Vertrauen und Sicherheit bei Agora Care

Bei Agora Care ist der Schutz der uns anvertrauten Daten eine zentrale Verantwortung. In diesem Trust Center erläutern wir die Massnahmen, die wir ergreifen, um die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen zu gewährleisten. Unser Ansatz basiert auf anerkannten Branchenstandards, gesetzlichen Verpflichtungen und einer starken internen Sicherheits- und Datenschutzkultur.

Informationssicherheitsmanagement

Richtlinien und Governance

Wir betreiben ein formelles Informationssicherheits-Managementsystem (ISMS) nach ISO/IEC 27001. Unsere Richtlinien decken alle Aspekte der Informationssicherheit ab – von der Zugriffskontrolle bis zur Reaktion auf Sicherheitsvorfälle. Diese Richtlinien werden mindestens einmal jährlich überprüft und aktualisiert.

Rollen und Verantwortlichkeiten

Sicherheit ist eine gemeinsame Verantwortung innerhalb unseres Unternehmens. Die spezifischen Rollen und Zuständigkeiten für Informationssicherheit sind klar definiert, werden regelmässig überprüft und sind in unsere internen Dokumentationen und Systeme integriert.

Externe Kontrolle und Branchenbeteiligung

Wir arbeiten mit vertrauenswürdigen externen Beratern zusammen, um unsere Sicherheitsmassnahmen zu prüfen und zu verbessern. Darüber hinaus beteiligen wir uns aktiv an relevanten Fachgremien, um über neue Risiken, Best Practices und regulatorische Entwicklungen informiert zu bleiben – darunter Clusis, The Trust Valley und der Schweizer Verband der Datenschutzbeauftragten (DPOs).

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Wir wenden Datenschutzprinzipien von Beginn an bei jedem Projekt an. Wenn neue Datenverarbeitungstätigkeiten geplant oder bestehende Prozesse geändert werden, werden sie überprüft und dem Sicherheitskomitee zur Bewertung vorgelegt.

Alle Änderungen werden systematisch dokumentiert, um Transparenz und Rechenschaftspflicht zu gewährleisten.

Sicheres Arbeiten im Homeoffice

Wir ermöglichen ortsunabhängiges Arbeiten unter Einhaltung hoher Sicherheitsstandards. Unsere Mitarbeitenden befolgen eine verbindliche Richtlinie für das Arbeiten im Homeoffice, die Mindestanforderungen für Geräte, sichere Verbindungen, das physische Arbeitsumfeld und die Wahrung der Vertraulichkeit vorgibt.

Gerätesicherheit und Endgerätemanagement

Alle beruflichen Tätigkeiten werden auf registrierten und verwalteten Geräten von Agora Care durchgeführt. Diese Endgeräte sind durch technische Schutzmassnahmen wie vollständige Festplattenverschlüsselung, Zugriffsbeschränkungen und regelmässige Sicherheitsupdates abgesichert. Schwachstellen werden kontinuierlich überwacht und umgehend adressiert.

Personelle Sicherheit

Unsere Mitarbeitenden sind ein zentraler Bestandteil unserer Sicherheitsstrategie. Neue Teammitglieder erhalten zu Beginn ihrer Tätigkeit Schulungen zur Informationssicherheit und zum Datenschutz. Diese Schulungen werden regelmässig aufgefrischt. Alle Mitarbeitenden sind durch eine Vertraulichkeitsvereinbarung gebunden – auch über das Ende des Arbeitsverhältnisses hinaus.

Klassifizierung von Informationen und Zugriffskontrolle

Daten werden entsprechend ihrer Sensibilität und dem geschäftlichen Kontext klassifiziert. Der Zugriff erfolgt rollenbasiert und wird durch ein zentrales Zugriffskontrollsystem verwaltet.

Die Vergabe, Überprüfung und Löschung von Zugriffsrechten unterliegt strengen Prozessen. Unsere Passwort- und Authentifizierungsrichtlinien entsprechen dem aktuellen Stand der Technik und werden laufend angepasst.

Verschlüsselung und Datenschutz

Sämtliche Datenübertragungen erfolgen verschlüsselt nach anerkannten Sicherheitsstandards wie TLS. Bei sensiblen Verarbeitungsschritten kommen zusätzliche Verschlüsselungs- und Zugriffsschutzmassnahmen zum Einsatz. Unsere Datenverarbeitungsprozesse werden regelmässig überprüft, um gesetzlichen und vertraglichen Anforderungen zu genügen.

Physische und infrastrukturelle Sicherheit

Unsere Büroräume und technischen Infrastrukturen sind durch Zutrittskontrollsysteme, Ausweiskontrollen und Alarmsysteme abgesichert. Mitarbeitende im Homeoffice sind verpflichtet, in einer sicheren und vertraulichen Umgebung zu arbeiten, die unseren Mindestanforderungen entspricht.

Betriebssicherheit

Unsere betrieblichen Sicherheitsmassnahmen beinhalten:

  • Ein strukturiertes Change-Management zur Bewertung technischer Änderungen
  • Regelmässige Software-Updates und Schwachstellenanalysen
  • Verwendung von verwalteter Infrastruktur mit dedizierten Sicherheitsfunktionen
  • Sicherheitsrichtlinien zur Nutzung sicherer Systemkonfigurationen

Technische Bedrohungen werden kontinuierlich evaluiert und die Schutzmassnahmen entsprechend angepasst.

Sichere Kommunikationskanäle

Wir nutzen verschlüsselte Kommunikationsmittel und sichere Plattformen für den Austausch sensibler oder vertraulicher Informationen. Alle Mitarbeitenden sind verpflichtet, ausschliesslich genehmigte Kommunikationskanäle zu verwenden und die internen Vorgaben zur Übertragung vertraulicher Daten einzuhalten.

Vertraulichkeitsvereinbarungen unterstreichen unsere Anforderungen zusätzlich.

Sicherheit bei Entwicklung und Systemlebenszyklus

Sicherheitsanforderungen werden bei der Entwicklung und Beschaffung neuer Systeme von Beginn an berücksichtigt. Änderungen mit hohem Sicherheitsimpact unterliegen einer Risikobewertung. Kontrollen werden über den gesamten Lebenszyklus hinweg regelmässig überprüft. Systeme von Drittanbietern müssen vor der Einführung unsere internen Sicherheitsanforderungen erfüllen.

Lieferanten- und Dienstleistermanagement

Unsere Lieferanten und Dienstleister müssen dieselben hohen Sicherheitsstandards einhalten wie wir selbst. Unsere Lieferantenrichtlinie definiert klare Anforderungen an die Informationssicherheit, die jährlich überprüft werden. Für alle kritischen Lieferanten erfolgt eine sorgfältige Due-Diligence-Prüfung. Verträge enthalten relevante Datenschutzklauseln.

Vorfallmanagement

Wir verfügen über einen strukturierten Prozess zur Erkennung, Meldung und Bearbeitung von Sicherheitsvorfällen. Alle Vorfälle werden dokumentiert, analysiert und effizient bearbeitet, um Wiederholungen zu vermeiden und Auswirkungen zu minimieren. Unsere Prozesse werden auf Basis von Erfahrungswerten laufend verbessert.

Business Continuity und Resilienz

Wir halten einen Business-Continuity-Plan (BCP) vor, der sicherstellt, dass unsere Dienstleistungen auch bei Störungen verfügbar bleiben. Der Plan beinhaltet Verfahren zur Wahrung der Vertraulichkeit und Verfügbarkeit von Daten während eines Vorfalls. Er wird regelmässig getestet und an aktuelle betriebliche Anforderungen angepasst.

Gesetzliche und regulatorische Konformität

Wir erfüllen die Anforderungen des Bundesgesetzes über den Datenschutz (DSG), der Datenschutz-Grundverordnung der EU (DSGVO) sowie anderer anwendbarer Rechtsvorschriften. Unsere regulatorischen Verpflichtungen sind in einem juristischen Register dokumentiert und werden laufend gepflegt.

Die Einhaltung gesetzlicher Vorgaben ist ein grundlegender Pfeiler unseres Vertrauens- und Sicherheitsversprechens.