Verzeichnis der Bearbeitungstätigkeiten

Verzeichnis der Bearbeitungstätigkeiten #

der Sobrado Software AG
nach Art 12 DSG und Art. 24 DSV

Dieses Dokument beschreibt, welche Bearbeitungestätigkeiten Sobrado durchführt:

  • Selber, als «Processor», auf eigenen Systemen
  • An Auftragsbearbeiter delegiert, als «Controller», auf deren Systemen.

Die Massnahmen zur Gewährleistung der Datensicherheit sind in im Informationssicherheitskonzept beschrieben.

Verantwortlich für alle Prozesse ist der CISO.

Processor: Offertenauschreibung #

Sobrado bietet Brokern einen Prozess an, um Offerten-Ausschreibungen an Versicherte zu verschicken, welche wiederum eine Offerte zurückschicken. Sobrado bearbeitet alle Daten, die für diesen Prozess nötig sind:

  • Personendaten von Versicherten, z.B. eMail, Namen, Telefonnummern, Geburtsdatum, Anstellungsgrad, Lohn und andere Daten, welche für die Berechnung einer Versicherung nötig sind. Optional können Broker diese Personendaten anonymisieren, sodass Versicherer die Personen nicht identifizieren können.
  • Personendaten von Brokern die nötig sind, um Broker-Mitarbeitende zu identifizieren, welche die Offerten bearbeiten, z.B. eMail-Adressen, Namen, Telefonnummern etc.
  • Daten von Versicherungs-Mitarbeitenden, die nötig sind, um Versicherungs-Mitarbeitende zu identifizieren, welche die Offerten erstellen, z.B. eMail-Adressen, Namen, Telefonnummern etc.

Die Daten sind besonders schützenswerte Daten nach Art. 5 lit c DSG, insbesondere weil die Daten möglicherweise Aufschluss über Gesundheit oder Massnahmen zur sozialen Hilfe geben können.

Sämtliche Daten werden mind. 10 Jahre aufbewahrt.
Es werden keine Daten ins Ausland übermittelt.

In diesem Prozess sind verschiedene Rollen beteiligt, welche verschiedene Rechte zum Zweck der Erfüllung der Bearbeitungstätigkeiten haben. Eine Übersicht dieser Rollen ist im Informationssicherheitskonzept aufgeführt.

Controller: Infrastruktur #

Die Sobrado Software AG hat ihre Infrastruktur an verschiedene Auftragsbearbeiter delegiert, welche die erforderlichen Betriebsmittel zur Verfügung stellen. Diese sind:

Server Infrastruktur: vshn AG, Zürich #

Die Serverinfrastruktur zum Betrieb von Sobrado, einschliesslich der Source-Code-Verwaltung, wird von der Firma VSHN AG in Zürich betrieben. Sämtliche Server stehen in der Schweiz, in Lupfig, Kanton Aargau - in einem Rechenzentrum der Green Datacenter AG, welches von der Firma Cloudscale AG kontrolliert wird.
Verschiedene Mitarbeiter der vshn AG haben zur Erfüllung ihres Auftrages Zugriff auf die Systeme. Dieser Zugriff ist in einem Vertrag mit der vshn AG geregelt.
Die vshn ist zertifiziert nach:

Büro Infrastruktur: Microsoft Schweiz #

Die Sobrado AG verwendet Software der Firma Microsoft für verschiedene interne Tätigkeiten.
Alle Mitarbeiter haben Zugriff auf die nötigen Systeme.
Die Daten sind möglicherweise besonders schützenswerte Daten nach Art. 5 lit c DSG, insbesondere weil es sich um Personaldaten handelt.
Die Microsoft-Systeme werden in Rechenzentren von Microsoft in der Schweiz betrieben.

Dokumentations Infrastruktur: Atlassian Inc, Australien #

Die Sobrado AG verwendet für die Dokumentation von internen Prozessen, Ideen, Requirements Engineering, Sitzungsprotokollen etc. Systeme der Firma Atlassian Inc in Australien und in den USA.

Es werden keine Kundendaten auf diesen Systemen abgelegt, jedoch Daten der Mitarbeitenden.

Die Daten werden in verschiedenen Ländern gespeichert, Details dazu sind im Dokument Data Transfer Assesment der Atlassian zu sehen.

Events Infrastruktur: Evenito AG, Zürich #

Für Einladungen zu Events verwendet Sobrado die Software der Firma Evenito AG in Zürich.

Weitere Informationen zur Datensicherheit sind auf der Firmenhomepage der Evenito AG zu finden.

Rémy Schumm (@kyburg) - e147597f88f4a6093a32d87a3ad113bad45c3599

Download

download als Word-File