Technische und organis­atorische Massnahmen (TOM)

Technische und organis­atorische Massnahmen (TOM)

1. Vertraulichkeit

1.1 Zutrittskontrolle

1.1.1 Technische Massnahmen:
  • Türsicherung mit Sicherheitsschlösser und/oder Badge System
  • Logging der Zutritte
  • Alarmanlagen
  • Videoüberwachung bei Eintritt ins Rechencenter
1.1.2 Organisatorische Massnahmen:
  • Policies und Richtlinien – Zutritt nur für Berechtigte
  • Zonenkonzept mit unterschiedlichen Sicherheitsstufen und Zutrittsberechtigungen
  • Awareness Schulungen der Mitarbeitenden
  • Alarmierung bei unberechtigten Zutrittsversuchen

1.2 Zugangskontrolle

1.2.1 Technische Massnahmen:
  • Mehrfache Authentifizierung via VPN und diverse Checkpoints
  • Netzzonierung, Firewalls zur Sicherung und Kontrolle der Netzübergänge
  • Logging aller Zugänge
1.2.2 Organisatorische Massnahmen:
  • Policies und Richtlinien - Zugang nur für Berechtigte, minimale Administratoren
  • Netzwerk Zonenkonzept mit Schutz der Netzübergänge
  • Awareness Schulungen der Mitarbeitenden
  • Personalisierte User-Accounts
  • Periodische Kontrolle der Zugangsberechtigungen

1.3 Zugriffskontrolle

1.3.1 Technische Massnahmen:
  • Protokollierung von Login- Zugriffen auf die Applikation und Protokollierung in History für Kommunikation mit Bewerber
1.3.2 Organisatorische Massnahmen:
  • Berechtigungskontrolle
  • Rollenkonzept
  • Verwaltung Benutzerrechte durch User Manager (des Kunden)

1.4 Trennungskontrolle

1.4.1 Technische Massnahmen:
  • Physikalische Trennung (Systeme/ Datenbanken/ Datenträger)
  • Mandantenfähigkeit relevanter Anwendungen durch objektorientierte Datenbank
  • Verwendung von objektorientierter Datenbank mit Separation der Kunden durch Hierarchie. Die Hierarchie ist direkt mit dem Traversieren in der URL verknüpft
  • Dokumente werden pro Kunde in einer eigenen Orderstruktur abgelegt
1.4.2 Organisatorische Massnahmen:
  • Steuerung über Berechtigungskonzept
  • Festlegung von Datenbankrechten

1.5 Pseudonymisierung

1.5.1 Technische Massnahmen:
  • Anonymisierung der Daten und anonyme Verwendung für statistische Zwecke
  • Automatisches Hashen der Daten nach Ablauf der Archivierungsfrist
  • Automatisches Löschen der Daten nach Ablauf der Löschfrist
  • Automatisches Archivieren der Daten im Talentpool bei fehlendem Einverständnis zur weiteren Aufbewahrung und automatisches Löschen der Daten nach Ablauf der Löschfrist

2. Integrität

2.1 Weitergabekontrolle

2.1.1 Technische Massnahmen:
  • Verschlüsselte Verbindung (https)
  • Zugriff auf Server via VPN
2.1.2 Organisatorische Massnahmen:
  • Zugriffe sind jederzeit nur auf die berechtigen Stellen möglich (HR, Supervisor)
  • Zugriffe sind jederzeit nur auf die berechtigen Bewerbungen möglich (für Linienvorgesetzte)
  • Freischalten der Bewerbung durch HR Manager erfolgt direkt in der Bewerbungsübersicht. Der Status und wer Bewerbungsdaten einsehen kann ist jederzeit darstellbar und wird gespeichert. In der History wird festgehalten wer zu welchem Zeitpunkt die Daten einsehen konnte

2.2 Eingangskontrolle

2.2.1 Technische Massnahmen:
  • Zugriffe auf die Firewall und in der Applikation werden in Log-Dateien aufgezeichnet
2.2.2 Organisatorische Massnahmen:
  • Vergabe von Rollen und Rechten auf Basis eines Berechtigungskonzepts
  • Eingabe von Daten (z.b. Kommentaren) nachvollziehbar durch individuelle, persönliche Benutzernamen (nicht Benutzergruppen)
  • Klare Zuständigkeiten für Rollenverwaltung (Anlegen und Löschen der Benutzer)
  • Die Berechtigung für den Zugriff auf Bewerberdaten ist einstellbar. Nur zugewiesene Personen ist der Zugriff und die Änderung von Bewerbungsdaten möglich. Angaben zu einer Bewerbung wie z.B. Status, Kommentare oder Bewertungen werden mit der bearbeitenden Person aufgezeichnet. Diese aufgezeichneten Daten sind durch die verantwortlichen Personen einsehbar
  • Refline stellt den Usern ausführliche Anleitungen zur Anwendung zur Verfügung

3. Verfügbarkeit und Belastbarkeit

3.1 Verfügbarkeitskontrolle

3.1.1 Technische Massnahmen:
  • Branddetektions- und Schutzsysteme
  • Klimaanlage
  • USV
  • RAID Speichersysteme
  • Redundante Systeme
  • Zwei Standort Konzept
  • Backups
  • Malware Schutz
3.1.2 Organisatorische Massnahmen:
  • Policies und Reglemente
  • Awareness Schulungen der Mitarbeitenden
  • Regelmässige Tests
  • Regelmässige Wartung der Infrastrukturen und Systeme
  • Periodische Kontrollen

4. Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung

4.1 Datenschutz-Massnahmen

4.1.1 Technische Massnahmen:
  • Überprüfung und Anpassung der Software-Lösung an die datenschutzrechtlichen Anforderungen inkl. Automatisierung von Löschprozessen
4.1.2 Organisatorische Massnahmen:
  • Interner Datenschutz­beauftragter
  • Schulung und Verpflichtung der Mitarbeitenden in Bezug auf Datenschutz und Vertraulichkeit
  • Regelmässige Sensibilisierung der Mitarbeitenden mindestens jährlich
  • Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen

4.2 Incident-Response-Management

4.2.1 Technische Massnahmen:
  • Malware Schutzsysteme
  • Automatisches Monitoring der Aktivitäten
4.2.2 Organisatorische Massnahmen:
  • Policies und Richtlinien

4.3 Datenschutzfreundliche Voreinstellungen

  • Privacy by design / privacy by default
4.3.1 Technische Massnahmen:
  • Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind
  • Einfaches Widerrufsrechts der Betroffenen (Löschfunktion)

4.4 Auftragskontrolle (Outsourcing an Dritte)

4.4.1 Organisatorische Massnahmen:
  • Dritte werden mit höchster Sorgfalt geprüft und ausgewählt.