Sicherheitspolitik der GPKREDIT AG

1. Zweck

Diese Sicherheitspolitik definiert die grundlegenden Prinzipien und Maßnahmen, mit denen die GPKREDIT AG die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen sicherstellt.

2. Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeitenden, Auftragnehmer und Partner, die Zugang zu den IT-Systemen und Daten der GPKREDIT AG haben.

3. Informationssicherheit

  • Vertraulichkeit: Alle vertraulichen Daten, insbesondere personenbezogene Kundendaten, werden geschützt und nur autorisierten Personen zugänglich gemacht.

  • Integrität: Die Korrektheit und Vollständigkeit der Daten wird durch geeignete technische und organisatorische Maßnahmen gewährleistet.

  • Verfügbarkeit: IT-Systeme und Daten werden so betrieben, dass sie im erforderlichen Umfang verfügbar sind und Ausfallzeiten minimiert werden.

4. Zugriffskontrolle

  • Zugriffe auf IT-Systeme sind nur nach vorheriger Authentifizierung erlaubt.

  • Rechte werden nach dem Prinzip der minimalen Berechtigung vergeben.

  • Passwörter und Zugangsdaten sind vertraulich zu behandeln und regelmäßig zu erneuern.

5. Datenschutz

  • Personenbezogene Daten werden gemäß der Schweizer Datenschutzgesetzgebung (DSG/LPD) und der EU-DSGVO geschützt.

  • Daten werden nur für definierte Zwecke verwendet und nicht unbefugt weitergegeben.

6. Sicherheitsvorfälle

  • Sicherheitsvorfälle und Verdachtsfälle sind unverzüglich der IT-Leitung zu melden.

  • Es besteht ein Verfahren zur Untersuchung und Behebung von Sicherheitsvorfällen.

7. Schulung und Sensibilisierung

  • Mitarbeitende werden regelmäßig zu Sicherheitsrichtlinien und Datenschutz geschult.

  • Sensibilisierung für Risiken wie Phishing, Social Engineering und Malware wird gefördert.

8. Technische Maßnahmen

  • Einsatz von Firewalls, Virenschutz, Verschlüsselung und Backup-Lösungen.

  • Regelmäßige Sicherheitsupdates und Patches für alle Systeme.

9. Überprüfung und Audit

  • Die Einhaltung der Sicherheitspolitik wird regelmäßig intern geprüft.

  • Externe Audits können durchgeführt werden, um die Effektivität der Maßnahmen zu bewerten.

10. Verantwortung

  • Die Geschäftsleitung trägt die Gesamtverantwortung für die Informationssicherheit.

  • Alle Mitarbeitenden sind verpflichtet, die Sicherheitspolitik einzuhalten.