Allgemeines Statement
Konformitätserklärung zur EU-Verordnung über die digitale operationelle Resilienz (DORA)
Wir freuen uns, bestätigen zu können, dass baseVISION der EU-Verordnung über die digitale operationelle Resilienz (DORA), Verordnung (EU) 2022/2554, entspricht. Diese Verordnung zielt darauf ab, die digitale operationelle Resilienz von Finanzunternehmen zu stärken. Sie ist ein wesentlicher Bestandteil unseres Engagements für höchste Standards in der IKT-Sicherheit und betrieblichen Integrität.
Im Rahmen unserer Compliance-Massnahmen haben wir robuste Rahmenwerke für das IKT-Risikomanagement implementiert, umfassende Tests zur digitalen operationellen Resilienz durchgeführt und strenge Mechanismen zur Überwachung und Meldung von IKT-bezogenen Vorfällen etabliert. Darüber hinaus stellen wir sicher, dass alle Drittanbieter von IKT-Dienstleistungen, mit denen wir zusammenarbeiten, die erforderlichen vertraglichen Vorgaben und Kontrollstandards einhalten.
Der Vorstand verpflichtet sich zur Einhaltung hoher Sicherheitsstandards und überwacht, misst und unterstützt kontinuierliche Verbesserungen, um dieses Niveau dauerhaft sicherzustellen. Zentrale Verpflichtungen, Rollen und Verantwortlichkeiten sind klar definiert, umgesetzt und in unsere Dienstleistungen integriert.
Wir haben ein robustes Risikomanagement-Framework etabliert, das vom Chief Information Security Officer (CISO) überwacht und vom Vorstand mindestens einmal jährlich überprüft und genehmigt wird. Unsere Richtlinie beschreibt das Risikomanagementsystem und schreibt regelmässige Risikobewertungen der bestehenden Assets vor, um potenzielle Risiken zu identifizieren und geeignete Massnahmen zu ergreifen.
Unsere Einhaltung der DORA-Verordnung stärkt nicht nur unsere Fähigkeit, Störungen standzuhalten, sondern unterstreicht auch unser Engagement, unseren Kund:innen sichere und zuverlässige Dienstleistungen bereitzustellen.
Für weitere Informationen zu unseren Compliance-Massnahmen und dazu, wie wir Ihre digitalen Abläufe schützen, wenden Sie sich bitte an unseren CISO (ciso@basevision.ch).
Erklärung zu „Kapitel V, Management von IKT-Drittanbieter-Risiken»
baseVISION hat ein ISO/IEC 27001 Informationssicherheits-Managementsystem (ISMS) implementiert und zertifiziert, das jährliche Überprüfungszyklen durch interne und externe Audits umfasst. Das ISMS wird ohne Ausnahmen umgesetzt und kontinuierlich weiter ausgebaut, um die Anforderungen der DORA-Verordnung zu erfüllen.
Management Commitment
Der Vorstand verpflichtet sich zur Einhaltung hoher Sicherheitsstandards und überwacht, misst und unterstützt kontinuierliche Verbesserungen, um dieses Niveau dauerhaft sicherzustellen. Zentrale Verpflichtungen, Rollen und Verantwortlichkeiten sind klar definiert, umgesetzt und in unsere Dienstleistungen integriert.
Wir haben ein robustes Risikomanagement-Framework etabliert, das vom Chief Information Security Officer (CISO) überwacht und vom Vorstand mindestens einmal jährlich überprüft und genehmigt wird. Unsere Richtlinie beschreibt das Risikomanagementsystem und schreibt regelmässige Risikobewertungen der bestehenden Assets vor, um potenzielle Risiken zu identifizieren und geeignete Massnahmen zu ergreifen.
Wesentliche vertragliche Bestimmungen
Unsere Dienstleistungen beinhalten je nach Service detaillierte Servicebeschreibungen oder eine Leistungsbeschreibung (Statement of Work, SOW). Servicebeschreibungen sind Teil langfristiger Dienstleistungen wie SOC-Dienste. Diese Verträge sind Bestandteil des SOC-Vertragsrahmens, der weitere Informationen wie unsere Drittanbieter, das „ADV-Datenverarbeitungszusatzabkommen“ oder „Technische und organisatorische Massnahmen“ zum Schutz der Daten umfasst. Wir werden die Kund:innen über alle Serviceänderungen informieren, welche Aktualisierungen der Vertragsdokumente erforderlich machen.
Mit schriftlicher Zustimmung der Kund:innenwerden wir Vertragsdokumente an genehmigte Behörden weitergeben. Die Kund:innen haben baseVISION zu benachrichtigen, bevor Dokumente an Dritte weitergeleitet werden, die nicht im Dienstleistungsvertrag oder in der Leistungsbeschreibung (Statement of Work) vereinbart sind.
Verpflichtung
Wir können die Unterstützung im Falle eines ICT-Sicherheitsvorfalls in Ihrem Finanzinstitut im Zusammenhang mit unseren Dienstleistungen garantieren. Zeit, Dauer und Gebühren sind Bestandteil des Vertrags.
Audits
Wir führen mindestens zwei ISMS-Audits pro Kalenderjahr durch. Eine externe Partei auditiert das ISMS von baseVISION zur Überprüfung und Vorbereitung auf das Audit durch die Zertifizierungsstelle. Das gesamte Unternehmen baseVISION ist ISMS-zertifiziert, ohne Ausnahmen bei den Kontrollen. Weitere Informationen finden Sie auf unserer Website, einschliesslich des neuesten Zertifikats. baseVISION gewährt den Kund:innen das Recht auf Audits gemäss den vertraglichen Vereinbarungen oder den Allgemeinen Geschäftsbedingungen auf der Website. Kontaktieren Sie den CISO für weitere Informationen.
Incident Handling
Wir haben Vorfallbearbeitungsprozesse im Rahmen unseres eigenen Security Operations Centers (SOC) implementiert. Die SOC-Prozesse führen eine erste Analyse von Sicherheitsvorfällen durch und informieren oder eskalieren den Vorfall gemäss dem vordefinierten Eskalationsprozess. Je nach Situation informiert das SOC unser Incident-Management-Team für eine weitergehende Analyse oder benachrichtigt den Chief Information Security Officer (CISO).
Im Falle eines kritischen Sicherheitsvorfalls, der Kundendaten gefährdet, informiert baseVISION die Kundinnen und Kunden über den vereinbarten Kommunikationskanal und im festgelegten Format.
Penetration Testing / Assessments
Bei baseVISION führen wir regelmässige interne und externe Penetrationstests durch, um Schwachstellen in unseren Systemen zu identifizieren. Wir informieren unser Management über die durchgeführten Testarten und stellen eine Zusammenfassung der Ergebnisse sowie der ergriffenen Minderungsmassnahmen zur Verfügung. Dieser Ansatz zeigt unser Engagement für kontinuierliche Verbesserung, proaktives Risikomanagement und den Schutz sensibler Daten und Geräte.
Vulnerability- / Patch-Management
Wir stellen sicher, dass Betriebssysteme sowie deren Komponenten und Software regelmässig aktualisiert werden, um eine optimale Sicherheit zu gewährleisten. Dieser proaktive Ansatz hilft uns, potenzielle Schwachstellen zu vermeiden und das höchste Schutzniveau für unsere Systeme und Daten zu gewährleisten. Unser Security Operations Center (SOC) führt monatliche Bedrohungsanalysen durch, um potenzielle Risiken frühzeitig zu erkennen, und berichtet die Ergebnisse an den CIO und CISO.
Awareness
Bei baseVISION müssen alle neuen Mitarbeitenden innerhalb ihrer ersten Wochen eine Schulung zur Cybersicherheit absolvieren. Darüber hinaus sind alle Mitarbeitenden verpflichtet, jährlich eine Cybersicherheitsschulung zu durchlaufen. Diese Schulungen decken wesentliche Themen wie Vertraulichkeit, Datenschutz, Datensicherheit, Governance und die sichere Nutzung von Tools ab. Dies stellt sicher, dass alle gut informiert und darauf vorbereitet sind, die höchsten Sicherheitsstandards innerhalb der Organisation aufrechtzuerhalten.
Insolvenz, Liquidation, Einstellung und Kündigung
Wir erbringen unsere Dienstleistungen im Microsoft Azure-Tenant der Kund:innen, sodass die Daten in Ihrer Infrastruktur verbleiben und Sie die Kontrolle über die Daten behalten. Wir speichern Daten vorübergehend, um Berichte zu erstellen, die anschliessend in Ihrer Infrastruktur gespeichert werden.