Sicherheitspolitik der KFO – Kredita – Finanz- & Factoring Organisation AG

1. Zweck

Diese Sicherheitspolitik legt die Grundprinzipien und Maßnahmen fest, mit denen die KFO AG die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und IT-Systemen sicherstellt.

2. Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeitenden, Auftragnehmer:innen und Partner, die Zugriff auf IT-Systeme und Daten der KFO AG haben.

3. Informationssicherheit

  • Vertraulichkeit: Alle vertraulichen Daten, insbesondere personenbezogene Kundendaten, werden geschützt und nur autorisierten Personen zugänglich gemacht.

  • Integrität: Die Korrektheit und Vollständigkeit der Daten wird durch geeignete technische und organisatorische Maßnahmen sichergestellt.

  • Verfügbarkeit: IT-Systeme und Daten werden so betrieben, dass sie im erforderlichen Umfang verfügbar sind und Ausfallzeiten minimiert werden.

4. Zugriffskontrolle

  • Zugriff auf IT-Systeme nur nach Authentifizierung.

  • Rechte werden nach dem Prinzip der minimalen Berechtigung vergeben.

  • Passwörter und Zugangsdaten sind vertraulich zu behandeln und regelmäßig zu erneuern.

5. Datenschutz

  • Personenbezogene Daten werden gemäß der Schweizer Datenschutzgesetzgebung (DSG/LPD) und der EU-DSGVO geschützt.

  • Daten werden ausschließlich für definierte Zwecke verwendet und nicht unbefugt weitergegeben.

6. Sicherheitsvorfälle

  • Sicherheitsvorfälle oder Verdachtsfälle sind unverzüglich der IT-Leitung zu melden.

  • Ein Verfahren zur Untersuchung und Behebung von Sicherheitsvorfällen ist implementiert.

7. Schulung und Sensibilisierung

  • Mitarbeitende werden regelmäßig zu Sicherheitsrichtlinien und Datenschutz geschult.

  • Sensibilisierung für Risiken wie Phishing, Social Engineering und Malware wird gefördert.

8. Technische Maßnahmen

  • Einsatz von Firewalls, Virenschutz, Verschlüsselung und Backup-Lösungen.

  • Regelmäßige Sicherheitsupdates und Patches für alle Systeme.

9. Überprüfung und Audit

  • Die Einhaltung der Sicherheitspolitik wird regelmäßig intern geprüft.

  • Externe Audits können durchgeführt werden, um die Effektivität der Maßnahmen zu bewerten.

10. Verantwortung

  • Die Geschäftsleitung trägt die Gesamtverantwortung für Informationssicherheit.

  • Alle Mitarbeitenden sind verpflichtet, die Sicherheitspolitik einzuhalten.