owned by Paavo Schmid
Last updated: 11 Oct, 2023
2 min read

Organisationen, die selbst oder im Auftrag Personendaten erheben, bearbeiten oder nutzen, haben die technischen und organisatorischen Massnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften der Datenschutzgesetze zu gewährleisten. Erforderlich sind Massnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

 

Die ongoing GmbH (nachfolgend "ongoing") erfüllt diesen Anspruch durch folgende Massnahmen:

  • Zutrittskontrolle: 

    • Die Vergabe von Schlüsseln und RFID-Chips für den Zutritt in die Büroräumlichkeiten wird dokumentiert. 

    • Kein unbefugter Zutritt zu den Datenverarbeitungsanlagen in den Rechenzentren

  • Zugangskontrolle: 

    • Die Systemnutzung ist ausschliesslich mittels persönlichem Benutzernamen und Passwort möglich, sofern möglich und angemessen. 

    • Der Zugriff auf die produktiven Server ist,  sofern möglich, ausschliesslich mit einem privaten SSH Schlüssel möglich.

  • Verschlüsselung:

    • Um einen optimalen Schutz von personenbezogenen Daten zu gewährleisten, werden diese auf lokalen Speichergeräten und -medien ausschliesslich verschlüsselt gespeichert.

    • Alle im Einsatz befindlichen Arbeitsplatzrechner sollen nach fünfminütiger Inaktivität automatisch die Anmeldemaske des jeweiligen Betriebssystems aufrufen.

  • Personalisierte Logins:

    • Sowohl für interne als auch externe Systeme werden grundsätzlich, sofern technisch möglich und sinnvoll, personalisierte Logins vergeben. So können einzelne Zugänge zielgerichtet gesperrt oder gelöscht werden, ohne dass dies Einfluss auf die Zugänge anderer Mitarbeitenden hat.

  • Sichere Passwörter:

    • Sowohl für interne als auch externe Zugänge werden ausschliesslich sichere Passwörter verwendet. Zusätzlich zu sicheren Passwörtern wird auf unterstützten Systemen und Diensten eine Zwei-Faktor-Authentifizierung verwendet.

  • Minimale Anzahl an Mitarbeitern mit administrativen Rechten:

    • Um zu gewährleisten, dass lediglich autorisierte Personen Zugriff auf kritische IT-Systeme sowie darauf gespeicherten Daten haben, verfügen nur ausgewählte Mitarbeitende über die notwendigen administrativen Rechte.

  • Sperrung von Zugängen beim Austritt von Mitarbeitenden

    • Verlässt ein Mitarbeiter oder eine Mitarbeiterin das Unternehmen, so erfolgt noch vor dessen Austritt die Sperrung bzw. Löschung aller ihm zugewiesenen Zugänge für interne und externe Systeme.

  • Trennung von internem WLAN und Gäste-WLAN

    • Gäste, denen ein Zugang zum Internet ermöglicht werden soll, erhalten einen individualisierten Zugang oder die Zugangsdaten zu einem eigenen WLAN.

  • Durchführung von Code-Reviews in der Entwicklung

    • Alle entwickelten Code-Bestandteile zur Verarbeitung von Personendaten werden durch zwei Mitarbeitenden mit entsprechenden Fachkenntnissen geprüft.

  • Nutzung einer Versionskontrolle in der Entwicklung:

    • Für die Entwicklung von Anwendungen werden gängige Versionierungssysteme (Git) eingesetzt. Diese stellen sicher, dass vorherige Softwarestände nicht versehentlich überschrieben werden und die parallele Entwicklung durch mehrere Mitarbeitende an einem System nicht zu Fehlern oder zum Überschreiben von bestehenden Daten führt. Zudem können durch eine Versionskontrolle Änderungen und Fehler nachträglich schneller und besser nachvollzogen und behoben werden. Unabsichtlich durchgeführte Änderungen können ausserdem rückgängig gemacht werden.

 

Hast du Fragen? Gerne stehen wir dir unter legal@ongoing.ch zur Verfügung.