Bei Friendly nehmen wir Datenschutz und Informationssicherheit ernst. Wir verpflichten uns zur Einhaltung des neuen Schweizer Datenschutzgesetzes (nDSG) und der Datenschutz-Grundverordnung der EU (DSGVO). Mit sorgfältig eingesetzten technischen und organisatorischen Massnahmen gewährleisten wir, dass deine bei uns verarbeiteten Daten sicher gespeichert und vor unbefugtem Zugriff geschützt sind.
Wir schützen dabei konkret die Vertraulichkeit, Verfügbarkeit und Integrität aller verarbeiteten Daten angemessen zum Grad ihrer Schutzwürdigkeit. Wie wir das konkret umsetzen, erfährst du hier.
1. Verantwortung
Verantwortlich für die Datenverarbeitung ist die Friendly GmbH, Werkhofstrasse 5, 6052 Hergiswil, Schweiz.
Du erreichst uns per E-Mail an .
2. Vertraulichkeit
Vertraulichkeit bedeutet, dass unberechtigte Personen keinen Zugang zu personenbezogenen Daten haben.
2.1 Zugangskontrolle
Friendly schützt sicherheitsrelevante Räume vor unautorisiertem Zugang durch:
- Sichere Rechenzentren: Unsere Daten werden in ISO 27001-zertifizierten Rechenzentren verarbeitet, die über strenge Zutrittskontrollen wie biometrische Scanner, Sicherheitspersonal und Videoüberwachung verfügen.
- Sicherung des Büros: Der Zugang zu unserem Büro wird durch Schlüssel reguliert und ist auf autorisierte Personen beschränkt. Besucher müssen sich anmelden und werden von einem autorisierten Mitarbeitenden begleitet.
- Sicherheit bei Remote-Arbeit: Die Sicherheit im Homeoffice wird durch ein umfassendes Mitarbeiter-Reglement sichergestellt.
2.2 Zugriffskontrolle
Friendly schützt Personendaten und sensible Geschäftsdaten vor unerlaubtem Zugriff durch:
- Benutzerautorisierung: Der Zugriff auf unsere Systeme erfolgt ausschliesslich durch autorisierte Mitarbeitende, die starke Authentifizierungsmethoden wie komplexe Passwörter und Multi-Faktor-Authentifizierung (MFA) verwenden. Die Zugriffe auf die Systeme und Anwendungen werden protokolliert.
- Sichere Privatgeräte: Mitarbeitende dürfen private Geräte für geschäftliche Zwecke nutzen. Diese entsprechen den gleichen Sicherheitsanforderungen wie Firmengeräte, einschliesslich aktueller Betriebssysteme, verschlüsselter Festplatten und aktivierter Firewalls.
- Rollen- und Berechtigungskonzept: Zugriff auf Daten und Systeme wird nach dem Need-to-Know-Prinzip gewährt, basierend auf dem Rollen- und Berechtigungskonzept, das sicherstellt, dass Mitarbeitende nur Zugang zu den Informationen haben, die sie für ihre Arbeit benötigen.
- Netzwerkverschlüsselung: Der Zugriff auf unsere Systeme und Anwendungen ist nur über verschlüsselte Verbindungen möglich.
- Sichere Serverkonfiguration: Unsere Server sind mit Firewalls, Intrusion Prevention Systemen und regelmässigen Sicherheitsupdates und -kontrollen geschützt.
2.3 Trennungskontrolle
Friendly stellt sicher, dass Kundendaten strikt voneinander getrennt verarbeitet werden und nicht durch unbefugte Dritte eingesehen werden können, durch:
- Mandantenfähige Systemarchitektur: Unsere Anwendungen sind so aufgebaut, dass Daten verschiedener Kund:innen mandantenspezifisch verarbeitet werden. Eine Vermischung oder Einsichtnahme über Mandantengrenzen hinweg ist technisch ausgeschlossen.
- Klare Datenzuordnung: Jede verarbeitete Information ist eindeutig einem bestimmten Kunden zugewiesen. Diese Trennung wird in allen relevanten Datenbanken und Anwendungen durchgesetzt.
- Zugriffslogik nach Mandanten: Der Zugriff auf Daten erfolgt ausschliesslich innerhalb des jeweiligen Mandantenkontexts. Die Zugriffskontrollen stellen sicher, dass Mitarbeitende oder Systeme keinen unbeabsichtigten Zugriff auf fremde Kundendaten erhalten können. Die Zugriffe auf die Systeme und Anwendungen werden protokolliert.
2.4 Privacy by Design und Privacy by Default
Friendly berücksichtigt die Prinzipien «Privacy by Design» und «Privacy by Default» bei Auswahl, Konfiguration und Betrieb der eingesetzten Software:
- Datenschutz durch Technikgestaltung (Privacy by Design): Wir setzen Softwarelösungen ein, die Datenschutz und Informationssicherheit bereits technisch berücksichtigen. Bei der Systemkonfiguration fokussieren wir auf eine datenschutzfreundliche Ausgestaltung.
- Datenschutzfreundliche Voreinstellungen (Privacy by Default): Unsere Konfigurationen folgen dem Prinzip der Datenminimierung, sodass nur die zur Nutzung unbedingt erforderlichen personenbezogenen Daten verarbeitet und angezeigt werden.
3. Verfügbarkeit
Verfügbarkeit bedeutet, dass personenbezogene Daten zugänglich sind, wenn sie benötigt werden.
3.1 Verfügbarkeitskontrolle und Belastbarkeit
Friendly schützt personenbezogene Daten vor zufälligem Verlust oder absichtlicher Zerstörung durch:
- Schutz vor äusseren Einflüssen und Ausfällen: Unsere Rechenzentren sind mit Rauchmelde- und Löschanlagen, Temperatur- und Feuchtigkeitsüberwachung, Klimaanlagen, Notstromanlage und Notfallplänen ausgestattet.
- Schutz gegen Angriffe: Massnahmen zur Abwehr bekannter Angriffe, wie z.B. Distributed Denial of Service (DDoS), sind implementiert.
- Sichere IT-Infrastruktur: Unsere Systeme sind redundant ausgelegt und durch Massnahmen wie Load-Balancing und automatische Failover-Mechanismen geschützt.
- Frühwarnsysteme: Automatisierte Tools überwachen kontinuierlich die Verfügbarkeit und Sicherheit unserer Systeme und lösen bei Anomalien Alarme aus.
- Laufende Überwachung: Unsere IT-Spezialisten überwachen laufend die Verfügbarkeit, Funktionstüchtigkeit, Sicherheit und Auslastung unserer Systeme.
3.2 Rasche Wiederherstellbarkeit
Friendly gewährleistet die rasche Wiederherstellung von Daten nach einem Verlust durch:
- Regelmässige Backups: Es werden tägliche Backups aller geschäftskritischen Daten durchgeführt, die verschlüsselt an sicheren, getrennten Orten gespeichert werden.
- Notfallmanagement: Ein schriftlicher Notfallplan zur raschen Wiederherstellung nach einem Datenverlust oder Systemausfall ist implementiert und wird regelmässig getestet.
- Wiederherstellungstests: Regelmässige Tests der Backup-Wiederherstellungsverfahren stellen sicher, dass alle Daten im Bedarfsfall erfolgreich wiederhergestellt werden können.
4. Integrität
Integrität bedeutet, dass personenbezogene Daten nicht unberechtigt oder unbeabsichtigt verändert werden.
4.1 Weitergabekontrolle
Friendly stellt sicher, dass Daten sicher weitergegeben werden durch:
- Sichere Kommunikationskanäle: Friendly verwendet für die interne Kommunikation sichere, verschlüsselte Kommunikationskanäle.
- Sicheren Datenaustausch: Sensible Daten werden nicht per E-Mail verschickt, sondern über verschlüsselte Cloud-Dienste verschickt.
- Sichere Lieferantenbeziehungen (Auftragskontrolle): Friendly verwendet nur Drittsoftware von vertrauenswürdigen Anbietern und lässt sich die Einhaltung von Datensicherheitsstandards vertraglich zusichern.
4.2 Eingabekontrolle
Friendly stellt sicher, dass alle Dateneingaben nachvollziehbar sind durch:
- Dokumentation und Nachvollziehbarkeit: Alle Datenverarbeitungsvorgänge werden protokolliert, um die Nachvollziehbarkeit und Integrität der Daten zu gewährleisten.
- Datenbank- und Anwendungssicherheit: Datenbanken und Anwendungen sind durch Zugriffsrechte so konfiguriert, dass nur autorisierte Benutzer Änderungen vornehmen können.
- Berechtigungskonzept: Die Rechte zur Eingabe, Änderung und Löschung von Daten sind klar geregelt.
4.3 Datenlöschung und Data Lifecycle Management
Friendly stellt sicher, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist:
- Automatisierte Löschung: Nach Vertragsende, Zweckwegfall oder Ablauf gesetzlicher Aufbewahrungsfristen werden personenbezogene Daten gelöscht.
- Archivierungspflichten: Daten, die aus rechtlichen Gründen aufbewahrt werden müssen, werden gesondert gespeichert, der regulären Verarbeitung entzogen und nach Ablauf der gesetzlichen Frist gelöscht.
- Eigenständige Löschfunktionen: Kund:innen können ihre Daten im Rahmen ihrer Administrationsrechte jederzeit selbst löschen oder anpassen.
5. Management
5.1 Reglemente, Schulungen und Dokumentation
Friendly stellt sicher, dass alle Mitarbeitenden die Vertraulichkeit und Integrität von Informationen schützen durch:
- Mitarbeiterreglemente: Alle Mitarbeitenden sind an ein Reglement zur Informationssicherheit gebunden.
- Vertraulichkeitsvereinbarungen: Mitarbeitende sind verpflichtet, während und nach der Anstellung vertrauliche Informationen nicht unbefugt weiterzugeben oder zu verwenden.
- Dokumentation: Alle Massnahmen und Prozesse zur Sicherstellung der Compliance werden umfassend dokumentiert, um menschliche Fehler so weit als möglich zu vermeiden.
- Regelmässige Schulungen: Mitarbeitende erhalten regelmässig Schulungen zu Datenschutz und Informationssicherheit, um auf dem neuesten Stand bezüglich Sicherheitspraktiken und Bedrohungen zu bleiben.
- Förderung der Sicherheitskultur: Wir fördern eine Kultur des Sicherheitsbewusstseins und der offenen Kommunikation zu Datenschutz- und Sicherheitsfragen.
5.2 Management von Bedrohungen der Informationssicherheit
Friendly gewährleistet die effiziente Eindämmung von Informationssicherheitsvorfällen durch:
- Vorfallmanagement: Sicherheitsvorfälle und verdächtige Aktivitäten werden unverzüglich gemeldet und gemäss unserem Incident-Response-Plan bearbeitet.
- Zeitnahe Kundenkommunikation: Die betroffenen Kunden werden bei Sicherheitsvorfällen umgehend informiert.
5.3 Überprüfung und Aktualisierung der Massnahmen
Friendly gewährleistet die Aktualität unserer Sicherheitsstandards durch:
- Kontinuierliche Verbesserung: Wir beobachten laufend neue Bedrohungen und gesetzliche Anforderungen und wenden ein Managementsystem für die kontinuierliche Verbesserung unserer Sicherheitsstandards an.
- Regelmässige Penetrationstests: Wir führen regelmässig externe Penetrationstests durch, um die Wirksamkeit unserer technischen Schutzmassnahmen zu überprüfen. Die Ergebnisse fliessen direkt in die Weiterentwicklung unserer Sicherheitsarchitektur ein.
- Regelmässige Audits: Interne und externe Audits, insbesondere für die Zertifizierungen nach ISO 27 001 (Informationssicherheit) und ISO 9 001 (Qualitätsmanagement), gewährleisten die Einhaltung der Sicherheitsstandards.
Aktualisiert am: 5. Mai 2025
