9f5f8bfc11
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG stammdaten, and internal legal and best-practice analysis report. Co-authored-by: Cursor <cursoragent@cursor.com>
56 lines
3 KiB
Markdown
56 lines
3 KiB
Markdown
# E-Compliance Prozessübersicht — PowerOn / PORTA
|
||
|
||
**Zweck:** Dieses Verzeichnis enthält die dokumentierten Prozesse und Konzepte der PowerOn AG zum Nachweis der Anforderungen aus dem **GLKB Cloud Assessment Criteria Catalogue (CACC)** sowie den FINMA-Rundschreiben 2018/3 und 2023/1.
|
||
|
||
**Stand:** 02.06.2026
|
||
**Geltungsbereich:** PORTA Enterprise KI-Plattform (`api.poweron.swiss`)
|
||
**Hinweis:** `[ZU PRÜFEN]` markiert Stellen, an denen ein Fakt vor Einreichung verifiziert oder ergänzt werden muss.
|
||
|
||
---
|
||
|
||
## Rahmenbedingungen (gelten für alle Dokumente)
|
||
|
||
- **Hosting & Datenspeicherung:** Infomaniak Public Cloud, Schweiz (`api.poweron.swiss`, `db.poweron.swiss`).
|
||
- **Datenverarbeitung KI:** Inhaltsdaten werden zur KI-Verarbeitung an externe LLM-Provider übermittelt. **Primärprovider ist OpenAI (USA).** Diese Übermittlung verlässt die Schweiz und ist über AVV/DPA + EU-SCC abgesichert (siehe Drittanbieter-Inventar und Verschlüsselungskonzept).
|
||
- **Team:** Sehr kleines Team (2–5 Personen). Wo Katalogpunkte eine grössere Organisation voraussetzen (24/7-SOC, vollständige Funktionstrennung), werden **kompensierende Massnahmen** beschrieben.
|
||
|
||
---
|
||
|
||
## Dokumentenkarte → CACC-Punkte
|
||
|
||
| Dokument | Abgedeckte CACC-Punkte |
|
||
|---|---|
|
||
| `01_Informationssicherheitsrichtlinie.md` | 49, 52, 56 |
|
||
| `02_Zugriffsmanagement_IAM_PAM.md` | 25, 36, 37, 66, 67, 68, 69 |
|
||
| `03_Mitarbeitersicherheit_und_Screening.md` | 23, 35, 37 |
|
||
| `04_Verschluesselung_und_Schluesselmanagement.md` | 43, 44, 45, 46, 70, 71, 72 |
|
||
| `05_Backup_und_Wiederherstellung.md` | 75, 87 |
|
||
| `06_Business_Continuity_und_Disaster_Recovery.md` | 3, 79, 87 |
|
||
| `07_Incident_Response_und_Meldewesen.md` | 19, 20, 27, 86 |
|
||
| `08_Change_Management.md` | 81, 82, 83 |
|
||
| `09_Patch_Management.md` | 78 |
|
||
| `10_Schwachstellenmanagement.md` | 54, 59, 63, 84 |
|
||
| `11_Logging_und_Monitoring.md` | 88, 89, 90, 91, 92, 93, 94 |
|
||
| `12_Netzwerk_und_Infrastruktursicherheit.md` | 95, 96, 97, 98, 99 |
|
||
| `13_Datenaufbewahrung_Loeschung_LegalHold.md` | 1, 2, 38, 72 |
|
||
| `14_Exit_und_Transition.md` | 4, 5, 6, 22 |
|
||
| `15_Sichere_Softwareentwicklung_SDLC.md` | 100, 101, 102 |
|
||
| `16_Kapazitaetsmanagement.md` | 80 |
|
||
| `17_Subunternehmer_Management.md` | 16, 31, 48, 53 |
|
||
| `18_Analyse_Recht_und_BestPractice.md` | Befundbericht (rechtlich / Best Practice, intern) |
|
||
| **Bestehend:** `drittanbieter-inventar.md` | 48, 53, 61 |
|
||
| **Bestehend:** `datenbank-handling.md` | 2, 38, 75 (teilw.) |
|
||
| **Bestehend:** `bcm_runbook.md` | 3, 87 (technisch) |
|
||
| **Bestehend:** `feature_release_bugfix.md` | 81, 100, 101 (teilw.) |
|
||
|
||
---
|
||
|
||
## Offene Punkte vor Einreichung (Sammelliste)
|
||
|
||
- [ ] Verschlüsselung at-rest der Infomaniak-DB bestätigen (Konzept #04)
|
||
- [ ] MFA-Status auf Admin-/Server-Zugängen bestätigen (#02)
|
||
- [ ] Hintergrundprüfungen bei Einstellung klären (#03)
|
||
- [ ] Log-Aufbewahrungsdauer und Manipulationsschutz festlegen (#11)
|
||
- [ ] Restore-Test-Protokoll erstmalig durchführen und ablegen (#05)
|
||
- [ ] AVV/Zero-Retention-Verträge mit OpenAI & weiteren LLM-Providern ablegen (#17)
|
||
- [ ] Entscheidung zu produktiven Daten in Testumgebung (#15)
|