# E-Compliance Prozessübersicht — PowerOn / PORTA

**Zweck:** Dieses Verzeichnis enthält die dokumentierten Prozesse und Konzepte der PowerOn AG zum Nachweis der Anforderungen aus dem **GLKB Cloud Assessment Criteria Catalogue (CACC)** sowie den FINMA-Rundschreiben 2018/3 und 2023/1.

**Stand:** 02.06.2026
**Geltungsbereich:** PORTA Enterprise KI-Plattform (`api.poweron.swiss`)
**Hinweis:** `[ZU PRÜFEN]` markiert Stellen, an denen ein Fakt vor Einreichung verifiziert oder ergänzt werden muss.

---

## Rahmenbedingungen (gelten für alle Dokumente)

- **Hosting & Datenspeicherung:** Infomaniak Public Cloud, Schweiz (`api.poweron.swiss`, `db.poweron.swiss`).
- **Datenverarbeitung KI:** Inhaltsdaten werden zur KI-Verarbeitung an externe LLM-Provider übermittelt. **Primärprovider ist OpenAI (USA).** Diese Übermittlung verlässt die Schweiz und ist über AVV/DPA + EU-SCC abgesichert (siehe Drittanbieter-Inventar und Verschlüsselungskonzept).
- **Team:** Sehr kleines Team (2–5 Personen). Wo Katalogpunkte eine grössere Organisation voraussetzen (24/7-SOC, vollständige Funktionstrennung), werden **kompensierende Massnahmen** beschrieben.

---

## Dokumentenkarte → CACC-Punkte

| Dokument | Abgedeckte CACC-Punkte |
|---|---|
| `01_Informationssicherheitsrichtlinie.md` | 49, 52, 56 |
| `02_Zugriffsmanagement_IAM_PAM.md` | 25, 36, 37, 66, 67, 68, 69 |
| `03_Mitarbeitersicherheit_und_Screening.md` | 23, 35, 37 |
| `04_Verschluesselung_und_Schluesselmanagement.md` | 43, 44, 45, 46, 70, 71, 72 |
| `05_Backup_und_Wiederherstellung.md` | 75, 87 |
| `06_Business_Continuity_und_Disaster_Recovery.md` | 3, 79, 87 |
| `07_Incident_Response_und_Meldewesen.md` | 19, 20, 27, 86 |
| `08_Change_Management.md` | 81, 82, 83 |
| `09_Patch_Management.md` | 78 |
| `10_Schwachstellenmanagement.md` | 54, 59, 63, 84 |
| `11_Logging_und_Monitoring.md` | 88, 89, 90, 91, 92, 93, 94 |
| `12_Netzwerk_und_Infrastruktursicherheit.md` | 95, 96, 97, 98, 99 |
| `13_Datenaufbewahrung_Loeschung_LegalHold.md` | 1, 2, 38, 72 |
| `14_Exit_und_Transition.md` | 4, 5, 6, 22 |
| `15_Sichere_Softwareentwicklung_SDLC.md` | 100, 101, 102 |
| `16_Kapazitaetsmanagement.md` | 80 |
| `17_Subunternehmer_Management.md` | 16, 31, 48, 53 |
| `18_Analyse_Recht_und_BestPractice.md` | Befundbericht (rechtlich / Best Practice, intern) |
| **Bestehend:** `drittanbieter-inventar.md` | 48, 53, 61 |
| **Bestehend:** `datenbank-handling.md` | 2, 38, 75 (teilw.) |
| **Bestehend:** `bcm_runbook.md` | 3, 87 (technisch) |
| **Bestehend:** `feature_release_bugfix.md` | 81, 100, 101 (teilw.) |

---

## Offene Punkte vor Einreichung (Sammelliste)

- [ ] Verschlüsselung at-rest der Infomaniak-DB bestätigen (Konzept #04)
- [ ] MFA-Status auf Admin-/Server-Zugängen bestätigen (#02)
- [ ] Hintergrundprüfungen bei Einstellung klären (#03)
- [ ] Log-Aufbewahrungsdauer und Manipulationsschutz festlegen (#11)
- [ ] Restore-Test-Protokoll erstmalig durchführen und ablegen (#05)
- [ ] AVV/Zero-Retention-Verträge mit OpenAI & weiteren LLM-Providern ablegen (#17)
- [ ] Entscheidung zu produktiven Daten in Testumgebung (#15)