Governance bei SuperOffice

Das SuperOffice Quality Management System (SQS) basiert auf den Strukturen der ISO-Standards und auf dem GRC-Prinzip: Governance + Risk management [Risikomanagement] + Compliance [Einhaltung].

Die von den Vorstandsmitgliedern von SuperOffice festgelegten und ausgeführten Prozesse spiegeln sich in der Organisationsstruktur und der Art und Weise wider, wie sie verwaltet und auf unsere Ziele hingelenkt wird.

SuperOffice SQS umfasst derzeit das Informationssicherheitsmanagementsystem für alle internen Systeme und den Cloud-Service von SuperOffice CRM Online für die Kunden. Darüber hinaus deckt SQS alle datenschutzbezogenen Prozesse ab, wie sie von der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben sind.

SuperOffice Verhaltenskodex

Wir bei SuperOffice haben hohe moralische Standards, die wir leben, achten und praktizieren. Wir glauben an die Kraft von Beziehungen und daran, wie wir als Unternehmen mit allen für uns wichtigen Interessengruppen zusammenarbeiten können, um ein gesundes Umfeld für Mitarbeiter, Kunden, Partner, Eigentümer, Lieferanten und alle anderen relevanten Geschäftspartner zu schaffen. Im Rahmen dieser Arbeit haben wir zwei separate Dokumente, die nicht nur unsere Erwartungen, sondern auch unsere Anforderungen an das Verhalten von Einzelpersonen, Unternehmen und anderen Personen bei der Geschäftstätigkeit mit SuperOffice beschreiben. Dazu gehören natürlich auch wir selbst und alle Mitarbeiter in unserem Unternehmen. Unser Verhaltenskodex wird von unserem Nachhaltigkeitsausschuss zusammen mit unserer Unternehmensleitung erstellt und von unserem Prüfungspartner PWC verifiziert.

Um unseren Verhaltenskodex herunterzuladen und zu lesen, klicken Sie bitte hier.

Risikomanagement

Es wird in Bezug auf die Informationsobjekte eine allgemeine Risikobewertung implementiert und einmal im Jahr aktualisiert. Unser Sicherheitsansatz basiert auf den Risikobewertungen gemäss Artikel 24 der Datenschutz-Grundverordnung der EU (EU-DSGVO) und §3 der IKT-Vorschriften.

Risikomanagement ist ein Satz an Prozessen, anhand derer das SuperOffice-Management Risiken, die die Umsetzung unserer organisationseigenen Geschäftsziele nachteilig beeinflussen könnten, rechtzeitig und auf angemessene Weise identifiziert, analysiert und darauf reagiert. Eine Reaktion auf ein Risiko hängt typischerweise von ihrer wahrgenommenen Schwere ab und beinhaltet ihre Kontrolle, Vermeidung, Annahme oder Übertragung auf einen Drittanbieter.

Wir verwalten ein breites Risikospektrum: technologische Risiken, Informationssicherheitsrisiken, kommerzielle/finanzielle Risiken und natürlich externe rechtliche und aufsichtsrechtliche Compliance-Risiken.

Klassifikation und Kontrolle von Informationen

Es ist sehr wichtig, dass es nicht zu Verstössen gegen die Vertraulichkeit und zu unzureichender Informationsintegrität kommt. Darum müssen wir Informationen unbedingt ihrer Kritikalität nach schützen. Deshalb werden alle wichtigen Informationen und Anlagegüter erfasst und einem designierten Eigentümer zugewiesen.

Ausserdem werden die Informationen klassifiziert, damit so die Umsetzung notwendiger und angemessener Sicherheitskontrollen ermöglicht wird. Der Informationseigentümer ist für die Verwaltung und fortlaufende Anwendung von genehmigten und angemessenen Kontrollen und Verbesserungen verantwortlich.

Zugriff von Drittanbietern auf Daten

Alle in SuperOffice CRM Online gespeicherten Informationen werden vertraulich behandelt und nicht einem Drittanbieter gegenüber offengelegt oder an ihn verkauft. Alle Informationen werden sicher gespeichert und es können nur der Kunde und die vertrauenswürdigen Mitarbeiter von SuperOffice zu Seitenverwaltungszwecken darauf zugreifen.

Einhaltung

SuperOffice hält sich an die gesetzlichen Anforderungen der EU in der VERORDNUNG 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der RICHTLINIE 95/46/EG (Datenschutz-Grundverordnung - DSGVO). Alle SuperOffice-Daten werden in der EU/dem EWR gespeichert. Für den Fall, dass SuperOffice sich dafür entscheidet, Subunternehmer ausserhalb der EU/des EWR zu verwenden, muss diese Verarbeitung im Einklang mit den EU-Standardvertragsklauseln für die Übermittlung an Drittländer oder einer anderen ausdrücklich erklärten Rechtsgrundlage für die Übermittlung personenbezogener Daten an ein Drittland erfolgen.

Datenverarbeitungsvereinbarungen

Es werden bei der Unterzeichnung der SuperOffice CRM Online-Vereinbarung zwischen SuperOffice und dem Kunden Datenverarbeitungsvereinbarungen geschlossen. Zweck der Datenverarbeitungsvereinbarung ist die Regelung der Verarbeitung der personenbezogenen Daten im Namen des Kunden durch SuperOffice und unter Nutzung von SuperOffice CRM Online. Es werden zwischen SuperOffice und den Unterauftragsverarbeitern sowie den App Store-Partnern Unterauftrags-Datenverarbeitungsvereinbarungen unterzeichnet.

Sichere Speicherung (ISO 27001 / 27018)

In SuperOffice CRM Online gespeicherte Daten werden von einem nach der ISO 27001 und ISO 27018 zertifizierten Informationssicherheitsmanagementsystem geschützt. 2018 soll eine Zertifizierung nach ISO 27018 erreicht werden. Diese ISO-Standards stellen die internationalen Best Practices für die Informationssicherheit dar. Darum legt die DSGVO die ISO 27001-Zertifizierung nahe, weil dies zeigt, dass die Informationssicherheit auf allen Organisationsebenen ernst genommen wird.

Unsere externen Sicherheitsberater prüfen die Sicherheitsrichtlinien und testen regelmässig die Abwehr und die Sicherheitskontrollen. SuperOffice und unsere Hosting-Partner fühlen sich dem Schutz aller Informationen in SuperOffice CRM Online stark verpflichtet.

Audits und ISAE 3402

Der Kunde ist zur Durchführung regelmässiger Sicherheitsaudits, Kontrollen und Inspektionen berechtigt. Das Audit kann den Durchlauf der wichtigsten Routinen, Stichprobenverfahren, umfangreichere Kontrollen vor Ort und andere geeignete Kontrollen umfassen. Die Parteien müssen ihre Kosten für solche Audits, Kontrollen und Inspektionen selbst tragen. Der Kunde muss sich zur Durchführung solcher Audits an einen berechtigten und zertifizierten Drittanbieter wenden.

SuperOffice / Visma ITC als Auftragsverarbeiter führt jährlich Sicherheitsaudits von Drittanbietern durch. Zweck dieser Audits ist der Nachweis der Angemessenheit der technischen und organisatorischen Sicherheitsmassnahmen, die SuperOffice einsetzt. Berichte zu dem von Ernst & Young (EY) durchgeführten Jahresaudit werden dem Kunden auf Anfrage verfügbar und auf Grundlage der ISAE 3402 zur Verfügung gestellt.

SuperOffice als Verantwortlicher führt regelmässig Audits, Kontrollen und Inspektionen durch, die von einem zertifizierten Dritten durchgeführt werden. Derzeit ist es PwC. Berichte über die regelmässig Prüfung durch PwC werden Kunden auf Anfrage.

Sichere Produktentwicklung

SuperOffice wendet bei seiner Softwareentwicklung sowohl das Security by Design-Prinzip als auch das Privacy by Design-Prinzip als Methode an. Alle Anwendungscodes werden mit einem End-to-End-Fokus auf Sicherheit und Datenschutz entwickelt. Neue Versionen werden von dezidiertem Prüfpersonal getestet und ausserdem umfangreichen externen Tests unterzogen (Betatests-/Pilotierung).

SuperOffice führt verschiedene Tests durch wie Funktions-, Integrations-, Leistungs- und Belastungs-/Stresstests. Es kommen sowohl automatisierte als auch manuelle Testverfahren zum Einsatz.

Alle für SuperOffice entwickelten Systeme unterliegen klaren Sicherheitsanforderungen, einschliesslich der Validierung von Daten, der Codesicherheit bei der Produktionsumgebung und aller Arten von Verschlüsselung. Es werden zur Steuerung aller Abschnitte des Entwicklungsprozesses strukturierte Methoden wie die agile Methode, Scrum usw. eingesetzt.

Alle Änderungen bei der Produktionsumgebung befolgen die aktuellen Verfahren. Zum Testen aller Änderungen werden dezidierte Prüf- und Entwicklungsumgebungen eingesetzt, zum Beispiel bei Fehlerbehebungen und neuen Versionen, bevor sie für die Produktion bereitgestellt werden. Neue Funktionen werden regelmässig von unabhängigem Prüfpersonal getestet.

Ausserdem wird alle Software getestet und offiziell von einem internen Eigentümer und Operator genehmigt, bevor sie an die Produktionsumgebung übergeben wird.

Bevor neue Änderungen in Produktion gehen, werden zunächst systematisch eine Gefahren- und Risikobewertung, eine Sicherheitscodeprüfung und Penetrationstests durchgeführt und dokumentiert. Werden keine Sicherheitsprobleme erkannt, wird die neue Funktion in die bestehende SuperOffice-Anwendung implementiert.

SuperOffice AS arbeitet mit einem unabhängigen Sicherheitsberater als Partner zusammen – Watchcom AS, mit dem Ziel, sichere Anwendungen und Services zu entwickeln.

Watchcom unterstützt SuperOffice mit Sicherheitsbewertungen, Anwendungssicherheitstests, Penetrationstests und Beratung. Watchcom arbeitet nach internationalen Sicherheitsstandards wie: ISO27001, ISO27005, ISO 22301, ISO 30111, OWASP, WASC. Diese Standards liegen allen Arbeiten und Berichten zugrunde, die für SuperOffice bereitgestellt werden.

Ausstiegsplan

Wenn das Abonnement der SuperOffice CRM Online-Services des Kunden gekündigt wird oder abläuft, wird das Konto deaktiviert und es kann nicht länger darauf zugegriffen werden. Bei der Kündigung der Vereinbarung werden die Benutzer des Kunden mit Administratorrechten bei ihrem Anmeldeversuch zu einer Website umgeleitet, wo sie alle Daten des Kunden herunterladen können. Diese Daten sind in einem generischen Dateiformat verfügbar. Der Download ist ab der Kündigung der Vereinbarung 30 Tage lang verfügbar. Nach 30 Tagen werden alle dem Kunden gehörenden Daten von den Servern und Einrichtungen der Datenzentren von SuperOffice entfernt. Sicherungen bleiben den Sicherungsverfahren gemäss weiter verfügbar.