Trust center
Unplex wurde für Rechts- und Compliance-Experten entwickelt, die sich Datenlecks, grenzüberschreitende Übertragungen oder KI-Schulungen zu vertraulichen Inhalten nicht leisten können. Jede architektonische Entscheidung, die wir treffen, beginnt damit, dass die Daten Ihrer Kunden Ihnen gehören.
Unsere Datengarantie
- Strikte Nutzertrennung Ihre Daten sind niemals für andere Kunden verfügbar.
- EU/EWR-Datenresidenz. Keine Übertragungen an Unternehmen außerhalb der EU/EWR
- Kein KI-Training. Ihre Eingabeaufforderungen und Vervollständigungen werden niemals zum Trainieren von KI-Modellen verwendet.
- Keine Anreicherung durch Dritte. Ihre Daten werden niemals zur Verbesserung von Diensten Dritter verwendet.
Einhaltung
BH & BGFA
GDPR & DSG
FINMA
ISO 27001
Steuerungen
Aktualisiert am 23.02.2026
Sicherheit der Infrastruktur
Kapazitätsmanagement
Passwortrichtlinie durchgesetzt
Datenverschlüsselung verwendet
Daten und Datenschutz
Kapazitätsmanagement
Passwortrichtlinie durchgesetzt
Datenverschlüsselung verwendet
Organisatorische Sicherheit
Kapazitätsmanagement
Verwaltung der Konfiguration
Datenverschlüsselung verwendet
Produktsicherheit
Kapazitätsmanagement
Verwaltung der Konfiguration
Datenverschlüsselung verwendet
Verfahren der inneren Sicherheit
Passwortrichtlinie durchgesetzt
Verwaltung der Konfiguration
Datenverschlüsselung verwendet
Subprozessoren
Infomaniak
Cloud-Infrastruktur
Schweiz
Microsoft
LLM-Anbieter
EU/EEA
Amazon Web Services
LLM-Anbieter
EU/EEA
DeepL
LLM-Anbieter
EU
Ressourcen
Bescheinigungen
ISO 27001:2022 Zertifikat
Steuerungen
Sicherheit der Infrastruktur
STEUERUNGEN
STATUS
Kapazitätsmanagement
Die Nutzung der Ressourcen wird überwacht und an die aktuellen und erwarteten Kapazitätsanforderungen angepasst.
Passwortrichtlinie durchgesetzt
Das Unternehmen verlangt, dass Passwörter für im Leistungsumfang enthaltene Systemkomponenten gemäß den Unternehmensrichtlinien konfiguriert werden.
Verwaltung der Konfiguration
Konfigurationen, einschließlich Sicherheitskonfigurationen, von Hardware, Software, Diensten und Netzwerken werden festgelegt, dokumentiert, implementiert, überwacht und überprüft.
Informationssicherheit bei der Nutzung von Cloud-Diensten
Prozesse für den Erwerb, die Nutzung, die Verwaltung und den Austritt aus Cloud-Diensten werden gemäß den Informationssicherheitsanforderungen des Unternehmens eingerichtet.
PII-Übertragungssteuerungen für Prozessor
Das Unternehmen verschlüsselt PII während der Übertragung.
PII-Übertragungssteuerungen für Controller
Das Unternehmen führt technische Kontrollen durch, um sicherzustellen, dass die an Dritte übermittelten Daten ihr Ziel erreichen.
Datenverschlüsselung verwendet
Die Datenspeicher des Unternehmens, in denen sensible Kundendaten gespeichert sind, werden im Ruhezustand verschlüsselt.
Verschlüsselter Fernzugriff erzwungen
Auf die Produktionssysteme des Unternehmens können nur autorisierte Mitarbeiter über eine zugelassene verschlüsselte Verbindung remote zugreifen.
Datenübertragung verschlüsselt
Das Unternehmen verwendet sichere Datenübertragungsprotokolle, um vertrauliche und sensible Daten zu verschlüsseln, wenn sie über öffentliche Netzwerke übertragen werden.
Übertragung von Informationen
Regeln, Verfahren oder Vereinbarungen für die Informationsübertragung gelten für alle Arten von Übertragungseinrichtungen innerhalb der Organisation und zwischen der Organisation und anderen Parteien.
Einsatz von Kryptografie
Regeln für den effektiven Einsatz von Kryptografie, einschließlich der kryptografischen Schlüsselverwaltung, werden definiert und umgesetzt.
Protokollierung
Protokolle, die Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse aufzeichnen, werden erstellt, gespeichert, geschützt und analysiert.
Überwachung der Aktivitäten
Netzwerke, Systeme und Anwendungen werden auf anomales Verhalten überwacht und geeignete Maßnahmen zur Bewertung potenzieller Informationssicherheitsvorfälle ergriffen.
Organisatorische Sicherheit
STEUERUNGEN
STATUS
Kontinuitäts- und Disaster Recovery-Pläne
Das Unternehmen verfügt über Business Continuity- und Disaster Recovery-Pläne, die Kommunikationspläne enthalten, um die Kontinuität der Informationssicherheit im Falle der Nichtverfügbarkeit von Schlüsselpersonal aufrechtzuerhalten.
ICT-Bereitschaft für Geschäftskontinuität
Die IKT-Bereitschaft wird auf der Grundlage der Ziele der Geschäftskontinuität und der Anforderungen an die IKT-Kontinuität implementiert, aufrechterhalten und getestet.
Datensicherung
Sicherungskopien von Informationen, Software und Systemen müssen gemäß den vereinbarten themenspezifischen Backup-Richtlinien gepflegt und regelmäßig getestet werden.
Planung von Änderungen
Wenn die Organisation feststellt, dass Änderungen am Informationssicherheitsmanagementsystem erforderlich sind, werden die Änderungen planmäßig durchgeführt.
Installation von Software auf Betriebssystemen
Verfahren und Maßnahmen werden implementiert, um die Softwareinstallation auf Betriebssystemen sicher zu verwalten.
Verwaltung von Änderungen
Änderungen an Informationsverarbeitungsanlagen und Informationssystemen unterliegen den Verfahren für das Änderungsmanagement.
Zugriff bei Kündigung widerrufen
Das Unternehmen füllt Kündigungschecklisten aus, um sicherzustellen, dass gekündigten Mitarbeitern im Rahmen der SLAs der Zugang entzogen wird.
Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Die Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit müssen entsprechend den Bedürfnissen der Organisation definiert und zugewiesen werden.
Aufgabentrennung
Widersprüchliche Aufgaben und widersprüchliche Verantwortungsbereiche sind zu trennen.
Filmvorführung
Vor dem Eintritt in die Organisation werden alle Bewerber, die Personal werden sollen, einer Zuverlässigkeitsüberprüfung unterzogen, die den Geschäftsanforderungen und der Klassifizierung der abgerufenen Informationen angemessen ist.
Filmvorführung
Vor dem Eintritt in die Organisation werden alle Bewerber, die Personal werden sollen, einer Zuverlässigkeitsüberprüfung unterzogen, die den Geschäftsanforderungen und der Klassifizierung der abgerufenen Informationen angemessen ist.
Pflichten nach Kündigung oder Wechsel des Arbeitsverhältnisses
Die Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit, die auch nach einer Kündigung oder einem Wechsel des Beschäftigungsverhältnisses gültig bleiben, werden festgelegt, durchgesetzt und den zuständigen Mitarbeitern und anderen interessierten Parteien mitgeteilt.
Vertraulichkeits- oder Geheimhaltungsvereinbarungen
Vor dem Eintritt in die Organisation werden alle Kandidaten, die Personal werden sollen, einer Überprüfung der Hintergrundinformationen unterzogen, und zwar fortlaufend, je nach den Geschäftsanforderungen und der Klassifizierung der abgerufenen Informationen.
Produktsicherheit
STEUERUNGEN
STATUS
Richtlinien zur Reaktion auf Vorfälle festgelegt
Das Unternehmen verfügt über Sicherheits- und Datenschutzrichtlinien und -verfahren zur Reaktion auf Vorfälle, die dokumentiert und autorisierten Benutzern mitgeteilt werden.
Berücksichtigung der Informationssicherheit in Lieferantenvereinbarungen
Je nach Art der Lieferantenbeziehung werden relevante Anforderungen an die Informationssicherheit festgelegt und mit jedem Lieferanten vereinbart.
Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
Die Organisation plant und bereitet die Bewältigung von Informationssicherheitsvorfällen vor, indem sie Prozesse, Rollen und Verantwortlichkeiten für das Management von Informationssicherheitsvorfällen definiert, festlegt und kommuniziert.
Bewertung und Entscheidung über Ereignisse im Bereich der Informationssicherheit
Die Organisation bewertet Informationssicherheitsereignisse und entscheidet, ob sie als Informationssicherheitsvorfälle eingestuft werden sollen.
Reaktion auf Vorfälle im Bereich der Informationssicherheit
Auf Vorfälle im Bereich der Informationssicherheit ist gemäß den dokumentierten Verfahren zu reagieren.
Aus Informationssicherheitsvorfällen lernen
Die bei Vorfällen im Bereich der Informationssicherheit gewonnenen Erkenntnisse sollen genutzt werden, um die Informationssicherheitskontrollen zu verstärken und zu verbessern.
Sammlung von Beweisen
Die Organisation bewertet Informationssicherheitsereignisse und entscheidet, ob sie als Informationssicherheitsvorfälle einzustufen sind.
Informationssicherheit bei Störungen
Die Organisation hat einen Plan aufgestellt, wie die Informationssicherheit bei Störungen auf einem angemessenen Niveau gehalten werden kann.
Berichterstattung über Informationssicherheitsereignisse
Die Organisation bietet einen Mechanismus, mit dem das Personal beobachtete oder vermutete Ereignisse im Bereich der Informationssicherheit rechtzeitig über geeignete Kanäle melden kann.
Wartung der Ausrüstung
Die Ausrüstung muss ordnungsgemäß gewartet werden, um die Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu gewährleisten.
Verwendete Netzwerk-Firewalls
Das Unternehmen verwendet Firewalls und konfiguriert sie, um unbefugten Zugriff zu verhindern.
Segregation von Netzwerken
Gruppen von Informationsdiensten, Benutzern und Informationssystemen werden in den Netzwerken der Organisation getrennt.
Verfahren der inneren Sicherheit
STEUERUNGEN
STATUS
Ressourcen
Die Organisation bestimmt und stellt die Ressourcen bereit, die für die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems erforderlich sind.
Informationssicherheit im Projektmanagement
Informationssicherheit ist in das Projektmanagement integriert.
Folgenabschätzung zum Datenschutz
Die Organisation führt eine Datenschutzfolgenabschätzung für die Verarbeitung oder Änderung der Verarbeitung durch, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen.
Allgemeine Maßnahmen zur Bewältigung von Risiken und Chancen
Die Organisation berücksichtigt Risiken und Chancen bei der Planung des ISMS und plant Maßnahmen zu deren Bewältigung, integriert sie in ISMS-Prozesse und bewertet ihre Wirksamkeit.
Risikobewertung der Informationssicherheit
Die Organisation definiert und wendet einen Prozess zur Bewertung von Informationssicherheitsrisiken an, legt Risikokriterien fest, identifiziert und analysiert Risiken und bewertet sie anhand von Akzeptanzkriterien.
Behandlung von Informationssicherheitsrisiken
Die Organisation definiert und wendet ein Verfahren zur Behandlung von Informationssicherheitsrisiken an, wählt Behandlungsoptionen aus, legt Kontrollen fest, erstellt eine Anwendbarkeitserklärung, formuliert einen Behandlungsplan und holt die Genehmigung des Risikoverantwortlichen ein.
Risikobewertung der Informationssicherheit (regelmäßig)
Die Organisation führt in geplanten Intervallen oder wenn wesentliche Änderungen vorgeschlagen werden oder eintreten, Bewertungen der Informationssicherheitsrisiken durch.
Behandlung von Informationssicherheitsrisiken (dokumentierte Ergebnisse)
Die Organisation bewahrt dokumentierte Informationen über die Ergebnisse der Behandlung von Informationssicherheitsrisiken auf.
Infomaniak
Cloud-Infrastruktur
Daten und Datenschutz
STEUERUNGEN
STATUS
Datenübertragung verschlüsselt
Das Unternehmen verwendet sichere Datenübertragungsprotokolle, um vertrauliche und sensible Daten zu verschlüsseln, wenn sie über öffentliche Netzwerke übertragen werden.
Verschlüsselter Fernzugriff erzwungen
Auf die Produktionssysteme des Unternehmens können nur autorisierte Mitarbeiter über eine zugelassene verschlüsselte Verbindung remote zugreifen.
Datenverschlüsselung verwendet
Die Datenspeicher des Unternehmens, in denen sensible Kundendaten gespeichert sind, werden im Ruhezustand verschlüsselt.
Subprozessoren
Für jeden Subprozessor, den wir verwenden, wenden wir die Prinzipien der geringsten Privilegien an. Dies bedeutet, dass jedes Drittanbietersystem nur Zugriff auf die Mindestdaten hat, die zur Erfüllung seines Zwecks erforderlich sind.