Informationssicherheitskonzept, Technische und organisatorische Massnahmen (TOM)

Informationssicherheitskonzept, Technische und organisatorische Massnahmen (TOM) der Sobrado Software AG
nach Art. 8 DSG und Art. 3 DSV

Allgemeine Bestimmungen #

Dieses Dokument beschreibt das Informationssicherheitskonzept und die technischen und organisatorischen Massnahmen (TOM), welche die Sobrado Software AG zum Schutz der Vertraulichkeit, Integrität und vertragsgemässen Verfügbarkeit von Personendaten trifft.

Technische und organisatorische Sicherheitsmassnahmen #

Vertraulichkeit #

Zugangskontrolle #

Unbefugten ist der (räumliche) Zutritt zu Datenverarbeitungsanlagen, in denen Kundendaten (einschliesslich Personendaten) verarbeitet werden oder genutzt werden, zu verwehren.

Umgesetzte Massnahmen:

Die Zutrittskontrolle zu den Gebäuden ist nicht relevant, da die Sobrado Software AG ausschliesslich online arbeitet. Eine Clean-Desk Policy verbietene das Verlassen von Arbeitsplätzen ohne Sperren des Bildschirms oder das Liegenlassen von Papierdokumenten.
Die Arbeitsplätze befinden sich in Zürich oder im Home-Office der Mitarbeiter.
Die Arbeitsrechner folgen einer BYOD-Policy, welche die Nutzung von privaten Geräten für die Arbeit erlaubt, sofern diese den Sicherheitsrichtlinien entsprechen. Diese Policy wird durch technische Massnahmen wie Verschlüsselung und Zwei-Faktor-Authentisierung unterstützt und ducht den CISO überwacht.

Benutzerkontrolle #

Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.

Umgesetzte Massnahmen:

Die Zugangskontrolle zu allen Systemen geschieht vollständig mit einer Zwei-Faktor Authentisierung.
Passwörter müssen mindestens eine Zahl, Klein- und Grossbuchstaben enthalten sowie mindestens 12 Zeichen lang sein. Sämtliche Datenträger, Rechner und sämtliche Kommuniktationswege (ausser eMail) sind verschlüsselt, die Schlüssel dazu werden an einem sicheren Ort mit restriktiven und nachvollziehbaren Zugriffsrechten verwaltet. Alle Systeme sind durch einer Firewall geschützt, Betriebseinheiten sind zusätzlich durch eine virtualisierung von Maschinen und Infrastruktur komplett von der Aussenwelt abgeschirmt. (Kubernetes OpenShift-Cluster mit SELinux.)

Zugriffskontrolle und Speicherkontrolle #

Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschliesslich auf die zur Erfüllung ihrer Aufgaben notwendigen (Need-to-Know) und ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass Kundendaten (einschliesslich Personendaten) bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Umgesetzte Massnahmen:

Die Zugriffskontrollen sind in einem Rollensystem implementiert.
Eine Übersicht dieser Rollen ist folgend auf Englisch aufgeführt:

Role nameDescriptionData access
Sobrado AdminManages whole app, can configure platform and provide rights to others.Can access all data on the platform.
Sobrado Reduced AdminCan configure application, except features that are application critical.Access to customer data, similar to admin without access to technical data critical for application.
Sobrado Library AdminOnly has access to the library part, without access to personal data.No access to customer data.
Broker Employee UserRole for broker employees, only see their personal information.Access to own company data (offer data).
Broker AdminCreate new broker employee users, configure settings for their company.Access to own company data (offer data).
Insurer EmployeeNo access to platform, but can see offer information and receive offers via mail.Access to own company data (offer data).
Insurer AdminCreate insurer employee users, configure settings for company.Access to own company data (offer data).
Insurer Entrypoint Employee--
Insurer Entrypoint Admin--
Guest Check news.-Only access to public data.
Dev Admin like access.Internal technical access.Only dev and integration, no access to production data.

Die Rollen sind bei der Software AG so verteilt, dass nur diejenigen Personen Zugriff auf die Daten haben, welche diese für die Erfüllung ihrer Aufgabe benötigen.

Schulung der Mitarbeiter #

Es ist sicherzustellen, dass alle Mitarbeiter regelmässig Schulungen zur Informationssicherheit erhalten.

Umgesetzte Massnahmen:

Alle Mitarbeiter der Sobrado Software AG nehmen an Schulungen zur Informationssicherheit teil. Diese Schulungen umfassen Themen wie Passwortsicherheit, Erkennung von Phishing-Angriffen, sichere Nutzung von IT-Systemen und Datenschutzbestimmungen. Die Teilnahme an diesen Schulungen wird dokumentiert.

Integrität #

Weitergabekontrolle (Transportkontrolle, Datenträgerkontrolle und Bekanntgabekontrolle) #

Es ist zu gewährleisten, dass Personendaten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung von Personendaten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Umgesetzte Massnahmen:

Verschiedene technische Massnahmen zur sicherere Weitergabe von Daten sind implementiert: dazu gehörten wie oben erwähnt:

  • die vollständige Verschlüsselung
    • aller Verbindungen
    • aller Datenträger
  • Zwei-Faktor-Authentisierung auf allen Systemen
  • Zentralisierte Rechte-Verwaltung für die Sobrado Software AG selber und für die Infrastruktur

Die Datenträger und die Infrastruktur der Sobrado Software AG befinden sich alle im Rechenzentrum des Infrastruktur-Providers, welcher im Dokument Bearbeitungstätigkeiten beschrieben ist.

Datenlöschung #

Es ist sicherzustellen, dass Daten nach Ablauf der Aufbewahrungsfrist oder auf Anfrage sicher und vollständig gelöscht werden.

Umgesetzte Massnahmen:

  • Daten werden nach Ablauf der gesetzlichen Aufbewahrungsfrist von 10 Jahren gelöscht.
  • Auf Anfrage können Daten von betroffenen Personen ebenfalls gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Eingabekontrolle und Protokollierung #

Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Personendaten in Datenverarbeitungs­systeme eingegeben, verändert oder entfernt worden sind.

Umgesetzte Massnahmen:

Die Protokollierung bzw. das Auditing ist nur teilweise umgesetzt, da aber gemäss Art 4 DSG keine «besonders schützenswerte Personendaten in grossem Umfang automatisiert bearbeitet» werden, ist eine vollständige Protkolloierung nicht notwendig. Auditing ist mit dem Tool «watchdog» implementiert, welches die Zugriffe auf die Systeme protokolliert.

Verfügbarkeit und Belastbarkeit #

Verfügbarkeitskontrolle und Wiederherstellung #

Es ist zu gewährleisten, dass Kundendaten (einschliesslich Personendaten) gegen zufällige oder mutwillige Zerstörung oder Verlust geschützt sind. Rasche Wiederherstellbarkeit ist sicherzustellen.

Umgesetzte Massnahmen:

Sämtliche Kundendaten sind auf den Systemen unseres Infrastruktur-Providers gegen Fehlmanipulationen geschützt. Es werden in regelmässigen Abständen und automatisch Sicherungskopien auf separaten Systemen erstellt. Diese Sicherungskopien werden regelmässig getestet und die Wiederherstellung verfiziert.

Belastbarkeit und Zuverlässigkeit #

Es ist sicherzustellen, dass IT- Systeme möglichst auch bei Störungen und Fehlern funktionsfähig bleiben. Zudem ist sicherzustellen, dass Fehlfunktionen von IT Systemen intern gemeldet werden.

Umgesetzte Massnahmen:

Die System der Sobrado Software AG werden von verschiedenen Monitor-System intern und bei unserem Infrastruktur-Provider überwacht, welche je nach Schwere des Vorfalls Alarm schlagen, im schlimmsten Fall per Telefon. Dazu gehören:

  • Überwachung von Endpoints auf Verfügbarkeit
  • Überwachung von Applkations-Logs
  • Überwachung von kubernetes-Metriken auf dem Cluster
  • Überwachung der Cloud-Clusters im Rechenzentrum

Im Falle einer schweren Störung («mayor incident») steht ein Plan zur «Emergency - Disaster Recovery - Business Continuity» zur Verfügung, welches auch die Behandlung von Fehlfunktionen beschreibt. Dieser Plan wird regelmässig getestet, durchgespielt und aktualisiert. Erkenntnisse aus den «mayor incidents» fliessen in die Verbesserung der Systeme ein - deren Umsetzung wird überwacht.

Die Systeme der Sobrado Software AG werden regelmässig durch Statische Code-Analyse und durch simulierte Angriffe (Penetrations Tests nach OWASP Top 10 et al.) auf Schwachstellen geprüft:

  • jede Nacht voller Scan gegen bekannte Verletzbarkeiten im laufenden System mit Bill-Of-Material Scanning «trivy»
  • jährlich Penetrations Tests nach OWASP Top 10 et al. durch eine externe Firma

Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung #

Datenschutz-Management #

Umgesetzte Massnahmen:

Um die Gewährleistung der Datenschutzes zu gewährleisten, sind die Rechte zu den kritischen Systemen aufs Minimun eingeschränkt und werden bei jeder Veränderung überprüft, insbesonderen durch das Durchführen von Code-Reviews und Abnahmetests.
Die Systeme werden regelmässig durch Statische Code-Analyse (Bill-Of-Material Scanning gegen bekannte Verletzbarkeiten im laufenden System jede Nacht) und durch simulierte Angriffe (Penetrations Tests nach OWASP Top 10 et al., jährlich) auf Schwachstellen geprüft.
Zu Testzwecken bestehen Test-Systeme, welche von den Produktiv-Systemen getrennt sind.

Incident-Response-Management (Erkennung und Minderung oder Beseitigung von Verletzungen der Datensicherheit) #

Umgesetzte Massnahmen:

Im Falle einer schweren Störung («mayor incident») steht ein Plan zur «Emergency - Disaster Recovery - Business Continuity» zur Verfügung, welches auch den Prozess zur Wiederherstellung, Information der Betroffenen Personen und Umsetzung von Verbesserung anschliessend an den Vorfall regelt.

Konkret gelten folgende Reaktionszeiten auf Störungen als Richtlinien:

Prioritäts-CodeBehandlung EmergencyReaktionszeit-VorgabeLösungszeit-Vorgabe
1 (Rot)Major incident10 Minuten4 Stunden
2 (Hellrot)Major incident1 Stunde8 Stunden
3 (Orange)Little incident4 Stunden24 Stunden
4 (Grün)Little incident1 Tag1 Woche

Wobei die Prioritäten wie folgt definiert sind:

  • 1 beträchtliche oder existenzbedrohende Auswirkung, sehr hohe Dringlichkeit
  • 2 begrenzte oder beträchtliche Auswirkungen, mittlere Dringlichkeit
  • 3 begrenzete Auswirkungen, geringe Dringlichkeit
  • 4 vernachlässigbare Auswirkungen, geringe Dringlichkeit

Zu jedem Incident wird ein Protokoll und ein Report erstellt, welcher die Ursache analysiert und Verbesserungsmassnahmen vorschlägt. Die Verbesseurngsmassnahmen werden in einem Plan festgehalten und umgesetzt.

Datenschutzfreundliche Voreinstellungen #

Umgesetzte Massnahmen:

Die Rechteverwaltung der Sobrado Software AG ist so implementiert, dass im Standardfall keine unnötigen Rechte vergeben werden - wie weiter oben im Abschnitt Benutzerkontrolle erwähnt.

Auftragskontrolle #

Keine Auftragsdatenverarbeitung oder Unter-Auftragsbearbeitung ohne entsprechende Weisung des Kunden.

Umgesetzte Massnahmen:

Die Sobrado Software AG regelt über SLA mit allen Kunden die Details der Datenverarbeitung.

Rémy Schumm (@kyburg) - 1a0348763e6cd66a76fd49aaea4615fa1fda380a

Download

download als Word-File