*

Datensicherheit und Datenschutz-Grundverordnung (DSGVO)

Die meisten Unternehmer wissen um die Risiken der digitalen Welt: Angriffe durch Hacker sind eher die Ausnahme; unzureichende Datensicherung auf veralteten Medien, vernachlässigter Virenschutz, zu einfache Passwörter, ungeschützte Online-Verbindungen, fehlende Mitarbeiterüberwachung und Unkenntnis der datenschutzrechtlichen Bestimmungen führen häufiger zu Schäden an Unternehmen. Diese Compliance-Seite informiert Sie über Massnahmen zur Datensicherheit und Datenschutz.

HighTech Datencenter in der Schweiz

• HP und Super Micro Hochleistungs-Server• Leistungsfähige Storage Systeme, redundante Router und Firewalls
• Galera-Cluster für Redundanz der Software und Daten
• Stromversorgung mit Diesel und USV
• Umfassender Brandschutz
• Redundante Klimatisierung
• Zutritt über Vereinzelungs- oder Material-Schleuse
• 24x7h Video- und Laser-Monitoring
• 24x7h Monitoring Operations-Center
• 5-fach redundante Einführung von fünf Carriers - leistungsfähiges Breitbandnetz
• getrennte Rohr- und Streckenführung
• Anwendung der FINMA-Vorgaben für Banken-Outsourcing (RS 2008/7)
• Anwendung des ISAE 3000 Type 2 Reports
• Tier Level 3 TIA-942 Uptime Institute

Auf dieser Server-Plattform in der Schweiz laufen die Cloud-Dienste für das Worldsoft-CMS, ECMS (OASIS), WBS und die AtMail-Server (E-Mail-Accounts). Daten werden auf Backup-Systemen gesichert. Jeden Tag wird ein komplette Sicherung in ein zweites Datencenter gemacht. Die Server für Webhosting (FTP-Hosting) ohne Worldsoft-Programme (z.B. für WordPress) stehen in Frankreich.

Datenübermittlung von der EU in die Schweiz

Die EU-Kommission hat gemäß Art. 25 Abs. 6 der EU-Datenschutzrichtlinie die Möglichkeit, nach entsprechender Prüfung das Bestehen eines angemessenen Schutzniveaus in bestimmten Drittländern festzustellen. Von dieser Möglichkeit hat die Kommission für folgende Länder Gebrauch gemacht: Schweiz, Kanada, Argentinien, Guernsey, Jersey, Isle of Man, Israel, Neuseeland. Als Folge gilt für diese Länder ein dem EU-Recht vergleichbares Datenschutzniveau und eine Datenübermittlung in diese Länder ist ohne eine weitere, eigene Überprüfung datenschutzrechtlich zulässig und es bestehen keine grundsätzlichen Bedenken solange vom Anbieter selbst die Regeln des DSGVO eingehalten werden.

Verarbeitung von personenbezogenen Daten (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) bildet ab 25. Mai 2018 den neuen rechtlichen Rahmen für die Verarbeitung personenbezogener Daten in Europa. Wenn Sie personenbezogene Daten erheben und verarbeiten, sind Sie verpflichtet die datenschutzrechtlichen Bestimmungen der DSGVO einzuhalten. Die europäischen Verordnung (DSGVO) zu verstehen ist eine Herausforderung. Diese umfasst 99 Artikel, 173 Erwägungsgründe und zahlreiche Leitlinien die ihre Auslegung präzisieren. Die nachfolgenden Definitionen sollen zum besseren Verständnis von wichtigen Begriffen beitragen:

  • Personenbezogene Daten: alle Informationen über eine identifizierte oder identifizierbare natürliche Person. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt identifiziert werden kann.
  • Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten (Erheben, Erfassen, Übermittlung, Speicherung, Auslesen, Abfragen, Verwendung, Verknüpfung etc.).
  • Verantwortlicher: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  • Auftragsverarbeiter: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Als unser Kunde in Europa sind Sie Verarbeiter und Verantwortlicher, wenn Sie auf Ihrer Website automatisiert Daten erheben und zu unseren Datenbanksystemen auf unseren Servern (WBS und OASIS) übermitteln lassen, bzw. die Worldsoft Business Suite (oder die Vorgängerversion ECMS/OASIS) generell nutzen. Eine Übersicht über die Datenverarbeitung mit der Worldsoft Business Suite können Sie hier herunterladen:

Datenverarbeitung mit der Worldsoft Business Suite (PDF)
 

DSGVO für Schweizer Unternehmen

Auch Unternehmen in der Schweiz sind von der DSGVO betroffen, sobald diese Daten von Privatpersonen mit Aufenthalt in der EU bearbeiten. Beispiel: Ein Unternehmen aus der Schweiz bietet über das Internet Bücher an Kunden in Deutschland an. Dieses Schweizer Unternehmen, ohne eine Niederlassung in der EU, muss trotzdem die DSGVO befolgen. Kauft hingegen ein EU-Bürger in der Schweiz Waren oder erwirbt Dienstleistungen, dann gilt das schweizerische Datenschutzgesetz und nicht die DSGVO.
 

Statistische Auswertung der Website-Zugriffe

Für die statistische Auswertung der Website-Zugriffe gibt es Logs. Diese enthalten die aufgerufenen URL´s und IP-Adressen. Daten die möglicherweise eine Identifizierung zulassen können (IP-Adresse) werden nicht dauerhaft gespeichert. Wir können keine Rückschlüsse auf den User selbst schliessen, sondern nur statistisch erfassen wie oft welche Seite aufgerufen wurde und woher diese Aufrufe gekommen sind, z.B. über die Google-Suche. 


SSL (Secure Socket Layer) – Verschlüsselung (https)

Diese Methode verschlüsselt sämtlichen Datenverkehr zwischen Kundenbrowser und Server-System. Die Verschlüsselung erfolgt automatisch wenn Sie https://... anstatt nur http://... eingeben. Das "s" hinter dem http bewirkt die verschlüsselte Verbindung! Daten dürfen aus datenschutzrechtlichen Gründen nur über verschlüsselte Verbindungen übermittelt werden.

Hier finden Sie Informationen zu den von uns angebotenen SSL-Zertifikaten: SSL-Zertifikate
 

Technische und organisatorische Massnahmen zur Datensicherheit

Diese technischen und organisatorischen Massnahmen finden Sie ebenfalls in der Anlage 1 zum Vertrag für die Auftragsdatenverarbeitung.

1. Zutrittskontrolle

Der unbefugte Zutritt zur Server-Plattform wird verhindert, indem technische und organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten, getroffen worden sind:

  • Protokollierung der Besucher
  • Zutrittskontrollsysteme (Ausweisleser, Magnetkarte, Chipkarte)
  • Türsicherung (elektrische Türöffner usw.)
  • Werkschutz, Pförtner
  • Überwachungseinrichtung: Alarmanlage, Video- / Fernsehmonitor

2. Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme wird verhindert, indem technische (Kennwort- / Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung getroffen worden sind:
 

  • Passwortvergabe (Benutzername und Passwort)
  • Zuordnung von Benutzerprofilen
  • Protokollierung der Benutzer
  • Verschlüsselung von Datenträgern
     
3. Zugriffskontrolle
Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen werden verhindert, indem das Berechtigungskonzept und die Zugriffsrechte sowie deren Überwachung und Protokollierung bedarfsgerecht
ausgestaltet worden sind:
 
  • Differenzierte Berechtigungen der Benutzer (Profile, Rollen, Transaktionen und Objekte)
  • Passwortrichtlinie inklusive Passwortlänge, Passwortwechsel
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
  • Anzahl der Administratoren auf das „Notwendigste“ reduziert
     
4. Weitergabekontrolle
Bei der Weitergabe personenbezogener Daten (manueller bzw. elektronischer Transport, Übertragung, Übermittlung oder Speicherung auf Datenträger) sowie bei der nachträglichen Überprüfung wurden die folgenden Maßnahmen getroffen:
 
  • Verschlüsselung
  • Übermittlungskontrolle
  • Protokollierung
     
5. Eingabekontrolle
Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist gewährleistet. Hierzu wurden Protokollierungssysteme implementiert, mit denen nachträglich überprüft werden kann, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind. 

6. Auftragskontrolle
Die weisungsgemäße Auftragsdatenverarbeitung ist gewährleistet. Hierzu wurden technische und organisatorische Maßnahmen zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer getroffen. Hierzu zählen:
 
  • Eindeutige Vertragsgestaltung
  • Formalisierte Auftragserteilung
  • Kontrolle der Vertragsausführung  
     
7. Verfügbarkeitskontrolle
Die Daten sind gegen zufällige Zerstörung oder Verlust geschützt. Hierzu wurden die folgenden physikalischen
und logischen Maßnahmen zur Datensicherung getroffen:
 
  • Klimaanlagen in Serverräumen
  • 24/7 Überwachung der Geräte
  • Backup-Verfahren
  • Spiegeln der Daten in ein zweites Datencenter
  • Stromversorgung mit Diesel und USV
  • Umfassender Brandschutz
  • Virenschutz/Firewall  
     
8. Trennungskontrolle
Daten, die zu unterschiedlichen Zwecken erhoben wurden, werden getrennt verarbeitet. Hierzu wurden die folgenden Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken getroffen:
 
  • Berechtigungskonzept
  • Logische Mandantentrennung (softwareseitig)
  • Versehen der Datenfelder mit Zweckattributen/Datenfeldern
  • Festlegung von Datenbankrechten
  • Trennung von Produktiv- und Testsystem

Bottom1
blockHeaderEditIcon

 

CFI Join Now Button mit Text
blockHeaderEditIcon

Crowdfunding International

Spenden Crowdfunding ist ein Weg um persönliche Projekte oder ein Startup Unternehmen zu finanzieren. Sei es ein Haus, die Ausbildung der Kinder, soziale Projekte oder der Start eines Unternehmens. 

Eine einmalige Spende erlaubt den Start des persönlichen Projektes und dies ohne Zeitlimit.

Bottom3
blockHeaderEditIcon

 

Benutzername:
User-Login
Ihr E-Mail