Zurück

Technische Massnahmen.

Stand: 18. Mai 2026 · Version 1.1

Die folgenden Massnahmen werden von iglesio gemäss Art. 32 DSGVO und Art. 8 DSG getroffen, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten. Sie werden mindestens jährlich überprüft und an den Stand der Technik angepasst.

1. Vertraulichkeit

1.1 Zutrittskontrolle (physisch)

Die Produktivsysteme von iglesio werden in den Rechenzentren von Google Cloud Platform in der Region Zürich (europe-west6) betrieben. Diese Rechenzentren sind nach ISO/IEC 27001, 27017, 27018 sowie 27701 zertifiziert und verfügen über mehrstufige physische Sicherheitsmassnahmen: 24/7-Bewachung, biometrische Zutrittskontrolle, Videoüberwachung sowie lückenlose Besucherprotokollierung. Ein physischer Zugriff durch iglesio-Mitarbeitende findet nicht statt.

1.2 Zugangskontrolle (Authentifizierung)

  • Passwortlose Anmeldung über E-Mail-Magic-Links, Google Sign-In oder Sign in with Apple
  • Optionale Zwei-Faktor-Authentifizierung für Kundenkonten; Backup- Codes werden ausschliesslich kryptografisch gehasht gespeichert
  • Mehrfaktor-Authentifizierung für sämtliche Personen mit administrativem Zugriff auf die Cloud-Infrastruktur (GCP IAM, Stripe, Cloudflare, Sentry)
  • Sitzungen laufen automatisch nach spätestens 30 Tagen ab; kompromittierte Tokens können serverseitig sofort widerrufen werden
  • Programmatischer Zugriff über opake Bearer-Tokens sowie scope-begrenzte API-Schlüssel; jeder API-Schlüssel kann jederzeit in den Einstellungen widerrufen und durch einen neuen ersetzt werden
  • Rate-Limiting auf sensiblen Endpunkten

1.3 Zugriffskontrolle (Berechtigungen)

  • Feingranulares Rollen- und Rechtesystem mit individuell vergebbaren Rollen und Berechtigungen
  • Strikte Mandantentrennung sowohl auf Anwendungsebene als auch zusätzlich auf Datenbankebene
  • Manipulationsgeschützte Audit-Logs für sicherheitsrelevante Ereignisse (Aktion, Aktor, Zeitstempel, Kontext)
  • Principle of Least Privilege für interne Service-Konten und automatisierte Prozesse
  • Getrennte Umgebungen für Entwicklung, Test und Produktion mit eigenen Schlüsseln und Geheimnissen
  • Regelmässige Überprüfung der Zugriffsrechte

1.4 Trennungsgebot

Die Mandantentrennung erfolgt zweistufig: jede Anfrage wird zunächst auf Anwendungsebene gegen die Kirchenzugehörigkeit der Sitzung autorisiert und zusätzlich auf Datenbankebene durch erzwungene Filterregeln pro Tabelle abgesichert. Auch bei einem Fehler der Applikationsschicht werden keine Daten anderer Kirchen freigegeben.

1.5 Pseudonymisierung und Anonymisierung

  • Eingaben an externe Sprachmodelle werden vor der Übermittlung pseudonymisiert; eine Rückzuordnung erfolgt nur intern
  • Browser-Session-Replays werden mit Maskierung aller Texte und Medien aufgezeichnet, ohne lesbare Eingaben, Namen oder Bilder
  • Produktanalytik wird ausschliesslich pseudonym geführt und nur nach ausdrücklicher Einwilligung geladen

1.6 Verschlüsselung

  • Transportverschlüsselung sämtlicher Verbindungen mit TLS 1.3, HSTS aktiviert
  • Verschlüsselung ruhender Daten mit AES-256 beim Hoster
  • Zusätzliche anwendungsseitige Verschlüsselung mit einem eigenen Schlüssel pro Kirche
  • Backups werden ausschliesslich verschlüsselt abgelegt
  • Passwörter werden ausschliesslich kryptografisch gehasht

2. Integrität

2.1 Eingabekontrolle

Jede sicherheitsrelevante Änderung an Datensätzen (Anlage, Änderung, Löschung, Export, Einsicht) wird mit Aktor, Zeitstempel und Änderungskontext protokolliert. Für personenbezogene Datensätze wird zusätzlich eine detaillierte Audit-Spur über identitäts- und rollenrelevante Ereignisse geführt. Audit-Daten sind nur für berechtigte Administratoren einsehbar.

2.2 Weitergabekontrolle

  • Verschlüsselte Übertragung wie unter 1.6 beschrieben
  • Keine Datenübermittlung an Dritte ohne dokumentierte Rechtsgrundlage; aktuelle Liste der Unterauftragsverarbeiter unter iglesio.com/unterauftragsverarbeiter
  • Mitgliederdaten werden nicht an den Zahlungsdienstleister übertragen; die Bezahlung erfolgt direkt auf dessen Plattform
  • Kein Werbe-Tracking und kein Cross-Site-Tracking

2.3 Code- und Lieferketten-Integrität

  • Versionskontrolle, nachvollziehbare Reviews und signierte Releases
  • Automatisches Scanning von Abhängigkeiten mit zeitnaher Einspielung von Sicherheitsupdates
  • Secret-Scanning und statische Codeanalyse vor jedem Release
  • Reproduzierbare Builds und identitätsbasierte Deployments

3. Verfügbarkeit und Belastbarkeit

  • Tägliche, automatisierte und verschlüsselte Backups mit einer Aufbewahrung von 14 Tagen
  • Point-in-Time-Recovery über die letzten 7 Tage auf Sekundenebene
  • Datenbankbetrieb in einer einzelnen Zone der Region Zürich (Zonal). Eine regionale Hochverfügbarkeit über mehrere Zonen wird mit steigender Last evaluiert und ist nicht Bestandteil des aktuellen Leistungsumfangs.
  • Dokumentierter Disaster-Recovery-Plan mit Wiederherstellungszielen RTO 8 h und RPO 4 h (siehe internes Runbook)
  • DDoS-Schutz auf Hoster-Ebene; zusätzlich wird der gesamte HTTP/HTTPS-Verkehr über Cloudflare als Edge- und CDN-Provider geleitet, das Basis-Schutz gegen volumetrische Angriffe und Bot-Filterung bietet
  • Automatische horizontale Skalierung bei Lastspitzen
  • Kontinuierliches Monitoring mit automatischer Alarmierung an die Betriebsbereitschaft
  • Geplante jährliche Wiederanlaufübung mit Restore aus Backup in eine isolierte Umgebung

4. Verfahren zur regelmässigen Überprüfung

  • Geplante externe Penetrationstests vor allgemeiner Verfügbarkeit
  • Kontinuierliches Fehler- und Performance-Monitoring mit Alarmierung
  • Dokumentierte Incident-Response- und Datenschutzverletzungs-Prozesse mit klaren Eskalationswegen und 72-Stunden-Meldepflicht
  • Sicherheitsschulung neuer Mitarbeitender und jährliche Auffrischung
  • Jährliche Überprüfung dieser Massnahmen sowie der eingesetzten Unterauftragsverarbeiter
  • Schwachstellenmeldungen an [email protected] werden innerhalb von zwei Werktagen bestätigt

5. Auftragskontrolle

  • Schriftliche Vereinbarungen nach Art. 28 DSGVO mit allen Unterauftragsverarbeitern
  • Sorgfältige Auswahl und Bewertung jedes Anbieters anhand seines Datenschutz- und Sicherheitsniveaus, EU- oder Schweiz-Residency als Grundprinzip
  • Bei Datenübertragungen in die USA: zusätzliche Standardvertragsklauseln (SCC) sowie technische Schutzmassnahmen (Pseudonymisierung, Datenminimierung)
  • Führung einer aktuellen, öffentlich einsehbaren Liste der Unterauftragsverarbeiter mit 30-Tage-Ankündigungsfrist für Änderungen

6. Datenschutzfreundliche Voreinstellungen

  • Sichtbarkeit personenbezogener Felder im internen Verzeichnis ist standardmässig deaktiviert und muss aktiv freigegeben werden
  • Personen-Notizen sind standardmässig auf den Sichtbarkeitsbereich Team beschränkt
  • Analyse- und Replay-Skripte werden im Browser ausschliesslich nach Einwilligung geladen
  • Datenexport und Löschanträge stehen direkt in den Datenschutz- Einstellungen der Plattform zur Verfügung