Unabhängig verifiziert. Strukturell solide.

Sicherheit, die Sie auditieren können, nicht nur vertrauen.

Jedes Framework, mit dem wir uns abstimmen, jede Zertifizierung, die wir besitzen, jede Verifizierung, die wir durchführen: Jedes einzelne spiegelt eine bewusste strukturelle Entscheidung wider und ist Teil des Fundaments, auf dem jeder Kunde, Partner und Gutachter aufbaut. Wir sind transparent darüber, wofür wir zertifiziert sind, womit wir abgestimmt sind und wo der Unterschied wichtig ist.

Was wir vorweisen und was es bedeutet

Drei Ebenen der Gewissheit – ein klares Bild

Nicht jedes Framework funktioniert auf die gleiche Weise, und wir behandeln sie auch nicht so. Für einige sind wir formell zertifiziert: unabhängig geprüft, im Umfang definiert und in einem strukturierten Zyklus erneuert. Mit anderen sind wir abgestimmt, was bedeutet, dass unsere Architektur, Prozesse und Kontrollen darauf ausgelegt sind, deren Anforderungen zu erfüllen. Und einige sind Verifizierungen durch Dritte, die spezifische Zusagen bestätigen, die wir gemacht haben. Im Folgenden erläutern wir genau, was was ist.

Geprüft. Erneuert. Nachweisbar.

ISO/IEC 27001:2022 Zertifizierung

ISO/IEC 27001:2022 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Eine Zertifizierung bedeutet, dass unsere Sicherheitskontrollen, Risikomanagementprozesse und Betriebsabläufe unabhängig geprüft und als den Anforderungen des Standards entsprechend befunden wurden – und dass wir diesen Status durch regelmäßige Überwachungsaudits aufrechterhalten und erneuern. Für Kunden bedeutet dies, dass die von uns beschriebene Sicherheitsposition nicht selbst bewertet ist: Sie wurde von einer externen Stelle geprüft und anhand eines definierten, international anerkannten Maßstabs bestätigt.

Europäischer Datenschutz, durch Design.

DSGVO-Konformität

Die Datenschutz-Grundverordnung (DSGVO) legt die Regeln für die Erhebung, Speicherung, Verarbeitung und Übermittlung personenbezogener Daten in der gesamten EU und im EWR fest. Unsere Plattform wurde unter Berücksichtigung der DSGVO-Anforderungen entwickelt: Sie umfasst Datenminimierung, Zweckbindung, Zugangs- und Löschrechte sowie klare Verarbeitungsgrenzen. Für Kunden, die DSGVO-Verpflichtungen unterliegen, bedeutet dies, dass SecureSafe darauf ausgelegt ist, Ihre Compliance zu unterstützen und nicht zu erschweren. Eine Konformität auf Plattformebene macht ein Kundenunternehmen jedoch nicht von sich aus DSGVO-konform, da die Compliance auch davon abhängt, wie die Plattform konfiguriert und in Ihren eigenen Prozessen verwendet wird.

Schweizer Datenschutz, von Anfang an integriert.

DSG-Konformität

Das Schweizer Bundesgesetz über den Datenschutz (DSG) regelt den Umgang mit Personendaten in der Schweiz, mit Anforderungen, die denen der DSGVO stark ähneln – und diese in einigen Bereichen sogar übertreffen. Als Schweizer Unternehmen ist die Einhaltung des DSG keine nachträgliche Anpassung: Sie spiegelt wider, wie unsere Praktiken zur Datenverarbeitung, -speicherung und -handhabung von Anfang an strukturiert wurden. Für Kunden mit Sitz in der Schweiz oder solche, die Daten über die Schweizer Gerichtsbarkeit hinweg austauschen, bietet dies eine klare, rechtlich fundierte Grundlage. Wie bei jedem rechtlichen Rahmenwerk unterstützt dies die Compliance-Bemühungen der Kunden, garantiert aber nicht von sich aus die Compliance in jedem Anwendungsfall.

Operationelle Resilienz für regulierte Umgebungen.

DORA-Konformität

Der Digital Operational Resilience Act (DORA) legt Anforderungen für das IKT-Risikomanagement, die Meldung von Vorfällen und die Überwachung von Drittanbietern im EU-Finanzsektor fest. Unsere Architektur und Betriebsabläufe entsprechen den DORA-Anforderungen, was für Finanzinstitute und deren Technologiepartner, die unter dessen Geltungsbereich fallen, relevant ist. Für Kunden in regulierten Finanzumfeldern ist SecureSafe so konzipiert, dass es als resilienzfördernde Komponente dient und keine Compliance-Belastung darstellt.

Die Messlatte höher legen und diese erfüllen.

NIS2-Konformität

Die NIS2-Richtlinie stärkt die Cybersicherheitsanforderungen in kritischen und wichtigen Sektoren der EU, einschließlich Anforderungen an Risikomanagement, Lieferkettensicherheit und Reaktion auf Vorfälle. Unsere Sicherheitskontrollen, Zugriffsverwaltung und operativen Praktiken sind auf den NIS2-Rahmen abgestimmt. Für Organisationen, die in den Geltungsbereich von NIS2 fallen, oder solche, die ihr Lieferkettenrisiko bewerten, ist SecureSafe so strukturiert, dass es diese Angriffsfläche reduziert und nicht vergrößert.

Entwickelt für die Anforderungen der Schweizer Finanzbranche.

FINMA-Konformität

Die FINMA, die Eidgenössische Finanzmarktaufsicht, legt Aufsichtserwartungen fest, die für die Daten-Governance, das Outsourcing und die operative Sicherheit beaufsichtigter Finanzinstitute relevant sind. Unsere Plattform und unser Betriebsmodell sind darauf ausgelegt, wichtige Erwartungen zu erfüllen, die für den Einsatz von SecureSafe in regulierten Umgebungen relevant sind, einschließlich Zugriffskontrolle, Auditierbarkeit und Outsourcing-bezogener Due Diligence. Für Schweizer Finanzinstitute und deren Partner trägt dies dazu bei, SecureSafe als eine Plattform zu positionieren, die den Betrieb innerhalb Ihres regulatorischen Rahmens unterstützen kann.

In der Schweiz entwickelt. Als solche verifiziert.

Software «Swiss Made»

Das Label «Swiss Made Software» wird an Softwareprodukte vergeben, die definierte Kriterien für Entwicklung, Wartung und Support in der Schweiz erfüllen. Das Tragen dieses Labels bedeutet, dass unsere Software unabhängig nach diesen Kriterien geprüft und verifiziert wurde – es ist keine Selbsterklärung. Für Kunden, denen Herkunft, lokale Verantwortlichkeit und Schweizer Qualitätsstandards wichtig sind, bietet diese Verifizierung eine definierte, überprüfbare Grundlage für dieses Vertrauen.

Unsere Umweltverpflichtungen, unabhängig nachverfolgt.

myclimate-Verifizierung

myclimate ist eine führende Schweizer Klimaschutzorganisation. Wir nutzen die Berichtssoftware von myclimate, um unseren CO2-Fußabdruck zu verfolgen und gezielte Reduktionsmaßnahmen umzusetzen – und gehen noch einen Schritt weiter, indem wir mit einem Klimabeitrag verifizierte Nachhaltigkeitsprojekte unterstützen. Für Kunden, die Umweltverantwortung in ihre Beschaffungsentscheidungen einbeziehen, bedeutet dies, dass unsere Nachhaltigkeitsverpflichtungen aktiv gemessen, berichtet und durch konkrete Maßnahmen untermauert werden.

Häufig gestellte Fragen

Hier finden Sie Antworten auf Ihre wichtigsten Fragen.

Was ist der Unterschied zwischen „zertifiziert“, „ausgerichtet“ und „verifiziert“?

Diese Begriffe sind nicht austauschbar, und wir verwenden sie bewusst.• Zertifiziert bedeutet, dass wir unabhängig gegen einen definierten Standard geprüft wurden und als Ergebnis formal ein Zertifikat erhalten haben. Wir verfügen über eine Zertifizierung: ISO/IEC 27001:2022.• Ausgerichtet bedeutet, dass unsere Architektur, Prozesse und Kontrollen darauf ausgelegt sind, die Anforderungen eines bestimmten regulatorischen Rahmenwerks zu erfüllen, das Rahmenwerk selbst jedoch kein Zertifikat ausstellt. DSGVO, DSG, DORA, NIS2 und FINMA fallen in diese Kategorie.• Verifiziert bedeutet, dass ein Dritter eine konkrete Aussage oder Verpflichtung bestätigt hat, die wir gemacht haben. Unser Swiss-Made-Software-Label und die myclimate-Partnerschaft sind beide unabhängig verifiziert.

Was deckt die ISO/IEC 27001:2022-Zertifizierung konkret ab?

ISO/IEC 27001:2022 deckt unser Informationssicherheits-Managementsystem (ISMS) ab: die Richtlinien, Prozesse, Kontrollen und organisatorischen Praktiken, mit denen wir Informationssicherheitsrisiken steuern. Die Zertifizierung bedeutet, dass ein akkreditierter externer Auditor unser ISMS anhand der Anforderungen des Standards geprüft und bestätigt hat, dass diese erfüllt werden.

Wie wird die ISO/IEC 27001:2022-Zertifizierung aufrechterhalten?

Die ISO-27001-Zertifizierung ist kein einmaliger Meilenstein. Sie erfordert regelmässige Überwachungsaudits – typischerweise jährlich – sowie eine vollständige Rezertifizierung im Dreijahreszyklus. Das bedeutet, dass unser ISMS kontinuierlicher externer Prüfung unterliegt und nicht nur punktuell bewertet wird.

Bedeutet die DSGVO-Ausrichtung von SecureSafe, dass meine Organisation automatisch DSGVO-konform ist?

Nein, und hier ist Klarheit wichtig. Die DSGVO-Ausrichtung von SecureSafe bedeutet, dass unsere Plattform darauf ausgelegt ist, Ihre Compliance-Pflichten als Verantwortlicher zu unterstützen. Wir verarbeiten personenbezogene Daten als Auftragsverarbeiter im Einklang mit den Anforderungen der DSGVO und stellen Kontrollen, Transparenz und Datenverarbeitungspraktiken bereit, die Ihnen helfen, Ihre eigenen Pflichten zu erfüllen. Ob Ihre Organisation vollständig DSGVO-konform ist, hängt davon ab, wie Sie die Plattform nutzen und welche internen Prozesse Sie haben – das liegt in Ihrer Verantwortung und kann von uns nicht garantiert werden.

Was bedeutet die DSG-Ausrichtung konkret für Schweizer Kunden?

Das Schweizer Bundesgesetz über den Datenschutz (DSG) legt Anforderungen dafür fest, wie personenbezogene Daten in der Schweiz verarbeitet werden. Unsere Ausrichtung auf das DSG bedeutet, dass Schweizer Kunden SecureSafe mit der Sicherheit nutzen können, dass die Datenverarbeitungspraktiken der Plattform auf Schweizer rechtliche Anforderungen ausgerichtet sind. Zusammen mit unserer Schweizer Datenresidenz – alle Daten werden standardmässig in der Schweiz gehostet – bietet dies eine kohärente rechtliche und operative Grundlage für Organisationen mit Sitz in der Schweiz.

Was ist das Swiss-Made-Software-Label und warum ist es wichtig?

Swiss Made Software ist ein unabhängig verifiziertes Label, das Softwareprodukten verliehen wird, die definierte Kriterien für Entwicklung, Wartung und Supportaktivitäten in der Schweiz erfüllen. Es handelt sich nicht um eine Selbsterklärung: Das Label wird von der Swiss Made Software Association geprüft und vergeben.

Was beinhaltet die myclimate-Partnerschaft?

Wir nutzen die Reporting-Software von myclimate, um unseren CO₂-Fussabdruck zu messen und zu verfolgen, und leisten einen Klimabeitrag zur Unterstützung verifizierter Nachhaltigkeitsprojekte. myclimate ist eine führende Schweizer Klimaschutzorganisation, und ihre Einbindung bedeutet, dass unsere Umweltverpflichtungen extern nachverfolgt und unterstützt werden.

Wo kann ich Zertifizierungsdokumente für Due-Diligence-Zwecke einsehen?

Wenn Sie einen Beschaffungsprozess oder eine interne Due Diligence durchführen und formale Dokumentation benötigen, einschliesslich unseres ISO/IEC 27001:2022-Zertifikats, Ausrichtungserklärungen oder unterstützender Materialien, wenden Sie sich bitte direkt an unser Team.

Wir sind im EU-Finanzsektor tätig. Wie betrifft uns die DORA-Ausrichtung?

DORA stellt spezifische Anforderungen an Finanzunternehmen und deren ICT-Dienstleister in Bezug auf operationelle Resilienz, Risikomanagement und Meldung von Vorfällen. Unsere Ausrichtung auf DORA bedeutet, dass unsere Architektur und operativen Praktiken darauf ausgelegt sind, diese Anforderungen zu erfüllen.

Was bedeutet NIS2-Ausrichtung in der Praxis?

NIS2 hebt die Cybersicherheitsbasis für Organisationen in kritischen und wichtigen Sektoren in der gesamten EU an und erweitert Pflichten auf Lieferkettenpartner. Unsere NIS2-Ausrichtung spiegelt wider, dass unsere Sicherheitskontrollen, unser Zugriffsmanagement und unsere Incident-Response-Praktiken entsprechend den Anforderungen von NIS2 strukturiert sind.

Wir sind ein FINMA-beaufsichtigtes Institut. Was deckt die FINMA-Ausrichtung von SecureSafe ab?

Unsere Plattform ist darauf ausgelegt, Bereiche zu unterstützen, die für FINMA-beaufsichtigte Institute besonders relevant sind, darunter Zugriffskontrolle, Auditierbarkeit sowie Governance und Due Diligence im Zusammenhang mit Auslagerungen. Die DSwiss AG ist selbst kein FINMA-beaufsichtigtes Unternehmen, aber SecureSafe wird so betrieben, dass Kunden bei der Erfüllung ihrer eigenen Pflichten unterstützt werden.

Deckt die Ausrichtung auf diese Rahmenwerke alle Versionen und Jurisdiktionen ab?

Ausrichtung ist immer rahmenwerk- und umfangsspezifisch. Beispielsweise gilt die DSGVO in der EU und im EWR, das DSG innerhalb der Schweiz, und DORA sowie NIS2 haben definierte sektorale und organisatorische Anwendbarkeitskriterien. Unsere Ausrichtung spiegelt die Anforderungen jedes Rahmenwerks wider, soweit sie auf SecureSafe als Plattform und Auftragsverarbeiter anwendbar sind. Wenn Sie Fragen dazu haben, wie ein bestimmtes Rahmenwerk auf die Nutzung von SecureSafe durch Ihre Organisation zutrifft, besprechen wir dies gerne im Detail.