Rechtliche Informationen

Datenschutz-Compliance

Inhaltsübersicht

Persönliche Daten

Abrantix verarbeitet eine begrenzte Anzahl personenbezogener Daten, und zwar ausschließlich zu den unten beschriebenen Zwecken. Dieser Überblick hilft Ihnen, die Einhaltung der DSGVO zu beurteilen und zu verstehen, wie Ihre Daten durch unsere Systeme fließen.

Gemäß der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. In der folgenden Tabelle ist aufgeführt, welche Daten wir sammeln, woher sie kommen und warum.

Daten Quelle Zweck
Name Wird bei der Anmeldung angegeben Abrechnung, E-Mail-Benachrichtigungen, Support
E-Mail Adresse Wird bei der Anmeldung angegeben Authentifizierung, Rechnungsstellung, Service-Benachrichtigungen, Support
Telefon-Nummer Wird bei der Anmeldung angegeben Service-Benachrichtigungen, Support
Adresse Wird bei der Anmeldung angegeben Abrechnung und Rechnungsstellung
Kennwort Wird bei der Anmeldung angegeben Authentifizierung
IP-Adresse Aus der Netzwerkkommunikation extrahiert Fehlersuche und Analyse
Browser-Daten Extrahiert aus dem Browser des Benutzers Fehlersuche und Analyse
Kartendaten Zahlungssysteme von Vertragspartnern & Issuern Kartenproduktion & Zahlungsabwicklung

Wir verkaufen diese Daten nicht und geben sie nicht an Dritte weiter, außer an die auf dieser Seite aufgeführten Unterauftragsverarbeiter, und auch nur in dem Umfang, der für die Erbringung unserer Dienstleistungen erforderlich ist.

DSGVO

GDPR

Was ist die DSGVO?

Die Allgemeine Datenschutzverordnung (DSGVO), engl. GDPR, ist der EU-Rahmen für Datenschutz und Privatsphäre. Sie ist am 25. Mai 2018 in Kraft getreten und ersetzt eine Richtlinie aus dem Jahr 1995. Die DSGVO gilt für jede Organisation, die Daten von Menschen in der EU anspricht oder verarbeitet, unabhängig davon, wo die Organisation selbst ihren Sitz hat.

Weitere Informationen findest du im Amtsblatt der Europäischen Union.

Unser Engagement

Abrantix verpflichtet sich zur vollständigen Einhaltung der DSGVO. Wir behandeln den Schutz und die Sicherheit Ihrer Daten als grundlegende Verantwortung und nicht als nachträgliche Maßnahme. Unsere Prozesse, Verträge und technischen Maßnahmen sind so konzipiert, dass sie die  DSGVO -Anforderungen in allen unseren Einheiten und Dienstleistungen erfüllen.

Wenn du Fragen zur Einhaltung der DSGVO bei Abrantix hast, wende dich direkt an uns. Wir führen dich gerne durch die Details.

CH-FADP (CH-nDSG)

revDSG

Was ist das DSG?

Das revidierte Bundesgesetz über den Datenschutz (DSG) gilt für alle Unternehmen mit Sitz in der Schweiz und für ausländische Unternehmen, deren Datenverarbeitungstätigkeiten sich auf die Schweiz auswirken. Es tritt im September 2023 in Kraft und hebt die Datenschutzstandards deutlich an und bringt das Schweizer Recht näher an die Datenschutz-Grundverordnung heran.

Weitere Informationen findest du im offiziellen Bundesgesetz über den Datenschutz.

Unser Engagement

Als Schweizer Unternehmen ist Abrantix verpflichtet, das DSG einzuhalten. Ihre Daten werden in Übereinstimmung mit den schweizerischen Datenschutzbestimmungen behandelt, und wir überprüfen unsere Prozesse kontinuierlich, um die Einhaltung der Bestimmungen zu gewährleisten.

Wenn du Fragen zur Einhaltung des DSG haben, wende dich an uns. Wir helfen dir gerne weiter.

ISO 27001

Attesta ISO-27001 zertifiziert

Was ist ISO 27001?

ISO 27001 ist die international anerkannte Norm für das Informationssicherheitsmanagement. Sie verlangt von Organisationen, dass sie Risiken systematisch erkennen und ihnen durch definierte Richtlinien, dokumentierte Prozesse und technische Kontrollen begegnen. Die Norm basiert auf drei Grundprinzipien:

  • Vertraulichkeit: Informationen sind vor unberechtigtem Zugriff geschützt.
  • Integrität: Die Informationen sind korrekt und vor unbefugten Änderungen geschützt.
  • Verfügbarkeit: Die Informationen sind zugänglich, wenn Sie sie benötigen.

Abrantix ist zertifiziert

ATTESTA Schweizer Zertifizierungsgesellschaft AG, Akr.-Nr. ASCBm 3132143_A, in CH-8806 Bäch - UID: CHE-357.699.924 - bescheinigt, dass die Unternehmen ein Managementsystem nach ISO 27001:2022 Informationssicherheit eingeführt haben und anwenden.

Die Zertifizierung umfasst die Entwicklung und den Vertrieb von IT-Produkten (Hardware und Software), Beratungsdienstleistungen und den Handel mit Produkten.

Was dies für Sie bedeutet

Die Zusammenarbeit mit einem ISO 27001-zertifizierten Partner bedeutet, dass Informationssicherheit nicht nur eine Richtlinie auf dem Papier ist. Sie ist eingebettet in unsere tägliche Arbeit: standardisierte Arbeitsabläufe, klar definierte Verantwortlichkeiten und kontinuierlich gewartete technische Systeme. So werden Sicherheitsrisiken systematisch reduziert und Sie erhalten eine zuverlässige Grundlage für Ihre eigenen Compliance-Anforderungen.

PCI-DSS

pci-dss

Was ist PCI-DSS?

Der Payment Card Industry Data Security Standard (PCI-DSS) ist ein Informationssicherheitsstandard für Organisationen, die mit primären Kontonummern (PANs) und anderen Karteninhaberdaten von großen Kartensystemen wie Visa und Mastercard arbeiten. Der Standard wird vom Payment Card Industry Security Standards Council verwaltet und soll Kreditkartenbetrug durch einheitliche Sicherheitskontrollen verringern.

Abrantix und PCI-DSS

Die Sicherheit im Zahlungsverkehr ist das Kernstück der Arbeit von Abrantix. Unsere Teams verfügen über umfangreiche Erfahrungen bei der Entwicklung, Implementierung und Prüfung von Zahlungssystemen, die in den Anwendungsbereich von PCI-DSS fallen. Die Produkte und Dienstleistungen von Abrantix wurden von Anfang an unter Berücksichtigung der PCI-DSS-Anforderungen entwickelt. Wo unsere Lösungen die Daten von Karteninhabern betreffen, wenden wir die vom Standard geforderten technischen und organisatorischen Kontrollen an.

Das PCI AoC ist auf Anfrage für Kunden, Auditoren und Partner erhältlich.

Zahlungsplattform: im Geltungsbereich von PCI-DSS

Die Abrantix Payment Platform verarbeitet als Teil ihrer Kernfunktion Karteninhaberdaten und arbeitet vollständig innerhalb des PCI-DSS-Bereichs. Die Payment Platform wird in Übereinstimmung mit den PCI-DSS-Anforderungen entwickelt und gewartet, um sicherzustellen, dass die gesamte Handhabung von PANs und zugehörigen Daten den von den Kartensystemen vorgeschriebenen Sicherheitsstandards entspricht.

ReconHub: außerhalb des PCI-DSS-Bereichs

ReconHub verarbeitet keine vollständigen PANs, kein kryptografisches Schlüsselmaterial und keine anderen PCI-relevanten Karteninhaberdaten. Daher fällt es nicht in den Geltungsbereich von PCI-DSS.

Wenn ReconHub Transaktionsdaten erhält, die Karteninformationen enthalten, sind die PANs entweder nicht vorhanden oder wurden bereits vom vorgelagerten Datenanbieter im Einklang mit dessen eigenen PCI-Compliance-Verpflichtungen gekürzt. Zu diesen Anbietern gehören Anbieter von POS-Lösungen, Zahlungsabwickler und Zahlungsdienstleister.

In bestimmten Fällen, z. B. bei ep2-Transaktionen, kann ReconHub verschlüsselte PANs als Teil eines Transaktionsbelegs erhalten. In diesen Fällen verfügt Abrantix weder über das Schlüsselmaterial, das zur Entschlüsselung der Daten benötigt wird, noch hat es Zugriff darauf. Die Verantwortung für die PCI-Konformität verschlüsselter PANs liegt beim Datenanbieter - im Falle von ep2 beim Zahlungsterminal.

ReconHub und PCI

PCI-PIN

pci-pin

Was ist PCI-PIN?

Der PCI-PIN-Sicherheitsstandard definiert Anforderungen für die sichere Verwaltung, Verarbeitung und Übertragung von persönlichen Identifikationsnummern (PINs) bei kartenbasierten Zahlungstransaktionen. Er gilt speziell für Organisationen, die an der Annahme und Verarbeitung von PIN-basierten Zahlungen beteiligt sind - hauptsächlich über Zahlungsterminals und andere Point-of-Interaction-Geräte (POI). Der Standard regelt, wie PINs eingegeben, verschlüsselt und übertragen werden, sowie die Verwaltung der Verschlüsselungsschlüssel, die die PIN-Daten durchgängig schützen. Wie PCI-DSS wird er vom Payment Card Industry Security Standards Council verwaltet.

Das PCI AoC ist auf Anfrage für Kunden, Prüfer und Partner erhältlich.

Zahlungsplattform-Verarbeitung: PCI-PIN-zertifiziert

Die Abrantix Zahlungsplattform-Verarbeitung arbeitet als PIN-verarbeitende Umgebung und ist PCI-PIN-zertifiziert. Damit wird bestätigt, dass die gesamte PIN-Verarbeitung innerhalb der Verarbeitungsinfrastruktur die von der Zahlungsbranche vorgeschriebenen Sicherheitsanforderungen für die sichere Übertragung und Verwaltung verschlüsselter PIN-Daten erfüllt.

Zahlungsakzeptanz: PCI-PIN-zertifiziert

Die Zahlungsakzeptanz-Lösungen von Abrantix, einschließlich Terminalsoftware und Point-of-Interaction-Implementierungen, sind PCI-PIN-zertifiziert. Dies gibt Ihnen die Gewissheit, dass die PIN-Eingabe, -Verschlüsselung und -Übertragung sowie das Laden von Schlüsseln und der Schlüsselaustausch innerhalb der Akzeptanzumgebung den höchsten Sicherheitsstandards entsprechen, die von den Kartensystemen gefordert werden.

SOC 1 Typ 2

AICPA SOC

Was ist SOC 1 Typ 2?

Ein SOC 1 Typ 2-Bericht ist eine unabhängige Prüfung, die bestätigt, dass die für die Finanzberichterstattung relevanten internen Kontrollen eines Dienstleistungsunternehmens ordnungsgemäß konzipiert und in der Praxis wirksam sind. Die Bezeichnung Typ 2 ist von entscheidender Bedeutung: Der Prüfer verifiziert nicht nur, dass die Kontrollen auf dem Papier existieren. Er testet, ob diese Kontrollen über einen bestimmten Zeitraum hinweg wirksam waren.

ReconHub ist nach SOC 1 Typ 2 auditiert

SOC 1 Typ 2 ist eine Zertifizierung auf Produktebene. Bei Abrantix gilt sie speziell für ReconHub - nicht für Abrantix als Unternehmen. ReconHub hat erfolgreich ein SOC 1 Typ 2-Audit abgeschlossen, bei dem die Kontrollen über einen Zeitraum von zwölf Monaten unabhängig getestet wurden.

Dies ist insofern von Bedeutung, als ReconHub zwischen Ihren operativen Transaktionssystemen - Kassensystemen, Zahlungsdienstleistern - und Ihrem Hauptbuch angesiedelt ist. Die Genauigkeit und Zuverlässigkeit der Abstimmungsergebnisse wirkt sich direkt auf Ihre Finanzberichterstattung aus. Der SOC 1 Typ 2-Bericht gibt Ihnen und Ihren Wirtschaftsprüfern eine unabhängige Bestätigung, dass diese Prozesse auf soliden, getesteten Kontrollen in sechs Bereichen beruhen: Datensicherheit und -zugriff, Systemverfügbarkeit, Finanzschnittstellen, Änderungsmanagement, Behandlung von Zwischenfällen und Prüfpfade.

Ihr externer Wirtschaftsprüfer kann sich auf den SOC 1 Typ 2-Bericht verlassen, anstatt ReconHub selbst zu prüfen, was sowohl den Prüfungsaufwand als auch die Kosten reduziert. Die dokumentierte Wirksamkeit der ReconHub-Kontrollen verringert auch das inhärente Risiko Ihrer Finanzberichterstattung. Für regulierte Branchen oder börsennotierte Unternehmen erfüllt der Bericht die Anforderung an den Nachweis wirksamer Kontrollen bei kritischen Dienstleistern.

Der Bericht ist auf Anfrage unter NDA für Kunden, Wirtschaftsprüfer und Partner erhältlich. Kontaktieren Sie uns, um Zugang zu beantragen.

Factsheet SOC 1 Typ 2 Bericht

Technische und organisatorische Maßnahmen

Was sind technische und organisatorische Maßnahmen?

Technische und organisatorische Massnahmen (TOM) sind die konkreten Schritte, die eine Organisation zum Schutz personenbezogener Daten unternimmt - sowohl durch technische Systeme als auch durch interne Prozesse. Die Umsetzung wirksamer TOM ist eine zentrale Anforderung sowohl der EU-Datenschutzgrundverordnung (DSGVO) als auch des Schweizer Datenschutzgesetzes (DSG/DSV).

Wie Abrantix TOM anwendet

Die TOM von Abrantix gelten für alle personenbezogenen Daten, die innerhalb der Systeme, Plattformen und Prozesse von Abrantix verarbeitet werden - für Kunden, Partner, Mitarbeiter und alle anderen betroffenen Personen. Die Maßnahmen sollen sicherstellen, dass der Datenschutz nicht ein nachträglicher Gedanke ist, sondern von Grund auf in unsere Arbeitsweise integriert ist.

Unser Ansatz wird von vier Grundprinzipien geleitet:

  • Vertraulichkeit, Integrität, Verfügbarkeit und Wiederherstellbarkeit - Personenbezogene Daten werden vor unbefugtem Zugriff geschützt, korrekt aufbewahrt, sind bei Bedarf zugänglich und können im Falle eines Vorfalls wiederhergestellt werden.
  • Risikobasiert und verhältnismäßig - Die Maßnahmen werden auf die Sensibilität der Daten und die damit verbundenen Risiken abgestimmt, um sicherzustellen, dass Aufwand und Schutz stets angemessen sind.
  • Datenschutz von Anfang an und standardmäßig - Der Datenschutz ist von Anfang an in die technischen Systeme und Prozesse eingebettet, wobei die Grundsätze des geringsten Rechtsanspruchs und des "Need-to-know"-Prinzips durchgängig Anwendung finden.
  • Nachvollziehbarkeit und Verantwortlichkeit - Handlungen, die personenbezogene Daten betreffen, werden dokumentiert und die Verantwortlichkeiten klar zugewiesen.

Die Angemessenheit unserer TOM wird regelmäßig überprüft und bei Bedarf angepasst, um Änderungen in der Technologie, den Vorschriften und dem Risiko Rechnung zu tragen. Die vollständige TOM-Dokumentation ist auf Anfrage erhältlich - wende dich an unseren Datenschutzbeauftragten.

Abrantix Unterprozessoren

Was ist ein Unterauftragsverarbeiter?

Um seine Dienstleistungen zu erbringen, arbeitet Abrantix mit einer begrenzten Anzahl von Drittanbietern zusammen, die im Rahmen ihrer Dienstleistung auf Kundendaten zugreifen können. Diese Anbieter werden als Unterauftragsverarbeiter bezeichnet. Wir wählen sie sorgfältig aus und halten sie an die gleichen Datenschutzstandards, die wir für uns selbst anwenden.

Derzeitige Unterauftragsverarbeiter

Anbieter Anwendbares Rechenzentrum Art der Dienstleistung
Atlassian Deutschland Interne Support-Zusammenarbeit
Darktrace Niederlande Erkennung von E-Mail-Einbrüchen
Datadog Inc. Deutschland Überwachung und Analyse
Microsoft Gesellschaft (Azure) Schweiz Infrastruktur-Anbieter
Microsoft Unternehmen (Microsoft 365) Europäische Union Kommunikation und Dokumentenverwaltung
ProCloud Schweiz Infrastruktur-Anbieter
TD Synnex Schweiz Infrastruktur-Anbieter
Utimaco Niederlande, England Hardware-Sicherheitsmodul (HSM) als Dienstleistung
Zoho Gesellschaft Niederlande, Irland Support-Ticketing und Kundendienst

Unternehmen der Abrantix-Gruppe

Die folgenden Abrantix-Unternehmen können je nach Dienstleistungsvertrag als Datenverarbeiter oder Unterauftragsverarbeiter fungieren:

  • Abrantix AG, Schweiz
  • Abrantix Deutschland GmbH, Deutschland
  • Abrantix Pty Ltd, Australien
  • Abrantix d.o.o. Koper, Slowenien

Wenn du Fragen zu unserer Liste der Unterauftragsverarbeiter oder zu Datenverarbeitungsverträgen hast, wende dich an uns.

Kontaktiere uns

Bei Fragen zu den auf dieser Seite behandelten Compliance-Themen - einschliesslich DSGVO, CH-FADP, ISO 27001, PCI-DSS oder dem Datenschutz im Allgemeinen - wende dich bitte direkt an unseren Datenschutzbeauftragten: