Verzeichnis der Bearbeitungstätigkeiten

Verzeichnis der Bearbeitungstätigkeiten #

der SOBRADO Software AG
nach Art 12 DSG und Art. 24 DSV

Dieses Dokument beschreibt, welche Bearbeitungestätigkeiten Sobrado durchführt:

  • Selber, als «Processor», auf eigenen Systemen
  • An Auftragsbearbeiter delegiert, als «Controller», auf deren Systemen.

Die Massnahmen zur Gewährleistung der Datensicherheit sind in im Informationssicherheitskonzept beschrieben.

Verantwortlich für alle Prozesse ist der CISO.

Processor: Offertenauschreibung #

Sobrado bietet Brokern einen Prozess an, um Offerten-Ausschreibungen an Versicherte zu verschicken, welche wiederum eine Offerte zurückschicken. Sobrado bearbeitet alle Daten, die für diesen Prozess nötig sind:

  • Personendaten von Versicherten, z.B. eMail, Namen, Telefonnummern, Geburtsdatum, Anstellungsgrad, Lohn und andere Daten, welche für die Berechnung einer Versicherung nötig sind.
  • Personendaten von Brokern die nötig sind, um Broker-Mitarbeitende zu identifizieren, welche die Offerten bearbeiten, z.B. eMail-Adressen, Namen, Telefonnummern etc.
  • Daten von Versicherungs-Mitarbeitenden, die nötig sind, um Versicherungs-Mitarbeitende zu identifizieren, welche die Offerten erstellen, z.B. eMail-Adressen, Namen, Telefonnummern etc.

Optional können Broker diese Personendaten anonymisieren, sodass Versicherer die Personen nicht identifizieren können. Folgende Daten können pro Broker (durch Maskierung) anonymisiert werden:

  • Personenlisten BVG bei der Aussschreibung (Name, Vorname, AHV-Nummer, Geburtsdatum)
  • Alle Personen-Informationen in der Datenbank
  • Anonymisierung von Ausschreibungen: Alle Firmennamen und Anhänge werden anonymisiert.

Die Daten sind besonders schützenswerte Daten nach Art. 5 lit c DSG, insbesondere weil die Daten möglicherweise Aufschluss über Gesundheit oder Massnahmen zur sozialen Hilfe geben können.

Sämtliche Daten werden mind. 10 Jahre aufbewahrt.
Es werden keine Daten ins Ausland übermittelt.

In diesem Prozess sind verschiedene Rollen beteiligt, welche verschiedene Rechte zum Zweck der Erfüllung der Bearbeitungstätigkeiten haben. Eine Übersicht dieser Rollen ist im Informationssicherheitskonzept aufgeführt.

Controller: Infrastruktur #

Die SOBRADO Software AG hat ihre Infrastruktur an verschiedene Auftragsbearbeiter delegiert, welche die erforderlichen Betriebsmittel zur Verfügung stellen. Diese sind:

Server Infrastruktur: vshn AG, Zürich #

Die Serverinfrastruktur zum Betrieb von Sobrado, einschliesslich der Source-Code-Verwaltung, wird von der Firma VSHN AG in Zürich betrieben. Sämtliche Server stehen in der Schweiz, in Lupfig, Kanton Aargau - in einem Rechenzentrum der Green Datacenter AG, welches von der Firma Cloudscale AG kontrolliert wird.
Verschiedene Mitarbeiter der vshn AG haben zur Erfüllung ihres Auftrages Zugriff auf die Systeme. Dieser Zugriff ist in einem Vertrag mit der vshn AG geregelt.
Die vshn ist zertifiziert nach:

Künstliche Intelligenz zum Lesen von PDF-Dateien: Microsoft Schweiz #

Ein Teil der von Sobrado empfangenen PDF-Dateien wird mithilfe Künstlicher Intelligenz in maschinenlesbare Datenstrukturen überführt. Dabei kommen Large Language Models (LLMs) zum Einsatz, die in einer isolierten, privaten Umgebung (geteilte Model-Inferenz und isolierter Zugriff) durch Sobrado betrieben werden. Diese Umgebung wird auf Infrastruktur von Microsoft Azure im Rechenzentrum «Switzerland North» nahe Zürich, Schweiz, betrieben.

Erbringungen von DevOps Dienstleistungen, Origoss GmbH, Budapest #

Ein Team der Firma ORIGOSS MEGOLDÁSOK Korlátolt Felelősségű Társaság, 1111 Budapest (Origoss Soulutions GmbH) erbringt subsidäre Hilfeleistungen im Produktiven Betrieb von Sobrado. Obwohl diese Mitarbeiter keinen Zugriff auf die Produktiven Daten haben und auch keine verarbeiten, sind wir lt. DSG verpflichtet, diesen Dienstleister hier aufzuführen.

Büro Infrastruktur: Microsoft Schweiz #

Die Sobrado AG verwendet Software der Firma Microsoft für verschiedene interne Tätigkeiten.
Alle Mitarbeiter haben Zugriff auf die nötigen Systeme.
Die Daten sind möglicherweise besonders schützenswerte Daten nach Art. 5 lit c DSG, insbesondere weil es sich um Personaldaten handelt.
Diese Microsoft-Systeme werden im Rechenzentrum «Switzerland North» in der Nähe von Zürich, Schweiz, von Microsoft Schweiz betrieben.

Dokumentations Infrastruktur: Atlassian Inc, Australien #

Die Sobrado AG verwendet für die Dokumentation von internen Prozessen, Ideen, Requirements Engineering, Sitzungsprotokollen etc. Systeme der Firma Atlassian Inc in Australien und in den USA.

Es werden keine Kundendaten auf diesen Systemen abgelegt, jedoch Daten der Mitarbeitenden.

Die Daten werden in verschiedenen Ländern gespeichert, Details dazu sind im Dokument Data Transfer Assesment der Atlassian zu sehen.

Events Infrastruktur: Evenito AG, Zürich #

Für Einladungen zu Events verwendet Sobrado die Software der Firma Evenito AG in Zürich.

Weitere Informationen zur Datensicherheit sind auf der Firmenhomepage der Evenito AG zu finden.

May 26, 2025

Rémy Schumm - aaa9a639a656623965a0a2d57850c5fc64f4db3d

Download

download als Word-File