Verzeichnis der Bearbeitungstätigkeiten #
der Sobrado Software AG
nach Art 12 DSG und Art. 24 DSV
Dieses Dokument beschreibt, welche Bearbeitungestätigkeiten Sobrado durchführt:
- Selber, als «Processor», auf eigenen Systemen
- An Auftragsbearbeiter delegiert, als «Controller», auf deren Systemen.
Die Massnahmen zur Gewährleistung der Datensicherheit sind in im Informationssicherheitskonzept beschrieben.
Verantwortlich für alle Prozesse ist der CISO.
Processor: Offertenauschreibung #
Sobrado bietet Brokern einen Prozess an, um Offerten-Ausschreibungen an Versicherte zu verschicken, welche wiederum eine Offerte zurückschicken. Sobrado bearbeitet alle Daten, die für diesen Prozess nötig sind:
- Personendaten von Versicherten, z.B. eMail, Namen, Telefonnummern, Geburtsdatum, Anstellungsgrad, Lohn und andere Daten, welche für die Berechnung einer Versicherung nötig sind. Optional können Broker diese Personendaten anonymisieren, sodass Versicherer die Personen nicht identifizieren können.
- Personendaten von Brokern die nötig sind, um Broker-Mitarbeitende zu identifizieren, welche die Offerten bearbeiten, z.B. eMail-Adressen, Namen, Telefonnummern etc.
- Daten von Versicherungs-Mitarbeitenden, die nötig sind, um Versicherungs-Mitarbeitende zu identifizieren, welche die Offerten erstellen, z.B. eMail-Adressen, Namen, Telefonnummern etc.
Die Daten sind besonders schützenswerte Daten nach Art. 5 lit c DSG, insbesondere weil die Daten möglicherweise Aufschluss über Gesundheit oder Massnahmen zur sozialen Hilfe geben können.
Sämtliche Daten werden mind. 10 Jahre aufbewahrt.
Es werden keine Daten ins Ausland übermittelt.
In diesem Prozess sind verschiedene Rollen beteiligt, welche verschiedene Rechte zum Zweck der Erfüllung der Bearbeitungstätigkeiten haben. Eine Übersicht dieser Rollen ist folgend auf Englisch aufgeführt:
| Role name | Description | Data access |
|---|---|---|
| Sobrado Admin | Manages whole app, can configure platform and provide rights to others. | Can access all data on the platform. |
| Sobrado Reduced Admin | Can configure application, except features that are application critical. | Access to customer data, similar to admin without access to technical data critical for application. |
| Sobrado Library Admin | Only has access to the library part, without access to personal data. | No access to customer data. |
| Broker Employee User | Role for broker employees, only see their personal information. | Access to own company data (offer data). |
| Broker Admin | Create new broker employee users, configure settings for their company. | Access to own company data (offer data). |
| Insurer Employee | No access to platform, but can see offer information and receive offers via mail. | Access to own company data (offer data). |
| Insurer Admin | Create insurer employee users, configure settings for company. | Access to own company data (offer data). |
| Insurer Entrypoint Employee | - | - |
| Insurer Entrypoint Admin | - | - |
| Guest Check news. | - | Only access to public data. |
| Dev Admin like access. | Internal technical access. | Only dev and integration, no access to production data. |
Die Rollen sind bei Sobrado so verteilt, dass nur diejenigen Personen Zugriff auf die Daten haben, welche diese für die Erfüllung ihrer Aufgabe benötigen.
Controller: Infrastruktur #
Die Sobrado Software AG hat ihre Infrastruktur an verschiedene Auftragsbearbeiter delegiert, welche die erforderlichen Betriebsmittel zur Verfügung stellen. Diese sind:
Server Infrastruktur: vshn AG, Zürich #
Die Serverinfrastruktur zum Betrieb von Sobrado, einschliesslich der Source-Code-Verwaltung, wird von der Firma VSHN AG in Zürich betrieben. Sämtliche Server stehen in der Schweiz, in Lupfig, Kanton Aargau - in einem Rechenzentrum der Green Datacenter AG, welches von der Firma Cloudscale AG kontrolliert wird.
Verschiedene Mitarbeiter der vshn AG haben zur Erfüllung ihres Auftrages Zugriff auf die Systeme. Dieser Zugriff ist in einem Vertrag mit der vshn AG geregelt.
Die vshn ist zertifiziert nach:
Büro Infrastruktur: Microsoft Schweiz #
Die Sobrado AG verwendet Software der Firma Microsoft für verschiedene interne Tätigkeiten.
Alle Mitarbeiter haben Zugriff auf die nötigen Systeme.
Die Daten sind möglicherweise besonders schützenswerte Daten nach Art. 5 lit c DSG, insbesondere weil es sich um Personaldaten handelt.
Die Microsoft-Systeme werden in Rechenzentren von Microsoft in der Schweiz betrieben.
Dokumentations Infrastruktur: Atlassian Inc, Australien #
Die Sobrado AG verwendet für die Dokumentation von internen Prozessen, Ideen, Requirements Engineering, Sitzungsprotokollen etc. Systeme der Firma Atlassian Inc in Australien und in den USA.
Es werden keine Kundendaten auf diesen Systemen abgelegt, jedoch Daten der Mitarbeitenden.
Die Daten werden in verschiedenen Ländern gespeichert, Details dazu sind im Dokument Data Transfer Assesment der Atlassian zu sehen.