22. Februar 2025
Anhang 2 zum Auftragsbearbeitungsvertrag
Verzeichnis technischer und organisatorischer Massnahmen (TOM)
Ort der Datenbearbeitung
Neben dem Sitz von Threema in 8808 Pfäffikon SZ (Gemeinde Freienbach) befinden sich die IT-Systeme von Threema, auf denen Personendaten bearbeitet und allenfalls gespeichert werden, in zwei Rechenzentren eines ISO 27001-zertifizierten Colocation Partners in Zürich.
1. Vertraulichkeit
1.1. Zutrittskontrolle
Geeignete Massnahmen, um den Zutritt unbefugter Personen zu den IT-Systemen von Threema, auf denen Personendaten bearbeitet werden, zu verhindern:
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| Alarmanlage | Schlüsselmanagement |
| Personenvereinzelungsanlage | Empfang |
| Biometrische Zutrittskontrolle | Besucherprotokoll |
| Manuelles Schliesssystem | Besucherausweise |
| Videoüberwachung | Besucher durch Arbeitnehmer begleitet |
| Abschliessbare Serverracks | Angestelltes Facility Management-Personal |
| Sicherheitspersonal im Rechenzentrum |
1.2. Zugangskontrolle
Geeignete Massnahmen, um unbefugte Personen an der Nutzung der IT-Systeme von Threema, auf denen Personendaten bearbeitet werden, zu hindern:
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| Einsatz eigener Serverhardware | Berechtigungsmanagement |
| Verzicht auf Cloud-Lösungen oder Shared Hosting | Benutzerprofile zentral erstellt und verwaltet |
| Logins mit Benutzernamen, starkem Passwort sowie Zwei-Faktor- oder Multi-Faktor-Authentifizierung | Passwortgeschützte Benutzeraccounts |
| Zugänge mit Secure Shell (SSH) | Sicherheitsmassnahmen für Homeoffice nach Stand der Technik |
| Einsatz von Security-Tokens für One-Time Password (OTP) Authentifizierung | Eingeschränkter Personenkreis zur Nutzung von administrativen Benutzeraccounts |
| Firewalls | |
| Zugang nur über Virtual Private Network (VPN) | |
| Verschlüsselung von Datenträgern, Festplatten, Smartphones und Arbeitscomputern | |
| Automatische Desktopsperre |
1.3. Zugriffskontrolle
Geeignete Massnahmen, um zu gewährleisten, dass berechtigte Arbeitnehmer von Threema bei der Nutzung der IT-Systeme ausschliesslich auf jene Personendaten zugreifen können, die ihrer Zugriffsberechtigung unterliegen, und Personendaten nicht unbefugt gelesen, kopiert, geändert oder gelöscht werden können:
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| Protokollierung von Zugriffen | Eingeschränkter Personenkreis zur Nutzung von administrativen Benutzeraccounts |
| Zugriffe auf IT-Systeme mittels SSH | Eingeschränkte Anzahl Administratoren |
| Transport Layer Security (TLS) Verschlüsselung | Verwaltung von Benutzerrechten durch Administratoren |
| Einsatz von Security-Tokens | Regelmässige Überprüfungen der Berechtigungen (Permission Audits) |
| Virtual Private Network (VPN) bei Fernzugriff | |
| Kryptografische Verfahren nach Stand der Technik |
1.4. Trennungskontrolle
Geeignete Massnahmen, um zu gewährleisten, dass Personendaten, die zu unterschiedlichen Zwecken erhoben wurden, auf den IT-Systemen von Threema logisch und physisch getrennt bearbeitet werden können:
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| Trennung von Produktiv-, Staging- und Testumgebung | Berechtigungsmanagement für Datenbanken |
| Logische Trennung von Systemen und Datenbanken | Definierte Anforderungen für Entwicklungsumgebungen |
| Mandantenfähigkeit bei relevanten Anwendungen | Definierte Anforderungen für die Durchführung von Tests in der Softwareentwicklung |
| Virtual Local Area Network (VLAN) Segmentierung von Netzwerken | Continuous Integration für automatisiertes Testing |
| Logische Trennung von Kundensystemen |
2. Integrität
Geeignete Massnahmen, um zu gewährleisten, dass Personendaten während ihres Transports («data in transit») oder ihrer Speicherung («data at rest») nicht unbefugt gelesen, kopiert, geändert oder gelöscht werden können und dass festgestellt werden kann, wohin Personendaten übermittelt werden:
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| Zugang nur über VPN | Need-to-know Prinzip |
| Protokollierung von Zugriffen und Abrufen | |
| Einsatz von Security-Tokens | |
| Verschlüsselte Verbindungen über Hypertext Transfer Protocol Secure (https) | |
| Verschlüsselung für Speicherung («data at rest») und Transport («data in transit») | |
| Verschlüsselung von Backups |
3. Verfügbarkeit
3.1. Verfügbarkeitskontrolle
Geeignete Massnahmen, um zu gewährleisten, dass Personendaten auf den IT-Systemen von Threema vor Verlust oder Zerstörung geschützt sind:
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| Feuer- und Rauchmelder | Konzept für Notfallvorsorge |
| Feuerlöscheinrichtungen | Konzept zur Abwehr von Distributed Denial of Service (DDoS)-Attacken |
| Überwachung Temperatur und Feuchtigkeit im Rechenzentrum | Einsatz von zwei Rechenzentren für Redundanz |
| Klimatisierter Serverraum | |
| Massnahmen zur unterbruchsfreien Stromversorgung im Notfall | |
| Redundant Array of Independent Disks (RAID) System | |
| Videoüberwachung | |
| Redundante Internetanbindung |
3.2. Wiederherstellbarkeit
Geeignete Massnahmen, die es Threema ermöglichen, die Verfügbarkeit von Personendaten und den Zugang zu ihnen auf ihren IT-Systemen nach einem Zwischenfall rasch wiederherzustellen:
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| Backup Monitoring | Konzept zur Datenwiederherstellung |
| Manuelle Wiederherstellbarkeit | Kontrolle des Sicherungsvorgangs |
| Backups nach Kritikalität | Regelmässige Tests zur Datenwiederherstellung |
| Redundante Aufbewahrung von verschlüsselten Backups in beiden Rechenzentren | |
| Zusätzlich geschützte Aufbewahrung bestimmter kritischer Daten als verschlüsseltes Backup ausserhalb der Rechenzentren |
4. Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit
| Technische Massnahmen | Organisatorische Massnahmen |
|---|---|
| Technischer Zugriff für Arbeitnehmer auf Regelungen zu Datenschutz und Informationssicherheit | Datensicherheitskonzept mit internen Verhaltensregeln |
| Regelmässige Aktualisierung von Software, Firewall und Spamfiltern | Definierte Anforderungen für «Privacy by Design» und «Privacy by Default» |
| Anwendung datenschutzfreundlicher Voreinstellungen | Definierte Anforderungen für sichere Softwareentwicklung |
| Überwachung von Fernzugriffen | Möglichst umfassende Vermeidung von Unterauftragsverhältnissen für die Bearbeitung von Personendaten |
| Unterauftragsverhältnisse für die Bearbeitung von Personendaten nur für nicht essenzielle Funktionen der Produkte von Threema | |
| Dokumentation der implementierten Verschlüsselung in Cryptography Whitepaper | |
| Regelmässige externe Audits zur Sicherheit der implementierten Verschlüsselung | |
| Regelmässige interne und externe Audits von Prozessen und Software |