Technische und organisatorische Massnahmen (TOMs)

Version: 1.0
Datum: 2025-11-01

Diese Übersicht beschreibt die wesentlichen Sicherheitsmassnahmen für die Plattform.

1. Governance & Zugriff

• Rollen‑ und Rechtemanagement (Least‑Privilege, Need‑to‑Know)
• Starke Authentisierung (z. B. MFA für Admins)
• Regelmässige Zugriffsreviews und Protokollierung

2. Schutz der Daten

• Verschlüsselung in Transit (TLS) und ruhend, wo möglich (S3/Supabase)
• Geheimnis‑/Schlüsselverwaltung (z. B. getrennte Umgebungen, Rotation)
• Datensparsamkeit, Pseudonymisierung/Anonymisierung für KI‑Analysen

3. Infrastruktur & Betrieb

• App‑Betrieb auf Vercel; Anwendungsdaten in der Schweiz (AWS S3, Supabase)
• Härtung, Patch‑/Dependency‑Management, Infrastruktur‑as‑Code wo möglich
• Monitoring, Logging, Alarmierung; gesicherte Admin‑Zugänge

4. Entwicklung & Qualität

• Sicherheitsreviews, Code‑Scanning, Vier‑Augen‑Prinzip für kritische Änderungen
• Test/Stage‑Umgebungen, Secret‑Scanning, Dependency‑Audits

5. Notfall‑ & Vorfallsmanagement

• Incident‑Response‑Prozess inkl. Meldewegen
• Backups/Restore‑Prozeduren; regelmässige Wiederherstellungstests

6. Auftragsbearbeitung & Sub‑Prozessoren

• Verträge (AVV/DPA), SCC für Drittländer, Provider‑Due‑Diligence
• Dokumentation von Unterauftragsbearbeitern und Änderungen

7. Datenschutz by Design & by Default

• Zweckbindung, Minimierung, Opt‑in/Einwilligung für besondere Kategorien
• Transparenz (Datenschutzerklärung, KI‑Hinweise)