9f5f8bfc11
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG stammdaten, and internal legal and best-practice analysis report. Co-authored-by: Cursor <cursoragent@cursor.com>
55 lines
2.6 KiB
Markdown
55 lines
2.6 KiB
Markdown
# Mitarbeitersicherheit und Screening
|
|
|
|
**Dokumenttyp:** Richtlinie & Prozess
|
|
**Geltungsbereich:** Alle Mitarbeitenden und Hilfspersonen mit Zugang zu Kundendaten
|
|
**Version:** 1.0
|
|
**Status:** Entwurf zur internen Freigabe
|
|
**Owner:** Geschäftsführung
|
|
**Letzte Aktualisierung:** 02.06.2026
|
|
**Deckt ab (CACC):** 23, 35, 37
|
|
|
|
---
|
|
|
|
## 1. Vertraulichkeitsverpflichtung (#23)
|
|
|
|
Alle Mitarbeitenden und Hilfspersonen werden bei Eintritt schriftlich zur Geheimhaltung sämtlicher Inhaltsdaten der Kunden verpflichtet — insbesondere zur Wahrung des Bankkunden- und sonstigen Berufsgeheimnisses. Die Verpflichtung gilt **zeitlich unbefristet** und besteht auch nach Beendigung des Arbeitsverhältnisses fort.
|
|
|
|
**Nachweis:** Unterschriebene Geheimhaltungsvereinbarung (NDA) im Personaldossier. **[ZU PRÜFEN: liegen NDAs für alle aktuellen Mitarbeitenden vor?]**
|
|
|
|
## 2. Sorgfältige Auswahl und Hintergrundprüfung (#35)
|
|
|
|
Vor Gewährung von Zugang zu Berufsgeheimnisdaten im Klartext werden Mitarbeitende sorgfältig ausgewählt und überprüft.
|
|
|
|
| Prüfschritt | Durchführung |
|
|
|---|---|
|
|
| Identitätsprüfung | Bei Einstellung |
|
|
| Strafregisterauszug | [ZU PRÜFEN: wird verlangt?] |
|
|
| Referenzprüfung früherer Arbeitgeber | [ZU PRÜFEN] |
|
|
| Prüfung auf einschlägige Sanktionslisten | [ZU PRÜFEN] |
|
|
|
|
> **Hinweis:** Punkt #35 verlangt eine Überprüfung „entsprechend den Standards des Instituts für eigene Mitarbeiter". Für FINMA-Kunden ist mindestens ein aktueller Strafregisterauszug üblich. Falls dies aktuell nicht erfolgt, als Massnahme aufnehmen.
|
|
|
|
## 3. Schulung und Awareness
|
|
|
|
| Massnahme | Häufigkeit |
|
|
|---|---|
|
|
| Sicherheits- und Datenschutz-Onboarding | Bei Eintritt |
|
|
| Auffrischungsschulung (inkl. Phishing-/Social-Engineering-Awareness) | Jährlich |
|
|
| Schulung zu dieser Richtlinie und zur IS-Richtlinie | Bei Eintritt + bei Änderungen |
|
|
|
|
**[ZU PRÜFEN: Findet eine strukturierte Schulung statt? Falls informell, formalisieren und dokumentieren.]**
|
|
|
|
## 4. Überwachung privilegierter Mitarbeitender (#37)
|
|
|
|
Mitarbeitende mit privilegiertem Zugriff auf kritische Klartextdaten werden:
|
|
- sorgfältig ausgewählt und geschult,
|
|
- durch Audit-Trails überwacht, die regelmässig (mindestens stichprobenweise) ausgewertet werden (siehe `11_Logging_und_Monitoring.md`),
|
|
- bei Offboarding sofort entzogen (siehe `02_Zugriffsmanagement_IAM_PAM.md` Abschnitt 5).
|
|
|
|
## 5. Stand der Umsetzung / Lücken
|
|
|
|
| Thema | Status | Massnahme |
|
|
|---|---|---|
|
|
| NDAs für alle Mitarbeitenden | [ZU PRÜFEN] | Vollständigkeit sicherstellen |
|
|
| Strafregisterauszug bei Einstellung | [ZU PRÜFEN] | Einführen falls nicht vorhanden |
|
|
| Dokumentierte jährliche Schulung | [ZU PRÜFEN] | Formalisieren |
|