3 KiB
3 KiB
E-Compliance Prozessübersicht — PowerOn / PORTA
Zweck: Dieses Verzeichnis enthält die dokumentierten Prozesse und Konzepte der PowerOn AG zum Nachweis der Anforderungen aus dem GLKB Cloud Assessment Criteria Catalogue (CACC) sowie den FINMA-Rundschreiben 2018/3 und 2023/1.
Stand: 02.06.2026
Geltungsbereich: PORTA Enterprise KI-Plattform (api.poweron.swiss)
Hinweis: [ZU PRÜFEN] markiert Stellen, an denen ein Fakt vor Einreichung verifiziert oder ergänzt werden muss.
Rahmenbedingungen (gelten für alle Dokumente)
- Hosting & Datenspeicherung: Infomaniak Public Cloud, Schweiz (
api.poweron.swiss,db.poweron.swiss). - Datenverarbeitung KI: Inhaltsdaten werden zur KI-Verarbeitung an externe LLM-Provider übermittelt. Primärprovider ist OpenAI (USA). Diese Übermittlung verlässt die Schweiz und ist über AVV/DPA + EU-SCC abgesichert (siehe Drittanbieter-Inventar und Verschlüsselungskonzept).
- Team: Sehr kleines Team (2–5 Personen). Wo Katalogpunkte eine grössere Organisation voraussetzen (24/7-SOC, vollständige Funktionstrennung), werden kompensierende Massnahmen beschrieben.
Dokumentenkarte → CACC-Punkte
| Dokument | Abgedeckte CACC-Punkte |
|---|---|
01_Informationssicherheitsrichtlinie.md |
49, 52, 56 |
02_Zugriffsmanagement_IAM_PAM.md |
25, 36, 37, 66, 67, 68, 69 |
03_Mitarbeitersicherheit_und_Screening.md |
23, 35, 37 |
04_Verschluesselung_und_Schluesselmanagement.md |
43, 44, 45, 46, 70, 71, 72 |
05_Backup_und_Wiederherstellung.md |
75, 87 |
06_Business_Continuity_und_Disaster_Recovery.md |
3, 79, 87 |
07_Incident_Response_und_Meldewesen.md |
19, 20, 27, 86 |
08_Change_Management.md |
81, 82, 83 |
09_Patch_Management.md |
78 |
10_Schwachstellenmanagement.md |
54, 59, 63, 84 |
11_Logging_und_Monitoring.md |
88, 89, 90, 91, 92, 93, 94 |
12_Netzwerk_und_Infrastruktursicherheit.md |
95, 96, 97, 98, 99 |
13_Datenaufbewahrung_Loeschung_LegalHold.md |
1, 2, 38, 72 |
14_Exit_und_Transition.md |
4, 5, 6, 22 |
15_Sichere_Softwareentwicklung_SDLC.md |
100, 101, 102 |
16_Kapazitaetsmanagement.md |
80 |
17_Subunternehmer_Management.md |
16, 31, 48, 53 |
18_Analyse_Recht_und_BestPractice.md |
Befundbericht (rechtlich / Best Practice, intern) |
Bestehend: drittanbieter-inventar.md |
48, 53, 61 |
Bestehend: datenbank-handling.md |
2, 38, 75 (teilw.) |
Bestehend: bcm_runbook.md |
3, 87 (technisch) |
Bestehend: feature_release_bugfix.md |
81, 100, 101 (teilw.) |
Offene Punkte vor Einreichung (Sammelliste)
- Verschlüsselung at-rest der Infomaniak-DB bestätigen (Konzept #04)
- MFA-Status auf Admin-/Server-Zugängen bestätigen (#02)
- Hintergrundprüfungen bei Einstellung klären (#03)
- Log-Aufbewahrungsdauer und Manipulationsschutz festlegen (#11)
- Restore-Test-Protokoll erstmalig durchführen und ablegen (#05)
- AVV/Zero-Retention-Verträge mit OpenAI & weiteren LLM-Providern ablegen (#17)
- Entscheidung zu produktiven Daten in Testumgebung (#15)