DORA
Allgemeines Statement
Konformitätserklärung zur EU-Verordnung über die digitale operationelle Resilienz (DORA)
Wir freuen uns, bestätigen zu können, dass baseVISION der EU-Verordnung über die digitale operationelle Resilienz (DORA), Verordnung (EU) 2022/2554, entspricht. Diese Verordnung, die darauf abzielt, die digitale operationelle Resilienz von Finanzunternehmen zu stärken, ist ein wesentlicher Bestandteil unseres Engagements für höchste Standards in der IKT-Sicherheit und betrieblichen Integrität.
Im Rahmen unserer Compliance-Massnahmen haben wir robuste Rahmenwerke für das IKT-Risikomanagement implementiert, umfassende Tests zur digitalen operationellen Resilienz durchgeführt und strenge Mechanismen zur Überwachung und Meldung von IKT-bezogenen Vorfällen etabliert. Darüber hinaus stellen wir sicher, dass alle Drittanbieter von IKT-Dienstleistungen, mit denen wir zusammenarbeiten, die erforderlichen vertraglichen Vorgaben und Kontrollstandards einhalten.
Der Vorstand ist dem Erhalt hoher Sicherheitsstandards verpflichtet und überwacht, misst und unterstützt kontinuierlich Verbesserungen, um diese Standards auf einem hohen Niveau zu halten. Zentrale Verpflichtungen, Rollen und Verantwortlichkeiten sind klar definiert, umgesetzt und in unsere Dienstleistungen integriert. Wir haben ein robustes Risikomanagement-Rahmenwerk etabliert, das vom Chief Information Security Officer (CISO) überwacht und vom Vorstand mindestens einmal jährlich überprüft und genehmigt wird. Unsere Richtlinie beschreibt das Risikomanagementsystem und schreibt regelmässige Risikobewertungen der aktuellen Assets vor, um potenzielle Risiken zu identifizieren und zu adressieren.
Unsere Einhaltung der DORA-Verordnung stärkt nicht nur unsere Fähigkeit, Störungen standzuhalten, sondern unterstreicht auch unser Engagement, unseren Kunden sichere und zuverlässige Dienstleistungen bereitzustellen.
Für weitere Informationen zu unseren Compliance-Massnahmen und wie wir Ihre digitalen Abläufe schützen, wenden Sie sich bitte an unseren CISO (ciso@basevision.ch).
Erklärung zu „Kapitel V, Management von IKT-Drittanbieter-Risiken"
baseVISION hat ein ISO/IEC 27001 Informationssicherheits-Managementsystem (ISMS) implementiert und zertifiziert, das jährliche Überprüfungszyklen durch interne und externe Audits umfasst. Das ISMS wird ohne Ausnahmen umgesetzt und weiter ausgebaut, um den Anforderungen der DORA-Verordnung zu entsprechen.
Management Committment
Der Vorstand ist den hohen Sicherheitsstandards verpflichtet und überwacht, misst und unterstützt kontinuierlich Verbesserungen, um den Sicherheitsstandard auf einem hohen Niveau zu halten. Zentrale Verpflichtungen, Rollen und Verantwortlichkeiten sind definiert, umgesetzt und Teil unserer Dienstleistungen. Wir haben ein Risikomanagementsystem etabliert, das vom CISO gepflegt und mindestens einmal jährlich vom Vorstand überprüft und genehmigt wird. Eine Richtlinie definiert das Risikomanagementsystem und die wiederkehrende Risikobewertung der aktuellen Assets, um identifizierte Risiken zu bewerten.
Wesentliche vertragliche Bestimmungen
Unsere Dienstleistungen beinhalten je nach Service detaillierte Servicebeschreibungen oder eine Leistungsbeschreibung (Statement of Work, SOW). Servicebeschreibungen sind Teil langfristiger Dienstleistungen wie SOC-Dienste. Diese Verträge sind Bestandteil des SOC-Vertragsrahmens, der weitere Informationen wie unsere Drittanbieter, das „ADV-Datenverarbeitungszusatzabkommen“ oder „Technische und organisatorische Massnahmen“ zum Schutz der Daten umfasst. Wir werden den Kunden über alle Serviceänderungen informieren, die Aktualisierungen der Vertragsdokumente erforderlich machen.
Mit schriftlicher Zustimmung des Kunden werden wir Vertragsdokumente an genehmigte Behörden weitergeben. Der Kunde hat baseVISION zu benachrichtigen, bevor Dokumente an Dritte weitergeleitet werden, die nicht im Dienstleistungsvertrag oder in der Leistungsbeschreibung (Statement of Work) vereinbart sind.
Verpflichtung
Wir können die Unterstützung im Falle eines ICT-Sicherheitsvorfalls in Ihrem Finanzinstitut im Zusammenhang mit unseren Dienstleistungen garantieren. Zeit, Dauer und Gebühren sind Bestandteil des Vertrags.
Audits
Wir führen mindestens zwei ISMS-Audits pro Kalenderjahr durch. Eine externe Partei auditert das ISMS von baseVISION als Überprüfung und Vorbereitung auf das Audit durch die Zertifizierungsstelle. Das gesamte Unternehmen baseVISION ist ISMS-zertifiziert, ohne Ausnahmen bei den Kontrollen. Weitere Informationen finden Sie auf unserer Website, einschliesslich des neuesten Zertifikats. baseVISION gewährt den Kunden das Recht auf Audits gemäss den vertraglichen Vereinbarungen oder den Allgemeinen Geschäftsbedingungen auf der Website. Kontaktieren Sie den CISO für weitere Informationen.
Incident Handling
Wir haben Vorfallbearbeitungsprozesse im Rahmen unseres eigenen Security Operation Centers (SOC) implementiert. Die SOC-Prozesse führen die erste Sicherheitsvorfallanalyse durch und informieren oder eskalieren den Vorfall gemäss dem vordefinierten Eskalationsprozess. Je nach Fall wird das SOC unser Incident Management Team für eine weitergehende Analyse informieren oder den CISO benachrichtigen. Im Falle eines kritischen Sicherheitsvorfalls, der die Kundendaten gefährdet, wird baseVISION den Kunden über den vereinbarten Kommunikationskanal und im festgelegten Format informieren.
Penetration Testing / Assessments
Bei baseVISION führen wir regelmässige interne und externe Penetrationstests durch, um Schwachstellen in unseren Systemen zu identifizieren. Wir informieren unser Management über die durchgeführten Testarten und stellen eine Zusammenfassung der Ergebnisse sowie der ergriffenen Minderungsmassnahmen zur Verfügung. Dieser Ansatz zeigt unser Engagement für kontinuierliche Verbesserung, proaktives Risikomanagement und den Schutz sensibler Daten und Geräte.
Vulnerability- / Patch-Management
Wir stellen sicher, dass Betriebssysteme sowie deren Komponenten und Software regelmässig aktualisiert werden, um eine optimale Sicherheit zu gewährleisten. Dieser proaktive Ansatz hilft uns, potenzielle Schwachstellen zu vermeiden und das höchste Schutzniveau für unsere Systeme und Daten zu gewährleisten. Unser Security Operations Center (SOC) führt monatliche Bedrohungsanalysen durch, um potenzielle Risiken frühzeitig zu erkennen, und berichtet die Ergebnisse an den CIO und CISO.
Awareness
Bei baseVISION müssen alle neuen Mitarbeiter innerhalb ihrer ersten Wochen eine Schulung zur Cybersicherheit absolvieren. Darüber hinaus sind alle Mitarbeiter verpflichtet, jährlich eine Cybersicherheitsschulung zu durchlaufen. Diese Schulungen decken wesentliche Themen wie Vertraulichkeit, Datenschutz, Datensicherheit, Governance und die sichere Nutzung von Tools ab. Dies stellt sicher, dass alle gut informiert und darauf vorbereitet sind, die höchsten Sicherheitsstandards innerhalb der Organisation aufrechtzuerhalten.
Insolvenz, Liquidation, Einstellung und Kündigung
Wir erbringen unsere Dienstleistungen im Microsoft Azure-Tenant des Kunden, sodass die Daten in Ihrer Infrastruktur verbleiben und Sie die Kontrolle über die Daten behalten. Wir speichern Daten vorübergehend, um Berichte zu erstellen, die anschliessend in Ihrer Infrastruktur gespeichert werden.