Governance, Risiko und Einhaltung

SuperOffice ist dem Datenschutz, der Sicherheit und der Transparenz fest verpflichtet. In diesem Bereich werden unser Governance-Modell und unsere Richtlinien und Verfahren zur Festlegung, wie alle unsere Mitarbeiter stets zusammen am Erreichen unserer Ziele bei Datenschutz, Sicherheit und Transparenz arbeiten, skizziert.

Governance bei SuperOffice

Das SuperOffice Quality Management System (SQS) basiert auf den Strukturen der ISO-Standards und auf dem GRC-Prinzip: Governance + Risk management [Risikomanagement] + Compliance [Einhaltung].

Die von den Vorstandsmitgliedern von SuperOffice festgelegten und ausgeführten Prozesse spiegeln sich in der Organisationsstruktur und der Art und Weise wider, wie sie verwaltet und auf unsere Ziele hingelenkt wird.

SuperOffice SQS umfasst derzeit das Informationssicherheitsmanagementsystem für alle internen Systeme und den Cloud-Service von SuperOffice CRM Online für die Kunden. Darüber hinaus deckt SQS alle datenschutzbezogenen Prozesse ab, wie sie von der Datenschutz-Grundverordnung (DSGVO) vorgeschrieben sind.

Risikomanagement

Es wird in Bezug auf die Informationsobjekte eine allgemeine Risikobewertung implementiert und einmal im Jahr aktualisiert. Unser Sicherheitsansatz basiert auf den Risikobewertungen gemäss Artikel 24 der Datenschutz-Grundverordnung der EU (EU-DSGVO) und §3 der IKT-Vorschriften.

Risikomanagement ist ein Satz an Prozessen, anhand derer das SuperOffice-Management Risiken, die die Umsetzung unserer organisationseigenen Geschäftsziele nachteilig beeinflussen könnten, rechtzeitig und auf angemessene Weise identifiziert, analysiert und darauf reagiert. Eine Reaktion auf ein Risiko hängt typischerweise von ihrer wahrgenommenen Schwere ab und beinhaltet ihre Kontrolle, Vermeidung, Annahme oder Übertragung auf einen Drittanbieter.

Wir verwalten ein breites Risikospektrum: technologische Risiken, Informationssicherheitsrisiken, kommerzielle/finanzielle Risiken und natürlich externe rechtliche und aufsichtsrechtliche Compliance-Risiken.

Klassifikation und Kontrolle von Informationen

Es ist sehr wichtig, dass es nicht zu Verstössen gegen die Vertraulichkeit und zu unzureichender Informationsintegrität kommt. Darum müssen wir Informationen unbedingt ihrer Kritikalität nach schützen. Deshalb werden alle wichtigen Informationen und Anlagegüter erfasst und einem designierten Eigentümer zugewiesen.

Ausserdem werden die Informationen klassifiziert, damit so die Umsetzung notwendiger und angemessener Sicherheitskontrollen ermöglicht wird. Der Informationseigentümer ist für die Verwaltung und fortlaufende Anwendung von genehmigten und angemessenen Kontrollen und Verbesserungen verantwortlich.

Zugriff von Drittanbietern auf Daten

Alle in SuperOffice CRM Online gespeicherten Informationen werden vertraulich behandelt und nicht einem Drittanbieter gegenüber offengelegt oder an ihn verkauft. Alle Informationen werden sicher gespeichert und es können nur der Kunde und die vertrauenswürdigen Mitarbeiter von SuperOffice zu Seitenverwaltungszwecken darauf zugreifen.

Einhaltung

SuperOffice hält sich an die gesetzlichen Anforderungen der EU in der VERORDNUNG 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der RICHTLINIE 95/46/EG (Datenschutz-Grundverordnung - DSGVO). Die US-basierten Services sind nach dem EU-US Privacy Shield Framework und/oder dem U.S. – Swiss Safe Harbor Framework zertifiziert. Alle SuperOffice-Daten werden in Europa gespeichert.

Datenverarbeitungsvereinbarungen

Es werden bei der Unterzeichnung der SuperOffice CRM Online-Vereinbarung zwischen SuperOffice und dem Kunden Datenverarbeitungsvereinbarungen geschlossen. Zweck der Datenverarbeitungsvereinbarung ist die Regelung der Verarbeitung der personenbezogenen Daten im Namen des Kunden durch SuperOffice und unter Nutzung von SuperOffice CRM Online. Es werden zwischen SuperOffice und den Unterauftragsverarbeitern sowie den App Store-Partnern Unterauftrags-Datenverarbeitungsvereinbarungen unterzeichnet.

Sichere Speicherung (ISO 27001 / 27018)

In SuperOffice CRM Online gespeicherte Daten werden von einem nach der ISO 27001 zertifizierten Informationssicherheitsmanagementsystem geschützt. 2018 soll eine Zertifizierung nach ISO 27018 erreicht werden. Diese ISO-Standards stellen die internationalen Best Practices für die Informationssicherheit dar. Darum legt die DSGVO die ISO 27001-Zertifizierung nahe, weil dies zeigt, dass die Informationssicherheit auf allen Organisationsebenen ernst genommen wird.

Unsere externen Sicherheitsberater prüfen die Sicherheitsrichtlinien und testen regelmässig die Abwehr und die Sicherheitskontrollen. SuperOffice und unsere Hosting-Partner fühlen sich dem Schutz aller Informationen in SuperOffice CRM Online stark verpflichtet.

Audits und ISAE 3402

Der Kunde ist zur Durchführung regelmässiger Sicherheitsaudits, Kontrollen und Inspektionen berechtigt. Das Audit kann den Durchlauf der wichtigsten Routinen, Stichprobenverfahren, umfangreichere Kontrollen vor Ort und andere geeignete Kontrollen umfassen. Die Parteien müssen ihre Kosten für solche Audits, Kontrollen und Inspektionen selbst tragen. Der Kunde muss sich zur Durchführung solcher Audits an einen berechtigten und zertifizierten Drittanbieter wenden.

SuperOffice führt diese externen Sicherheitsaudits auf Jahresbasis durch. Zweck dieser Audits ist der Nachweis der Angemessenheit der technischen und organisatorischen Sicherheitsmassnahmen, die SuperOffice einsetzt. Berichte zu dem von Ernst & Young (EY) durchgeführten Jahresaudit werden dem Kunden gegen eine festgelegte Gebühr und auf Grundlage der ISAE 3402 zur Verfügung gestellt.

Sichere Produktentwicklung

SuperOffice wendet bei seiner Softwareentwicklung sowohl das Security by Design-Prinzip als auch das Privacy by Design-Prinzip als Methode an. Alle Anwendungscodes werden mit einem End-to-End-Fokus auf Sicherheit und Datenschutz entwickelt. Neue Versionen werden von dezidiertem Prüfpersonal getestet und ausserdem umfangreichen externen Tests unterzogen (Betatests-/Pilotierung).

SuperOffice führt verschiedene Tests durch wie Funktions-, Integrations-, Leistungs- und Belastungs-/Stresstests. Es kommen sowohl automatisierte als auch manuelle Testverfahren zum Einsatz.

Alle für SuperOffice entwickelten Systeme unterliegen klaren Sicherheitsanforderungen, einschliesslich der Validierung von Daten, der Codesicherheit bei der Produktionsumgebung und aller Arten von Verschlüsselung. Es werden zur Steuerung aller Abschnitte des Entwicklungsprozesses strukturierte Methoden wie die agile Methode, Scrum usw. eingesetzt.

Alle Änderungen bei der Produktionsumgebung befolgen die aktuellen Verfahren. Zum Testen aller Änderungen werden dezidierte Prüf- und Entwicklungsumgebungen eingesetzt, zum Beispiel bei Fehlerbehebungen und neuen Versionen, bevor sie für die Produktion bereitgestellt werden. Neue Funktionen werden regelmässig von unabhängigem Prüfpersonal getestet.

Ausserdem wird alle Software getestet und offiziell von einem internen Eigentümer und Operator genehmigt, bevor sie an die Produktionsumgebung übergeben wird.

Bevor neue Änderungen in Produktion gehen, werden zunächst systematisch eine Gefahren- und Risikobewertung, eine Sicherheitscodeprüfung und Penetrationstests durchgeführt und dokumentiert. Werden keine Sicherheitsprobleme erkannt, wird die neue Funktion in die bestehende SuperOffice-Anwendung implementiert.

SuperOffice AS arbeitet mit einem unabhängigen Sicherheitsberater als Partner zusammen – Watchcom AS, mit dem Ziel, sichere Anwendungen und Services zu entwickeln.

Watchcom unterstützt SuperOffice mit Sicherheitsbewertungen, Anwendungssicherheitstests, Penetrationstests und Beratung. Watchcom arbeitet nach internationalen Sicherheitsstandards wie: ISO27001, ISO27005, ISO 22301, ISO 30111, OWASP, WASC. Diese Standards liegen allen Arbeiten und Berichten zugrunde, die für SuperOffice bereitgestellt werden.

Ausstiegsplan

Wenn das Abonnement der SuperOffice CRM Online-Services des Kunden gekündigt wird oder abläuft, wird das Konto deaktiviert und es kann nicht länger darauf zugegriffen werden. Bei der Kündigung der Vereinbarung werden die Benutzer des Kunden mit Administratorrechten bei ihrem Anmeldeversuch zu einer Website umgeleitet, wo sie alle Daten des Kunden herunterladen können. Diese Daten sind in einem generischen Dateiformat verfügbar. Der Download ist ab der Kündigung der Vereinbarung 30 Tage lang verfügbar. Nach 30 Tagen werden alle dem Kunden gehörenden Daten von den Servern und Einrichtungen der Datenzentren von SuperOffice entfernt. Sicherungen bleiben den Sicherungsverfahren gemäss weiter verfügbar.

Cloud-Sicherheit

Erfahren Sie mehr über die Sicherheitsmassnahmen und Sicherheitsprotokolle zum Schutz aller in SuperOffice CRM Online gespeicherten Daten.

DSGVO & CRM

Erfahren Sie, wie SuperOffice CRM Ihnen bei der Speicherung und Verarbeitung von persönlichen Kundendaten gemäss den Anforderungen der DSGVO helfen kann.

App Store & APIs

Kontrollieren Sie alle rechtswirksamen Vereinbarungen, Richtlinien, Vorschriften und Zertifikate, die SuperOffice einhält.