PowerOn/wiki
3
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
wiki/e-compliance/Prozesse/legal/03_Mitarbeitersicherheit_und_Screening.md
Stephan Schellworth 9f5f8bfc11 Add e-compliance processes and PowerOn AG documentation. 
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG
stammdaten, and internal legal and best-practice analysis report.

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-03 08:50:34 +02:00

2.6 KiB
Raw Blame History

Mitarbeitersicherheit und Screening

Dokumenttyp: Richtlinie & Prozess Geltungsbereich: Alle Mitarbeitenden und Hilfspersonen mit Zugang zu Kundendaten Version: 1.0 Status: Entwurf zur internen Freigabe Owner: Geschäftsführung Letzte Aktualisierung: 02.06.2026 Deckt ab (CACC): 23, 35, 37

1. Vertraulichkeitsverpflichtung (#23)

Alle Mitarbeitenden und Hilfspersonen werden bei Eintritt schriftlich zur Geheimhaltung sämtlicher Inhaltsdaten der Kunden verpflichtet — insbesondere zur Wahrung des Bankkunden- und sonstigen Berufsgeheimnisses. Die Verpflichtung gilt zeitlich unbefristet und besteht auch nach Beendigung des Arbeitsverhältnisses fort.

Nachweis: Unterschriebene Geheimhaltungsvereinbarung (NDA) im Personaldossier. [ZU PRÜFEN: liegen NDAs für alle aktuellen Mitarbeitenden vor?]

2. Sorgfältige Auswahl und Hintergrundprüfung (#35)

Vor Gewährung von Zugang zu Berufsgeheimnisdaten im Klartext werden Mitarbeitende sorgfältig ausgewählt und überprüft.

Prüfschritt Durchführung
Identitätsprüfung Bei Einstellung
Strafregisterauszug [ZU PRÜFEN: wird verlangt?]
Referenzprüfung früherer Arbeitgeber [ZU PRÜFEN]
Prüfung auf einschlägige Sanktionslisten [ZU PRÜFEN]

Hinweis: Punkt #35 verlangt eine Überprüfung „entsprechend den Standards des Instituts für eigene Mitarbeiter". Für FINMA-Kunden ist mindestens ein aktueller Strafregisterauszug üblich. Falls dies aktuell nicht erfolgt, als Massnahme aufnehmen.

3. Schulung und Awareness

Massnahme Häufigkeit
Sicherheits- und Datenschutz-Onboarding Bei Eintritt
Auffrischungsschulung (inkl. Phishing-/Social-Engineering-Awareness) Jährlich
Schulung zu dieser Richtlinie und zur IS-Richtlinie Bei Eintritt + bei Änderungen

[ZU PRÜFEN: Findet eine strukturierte Schulung statt? Falls informell, formalisieren und dokumentieren.]

4. Überwachung privilegierter Mitarbeitender (#37)

Mitarbeitende mit privilegiertem Zugriff auf kritische Klartextdaten werden:

  • sorgfältig ausgewählt und geschult,
  • durch Audit-Trails überwacht, die regelmässig (mindestens stichprobenweise) ausgewertet werden (siehe 11_Logging_und_Monitoring.md),
  • bei Offboarding sofort entzogen (siehe 02_Zugriffsmanagement_IAM_PAM.md Abschnitt 5).

5. Stand der Umsetzung / Lücken

Thema Status Massnahme
NDAs für alle Mitarbeitenden [ZU PRÜFEN] Vollständigkeit sicherstellen
Strafregisterauszug bei Einstellung [ZU PRÜFEN] Einführen falls nicht vorhanden
Dokumentierte jährliche Schulung [ZU PRÜFEN] Formalisieren