back to top

Allgemeine Geschäftsbedingungen 

Allgemeines 

Diese Vereinbarung besteht aus diesen Allgemeinen Geschäftsbedingungen und den Anhängen. Allgemeine Geschäftsbedingungen der Kundin gelten nicht.  

Vertragsleistungen 

Der SBV überprüft zu den vereinbarten Preisen den Werkvertrag des Kunden auf Abweichungen zum Musterwerkvertrag des SBV und stellt dem Kunden das Ergebnis der Überprüfung innert 48 Stunden (Arbeitswoche) zur Verfügung. Der SBV erbringt mit Ausnahme einer kurzen Besprechung des Ergebnisses im Rahmen von einer Viertelstunde keine Rechtsberatung. Der Anspruch auf Rechtsberatung wird ausschliesslich durch die Bedingungen betr. Mitgliedschaft beim SBV festgelegt und ist von dieser Vereinbarung nicht betroffen.  

Pflichten der Kundin 

Vertragsgebühr 

Die folgenden Kosten stellt der SBV dem Nutzer für die automatisierte Vertragsanalyse in CHF zzgl. MwSt. in Rechnung:  

SBV-Mitglied: CHF 350.- 

Nichtmitglied: CHF 900.- 

Der in (i) genannte Betrag wird mit dem Absenden des Antrags für die automatisierte Vertragsanalyse fällig.  

Rechnungen sind innerhalb von 15 Tagen ab Rechnungsdatum zu bezahlen. Mit Ablauf dieser Frist gerät die Kundin in Verzug. Im Verzugsfall fällt der gesetzliche Verzugszins an. Legartis ist zudem berechtigt, der Kundin eine Nachfrist von 14 Tagen anzusetzen und die Vertragsleistungen bei ungenutztem Ablauf der Nachfrist bei weiterlaufender Vergütungspflicht einzustellen. 

Weitere Pflichten der Kundin:

Die Kundin ist verpflichtet, mit dem SBV bei der Erfüllung dieser Vereinbarung im zumutbaren Rahmen auf eigene Kosten zusammenzuarbeiten und diejenigen Vorleistungen und Mitwirkungen zu erbringen, auf die der SBV zu ihrer Erfüllung der Vereinbarung angewiesen ist, das Ergebnis der automatischen Vertragsanalyse kritisch zu überprüfen. 

Geheimhaltung und Umgang mit Kundendaten 

Geheimhaltung: Die Parteien verpflichten sich, vertrauliche Informationen der anderen Partei geheim zuhalten, durch angemessene Massnahmen gegen Verlust und unbefugte Zugriffe zu schützen und nur im Rahmen der Vertragserfüllung zu verwenden. Diese Pflicht gilt auch nach Vertragsbeendigung. Der SBV stellt sicher, dass seine Mitarbeitenden und Softwareanbieter gleichwertigen Pflichten unterstehen.  

Umgang mit Kundendaten: Der SBV bearbeitet Kundendaten ausschliesslich in der Schweiz (einschliesslich Speicherung, Wartung und Zugriff). Für den Umgang mit Kundendaten, einschliesslich darin enthaltener Personendaten, gilt Anhang 3 – Bearbeitung von Kundendaten. Keine Kundendaten sind Angaben, die der SBV in eigener Verantwortung zur Abwicklung und Administration der Vertragsbeziehung mit der Kundin verwendet (z.B. Kontaktangaben von Vertretern der Kundin oder Nutzernamen). Solche Daten unterstehen aber Ziff. 4(a). 

Immaterialgüterrechte 

Unter Vorbehalt abweichender Bestimmungen erwirbt keine Partei Rechte an den Inhalten der anderen Partei. Im Verhältnis zwischen den Parteien behält der Kunde alle Rechte an den Kundendaten. 

Haftung  

Begrenzung: die Haftung der Parteien für alle in einem Vertragsjahr entstandenen direkten Schäden ist begrenzt auf direkte Schäden infolge einer Verletzung von Ziff. 4(a) oder 4(b). Der Kunde anerkennt, dass er die vollumfängliche Verantwortung für den Vertragsinhalt beibehält und das Tool zur Unterstützung verwendet.  

Ausschluss: Die Parteien schliessen gegenseitig jede Haftung für indirekte Schäden aus. Dazu gehören unabhängig von der Schadenursache entgangener Gewinn, verlorene Einsparungen und Beeinträchtigungen aus Reputationsverlust. 

Unbeschränkte Haftung: Ziff. 6(a) und 6(b) gelten nicht für vorsätzlich oder grobfahrlässig verursachte Schäden, für eine Verletzung des Lebens, des Körpers oder der Gesundheit, für ausdrücklich vereinbarte Schadloshaltungspflichten und soweit die Haftung gesetzlich nicht begrenzt werden kann. 

Weitere Bestimmungen 

Formerfordernisse: Diese Vereinbarung tritt mit dem abgesendeten Antrag auf Werkvertragsprüfung, dem Klick auf den Butten «Absenden» in Kraft. Eine Änderung dieser Vereinbarung – auch dieses Schriftformerfordernisses – kann nur durch schriftliche Vereinbarung erfolgen. «Schriftlichkeit» im Sinne dieser Vereinbarung verlangt eine Textform mit einer handschriftlichen oder elektronischen Unterschrift, wobei neben qualifizierten elektronischen Signaturen auch einfache elektronische Unterschriften wie z.B. DocuSign, Adobe Sign usw. genügen. 

Höhere Gewalt: Soweit eine Verzögerung oder Nichterfüllung dieser Vereinbarung durch Umstände verursacht wurde, auf die von diesen Umständen betroffene Partei keinen Einfluss hat, stellt diese eine Verzögerung oder Nichterfüllung keine Verletzung dieser Vereinbarung dar. Die Frist für die Erfüllung wird in diesem Fall entsprechend verlängert. Dies gilt nicht für Ereignisse, gegen die sich Legartis durch geeignete technische oder organisatorische Massnahmen hätte absichern können, und für Zahlungspflichten. 

Rechtswahl und Gerichtsstand: Dieser Vertrag untersteht schweizerischem Recht. Ausschliesslicher Gerichtsstand ist Zürich.  

Anhang 1 – Bearbeitung von Kundendaten 

Allgemeines 

Definitionen: Die folgenden Begriffe haben nachstehende Bedeutungen: 

Unterbeauftragter: Jede Person (mit Ausnahme eines Mitarbeitenden von Legartis oder eines ihrer Unterbeauftragten), die Legartis mit der Bearbeitung von Kundendaten beauftragt. 

Die Begriffe «betroffene Person», «Personendaten» (bzw. «personenbezogene Daten»), «Bearbeitung» (bzw. «Verarbeitung») und «Aufsichtsbehörde» haben die Bedeutung nach dem auf den Kunden und/oder Legartis anwendbaren Datenschutzrecht.  

Auftragsbearbeitung: Der Umgang von Legartis mit Kundendaten richtet sich nach der Vereinbarung zwischen der Kundin und Legartis und insbesondere diesem Anhang 3 – Bearbeitung von Kundendaten. Soweit die Kundendaten Personendaten enthalten, bearbeitet Legartis diese für die Erfüllung der Vereinbarung mit der Kundin als Auftragsbearbeiter im Auftrag der Kundin als dem Verantwortlichen. Es gelten folgende Einzelheiten der Auftragsbearbeitung:  

Gegenstand, Art und Zweck: Speicherung, Verwendung, Auswertung und Löschung der in den Kundendaten enthaltenen Personendaten gemäss der Vereinbarung zum Zweck der Dienstleistungen.  

Kategorien von Personendaten: die in den Kundendaten enthaltenen Angaben über natürliche Personen (z.B. Namen und Funktionsbezeichnungen). 

Kreis der betroffenen Personen: die von den Kundendaten betroffenen natürlichen Personen (z.B. Kontaktpersonen und Vertreter von Geschäftspartnern der Lizenzunternehmen). 

Ort der Bearbeitung: Legartis bearbeitet Kundendaten ausschliesslich in der Schweiz (einschliesslich der Speicherung, Wartung und Zugriff).  

Stellung der Kundin: Die Kundin ist verpflichtet, die Zulässigkeit ihrer Erhebung und Bearbeitung der Kundendaten durch die Wahlmodule sicherzustellen und ihre Pflichten nach dem auf diese Bearbeitung anwendbaren Datenschutzrecht einzuhalten. Soweit ein weiteres Lizenzunternehmen mit Bezug auf Kundendaten die Stellung eines Verantwortlichen hat, gilt die Kundin als dessen Auftragsbearbeiterin, und Legartis insoweit als Unterauftragsbearbeiterin. Die Kundin sichert für diesen Fall zu, dass die Bestimmungen dieses Anhangs 3 nicht gegen ihre Vereinbarung mit dem betreffenden Lizenzunternehmen verstossen. 

Pflichten von Legartis 

Weisungsbindung: Legartis ist verpflichtet, die Kundendaten nur zu bearbeiten, soweit dies für die Erfüllung der Vereinbarung erforderlich ist und bei der Bearbeitung den Weisungen der Kundin zu folgen. Vorbehalten sind abweichende Pflichten des anwendbaren Rechts, über die die Kundin möglichst frühzeitig vor Beginn der entsprechenden Bearbeitung zu informieren ist. Legartis weist die Kundin darauf hin, wenn Legartis der Ansicht ist, eine Weisung der Kundin verstosse gegen Datenschutzvorschriften, hat jedoch keine entsprechende Prüfpflicht. Das Weisungsrecht wird durch die Vereinbarung und diesen Anhang konkretisiert. Darüber hinausgehende Weisungen sind nur verbindlich, wenn sie zur Einhaltung zwingender datenschutzrechtlicher Anforderungen erforderlich sind. Sofern die Kundin mit den Kundendaten über die Software direkt interagieren kann, sind Weisungen in dieser Weise zu erteilen. Andere Weisungen sind in Textform zu erteilen, unter Vorbehalt mündlicher Weisung mit folgender Bestätigung in Textform bei Dringlichkeit. Erteilt die Kundin Weisungen für Kundendaten anderer Lizenzunternehmen, sichert sie zu, zu den entsprechenden Weisungen berechtigt zu sein.  

Vertraulichkeit: Legartis verpflichtet sich, Kundendaten vertraulich zu behandeln und nur Personen zugänglich zu machen, die für die Erfüllung ihrer Pflichten auf Zugang zu den Kundendaten angewiesen sind. Legartis stellt sicher, dass alle Personen mit Zugang zu Kundendaten nachweisbar einer entsprechenden gesetzlichen oder vertraglichen Vertraulichkeitspflicht unterstehen. 

Datensicherheit: Legartis ergreift die in Anhang 5 – Sicherheitsrichtlinie umschriebenen technischen und organisatorischen Massnahmen zum Schutz der Kundendaten und erhält sie während der gesamten Laufzeit des Vertrags aufrecht. Die Kundin hat die Sicherheitsmassnahmen geprüft und beurteilt sie als für alle Lizenzunternehmen angemessen und ausreichend. Legartis ist berechtigt, die Sicherheitsmassnahmen anzupassen, sofern dabei das Sicherheitsniveau nicht abgesenkt wird. 

Unterstützung der Kundin: Legartis unterstützt die Lizenzunternehmen angemessen bei der Einhaltung gesetzlicher Pflichten zur Gewährleistung einer angemessenen Datensicherheit, zur Meldung von Datenschutzverletzungen und zur Durchführung von Datenschutz-Folgenabschätzungen. Soweit ein Betroffener sich im Zusammenhang mit datenschutzrechtlichen Ansprüchen (z.B. mit einem Auskunfts- oder Löschbegehren in Bezug auf Kundendaten) an Legartis wendet, leitet Legartis das entsprechende Begehren unverzüglich an die Kundin weiter. Legartis unterstützt Lizenzunternehmen angemessen bei der Bearbeitung solcher Begehren, ebenso wie bei Auskunftspflichten gegenüber von Behörden.  

Information und Dokumentation: Bei Verletzungen des Schutzes der Kundendaten (einschliesslich bei Verletzungen i.S.v. Art. 4 Nr. 12 DSGVO) informiert Legartis die Kundin unverzüglich, aber spätestens innerhalb von 48 Stunden und in jedem Fall mindestens unter Angabe der in Art. 33 Abs. 3 DSGVO genannten oder, falls weitergehend, nach dem anwendbaren Datenschutzrecht erforderlichen Informationen. Diese Informationen werden gestaffelt übermittelt, soweit sie nicht sofort bekannt sind. Weiter sind Kontrollhandlungen und andere Massnahmen von Datenschutzaufsichtsbehörden der Kundin unverzüglich zu melden, die Kundendaten betreffen. Legartis stellt der Kundin ferner alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Anhang 3 – Bearbeitung von Kundendaten vereinbarten Pflichten zur Verfügung. 

Lösch- und Rückgabepflicht:  

Nach Beendigung der Vereinbarung hat Legartis der Kundin auf deren Instruktion alle Kundendaten und alle ggf. überlassenen Datenträger herauszugeben. Ansonsten sind die Kundendaten unter Vorbehalt von Ziff. 8(e) der Vereinbarung und zwingender Rechtspflichten endgültig zu löschen. Die Löschung ist auf Anfrage zu bestätigen.  

Legartis und die Unterbeauftragten sind jedoch berechtigt, Kundendaten bis zur nächsten ordentlichen Löschung in nicht produktiv genutzten Backup-Systemen zu speichern. Die Kundin ist sich überdies bewusst, dass die Leistungsfähigkeit der Software ein Training mit Daten voraussetzt. Legartis ist deshalb berechtigt, Kundendaten zu anonymisieren und in vollständig anonymer Form auch nach Beendigung der Vereinbarung zum Zweck der Verbesserung der Software zu verwenden. Es gilt Ziff. 5(a).  

Prüfrechte der Kundin 

Prüfrecht: Die Kundin hat das Recht, die Einhaltung der gesetzlichen und vertraglichen Pflichten durch Legartis im Zusammenhang mit der Bearbeitung von Kundendaten zu prüfen. Legartis ist verpflichtet, bei Prüfungen angemessen mitzuwirken.  

Ausübung: Prüfungen sind nach vorheriger Ankündigung während der üblichen Geschäftszeiten ohne unangemessene Beeinträchtigung des Geschäftsbetriebes von Legartis durchzuführen. In begründeten Fällen – insbesondere dokumentierten Anhaltspunkten einer vertrags- oder weisungswidrigen Bearbeitung von Kundendaten oder einer unvorhergesehenen Risikoerhöhung – kann die Kundin weitere Prüfungen durchführen. Die Kundin hat das Recht, ihre Prüfrechte auf eigene Kosten durch eine externe, fachkundige und zur Vertraulichkeit verpflichtete Stelle durchführen zu lassen. Ein Prüfrecht gegenüber Unterbeauftragten übt die Kundin aus, indem sie Legartis anweist, ihr Prüfrecht gegenüber dem Unterbeauftragter auszuüben. Die Kundin kann in diesem Fall eine Kopie der Prüfergebnisse verlangen. Jede Partei trägt ihre bei einer Überprüfung anfallenden Kosten selbst.  

Vertraulichkeit: Die von Legartis im Rahmen einer Prüfung zur Verfügung gestellten Informationen gelten als vertrauliche Informationen von Legartis.  

Unterbeauftragte 

Beizug: Für die Erbringung der Leistung kann Legartis Unterbeauftragte beiziehen und diesen im erforderlichen Umfang Kundendaten bekanntgeben, sofern Legartis mit dem Unterbeauftragter eine durchsetzbare Vereinbarung trifft, die inhaltlich mindestens der Vereinbarung und insbesondere diesem Anhang 3 – Bearbeitung von Kundendaten entspricht.  

Genehmigung: Eine Liste der bestehenden Unterbeauftragten mit Zugriff auf Kundendaten findet sich in Anhang 4 – Unterbeauftragte. Sollen weitere Unterbeauftragte beigezogen werden, informiert Legartis die Kundin über den geplanten Beizug unter Angabe der Identität des Unterbeauftragten, des Standorts des Unterbeauftragten bzw. seiner Bearbeitung und des geplanten Einsatzgebiets und auf Nachfrage unter Angabe weiterer Informationen, die die Kundin zur Entscheidfindung benötigt. Sofern die Kundin nicht innerhalb von 21 Tagen seit Ankündigung des geplanten Beizugs widerspricht, gilt der Beizug als genehmigt. Widerspricht die Kundin innert Frist, ohne dass dieser Widerspruch datenschutzrechtlich begründet ist, ist Legartis berechtigt, sämtliche Wahlmodule, für welche Kundendaten von dem neuen Unterbeauftragter bearbeitet würden, auf den Zeitpunkt des geplanten Beizugs des Unterbeauftragten zu kündigen. 

Ausland: Sofern Personendaten im Zusammenhang mit einem erlaubten Beizug eines weiteren Unterbeauftragten in einen Staat ohne angemessenes Datenschutzniveau gelangen bzw. von dort zugänglich wären, ist Legartis verpflichtet, vor der ersten Bekanntgabe von Personendaten an den betreffenden Unterbeauftragter in Übereinstimmung mit dem Datenschutzrecht geeignete Garantien vorzusehen (insb. die aktuellen EU-Standardvertragsklauseln mit den geeigneten Modulen) und während der gesamten Vertragsdauer aufrechtzuerhalten.  

Dokumentation: Auf Anfrage übermittelt Legartis der Kundin eine Kopie seiner Vereinbarung(en) mit Unterbeauftragten (ggf. einschliesslich der geeigneten Garantien), soweit dies erforderlich ist, damit die Kundin die Einhaltung dieser Vereinbarung durch Legartis prüfen kann. 

Haftung: Legartis haftet für die Einhaltung der Pflichten der Unterbeauftragten. 

Weitere Bestimmungen 

Dauer und Beendigung: Dieser Anhang 3 gilt bis zur Beendigung der Vereinbarung, mindestens aber bis zur vollständigen Löschung oder der Anonymisierung der Kundendaten nach Ziff. 2(f). 

Kontakt: Für datenschutzrechtliche Themen stehen den Parteien gegenseitig ihre üblichen Ansprechpersonen zur Verfügung.  

Dauer: Die Pflichten nach diesem Anhang 3 – Bearbeitung von Kundendaten enden mit der Beendigung der Vereinbarung, frühstens aber mit der vollständigen Löschung der Kundendaten durch den SBV und die Unterbeauftragten.  

Anhang 4 – Unterbeauftragte 

Firma Ort der Daten  Zweck  
Exoscale / Akenes AG  Schweiz  Betrieb der Plattform, auf der die Software betrieben wird (PaaS) und Betrieb der Infrastruktur auf der die betriebene Plattform aufbaut (IaaS). Speicherung von Verträgen und extrahierten Daten der Verträgen. 
Acodis AG Winterthur Schweiz Betrieb des OCR-Dienstes zur Konvertierung von PDF-Dateien. Keine Speicherung von Daten, da reine Datenverarbeitung (OCR). 
Glasskube OS GmbH  Schweiz Nextcloud Instanz zum Austausch von Daten zwischen Kunden und Legartis. 

Anhang 4 – Unterbeauftragte 

Firma Exoscale / Akenes AG 
Ort der Daten  Schweiz 
Zweck   Betrieb der Plattform, auf der die Software betrieben wird (PaaS) und Betrieb der Infrastruktur auf der die betriebene Plattform aufbaut (IaaS). Speicherung von Verträgen und extrahierten Daten der Verträgen. 
Firma Acodis AG Winterthur
Ort der Daten  Schweiz
Zweck   Betrieb des OCR-Dienstes zur Konvertierung von PDF-Dateien. Keine Speicherung von Daten, da reine Datenverarbeitung (OCR). 
Firma Glasskube OS GmbH 
Ort der Daten  Schweiz
Zweck   Nextcloud Instanz zum Austausch von Daten zwischen Kunden und Legartis. 

Anhang 5 – Sicherheitsrichtlinie 

Systemüberwachung und Reporting 
Beschreibung
Meldung von Sicherheitsvorfällen  Sicherheitsverletzungen mit Bezug auf Kundendaten werden der Kundin innert 48 Std. nach Bekanntwerden gemeldet. 
Kontaktstelle für Sicherheitsvorfälle  Es existiert eine bezeichnete Kontaktstelle für Sicherheitsvorfälle.  
Überwachung und Reporting  Geplante und ungeplante Ausfälle der Verfügbarkeit werden von Legartis durchgehend überwacht und protokolliert. 
Notifikation bei geplanten Ausfällen  Geplante Ausfälle werden mindestens 10 Arbeitstage vorher via E-Mail kommuniziert. 
Netzwerksicherheit Anwendung von Firewalls und IDS/IPS-Systemen sowie einer Application Level Firewall (XML/WAF). Ein DDoS-Schutz wird eingesetzt. 
Netzwerke zur Administration  Administrative Zugriffe durch den Legartis sind mittels Multi-Faktor Authentifizierung abgesichert. Sämtliche administrativen Zugriffe sind protokolliert und können bei Bedarf durch den Cloud-Nutzer eingesehen werden. 
Protokollierung von sicherheitsrelevanten Ereignissen  Folgende Ereignisse werden mindestens aufgezeichnet: Zugriffsentscheidungen (Zugriffsentscheidungen: Login/Logout Lastverhalten: CPU, RAM, Netzwerk Veränderungen an Nutzdaten werden protokolliert sobald das editieren von Dokumenten möglich wird.) Lastverhalten Veränderungen an Nutzdaten. Die Aufzeichnungen werden mindestens 6 Monate aufbewahrt. 
Datensicherheit
Beschreibung
Segregation der Daten von anderen Cloud- Nutzern und technische Ausgestaltung des Cloud-Services  Legartis kann aufgrund der gewählten Architektur und den zur Verfügung gestellten Dokumentationen glaubhaft darlegen, dass der angebotene Service eine angemessene Trennung gegenüber anderen Kunden sicherstellt. Zudem stellt Legartis im Vorfeld für technische Fragestellungen einen geeigneten Ansprechpartner kostenlos zur Verfügung ([email protected]). 
Datensicherung und Wiederherstellung  Backup und Restore Verfahren dokumentiert, überwacht und überprüft. Die Datensicherung hat in verschlüsselter Form und dem aktuellen Stand der Technik entsprechend zu erfolgen. 
Sichere Datenlöschung  Beim Wechsel der Speichermedien zu Wartungszwecken werden die Datenträger so gelöscht das die Daten auch mit forensischen Mitteln nicht wiederhergestellt werden können. 
Sichere Datenlöschung auf Verlangen  Auf Verlangen der Kundin oder bei Beendigung des Vertragsverhältnisses erfolgt eine vollständige Löschung der Inhalts- und Randdaten der Kundin, einschliesslich der Datensicherungen.
Netzwerksicherheit  Die hierzu eingesetzten Methoden (z. B. Löschen des Schlüssels) verhindern eine Wiederherstellung mit forensischen Mitteln. 
Speicherverschlüsselung der Inhaltsdaten («Data at Rest»)  Alle Inhaltsdaten werden verschlüsselt gespeichert. Die Verschlüsselung erfolgt auf Ebene der Datenbank. 
Segregation der Daten von anderen Cloud-Nutzern und technische Ausgestaltung des Cloud-Services:  Legartis kann aufgrund der gewählten Architektur und den zur Verfügung gestellten Dokumentationen glaubhaft darlegen, dass der angebotene Service eine angemessene Trennung gegenüber anderen Kunden sicherstellt. Zudem stellt Legartis im Vorfeld für technische Fragestellungen einen geeigneten Ansprechpartner kostenlos zur Verfügung ([email protected]). 
Datensicherung und Wiederherstellung:  Backup und Restore Verfahren dokumentiert, überwacht und überprüft. Die Datensicherung hat in verschlüsselter Form und dem aktuellen Stand der Technik entsprechend zu erfolgen. 
Identitäts- und Berechtigungsmanagement 
Beschreibung
Anbindung Identity-Provider der Kundin  Es ist vorgesehen, den Identity Provider der Kundin zur Authentifizierung seiner Anwender zu verwenden. Legartis unterstützen dazu die meisten gängigen Standards (z.B. OpenId Connect, SAML, Active Directory). Legartis verwendet «Keycloak» von Red Hat als Identity Provider. 
Authentifizierung Benutzer  Multi-Faktor-Authentifizierung 
Authentifizierung Administratoren Cloud- Nutzer  Multi-Faktor-Authentifizierung 
Authentifizierung Maschine zu Maschine  Zertifikatsbasierte Verfahren, Verschlüsselung per HTTPS und zusätzliche Authentifizierung. 
Passwortanforderungen Die Anforderungen gemäss Passwortvorschriften werden im System technisch erzwungen. 

Anhang 5 – Sicherheitsrichtlinie 

Systemüberwachung und Reporting 
Beschreibung
Systemüberwachung und Reporting  Meldung von Sicherheitsvorfällen 
Sicherheitsverletzungen mit Bezug auf Kundendaten werden der Kundin innert 48 Std. nach Bekanntwerden gemeldet. 
Systemüberwachung und Reporting  Kontaktstelle für Sicherheitsvorfälle 
Es existiert eine bezeichnete Kontaktstelle für Sicherheitsvorfälle.  
Systemüberwachung und Reporting  Überwachung und Reporting 
Geplante und ungeplante Ausfälle der Verfügbarkeit werden von Legartis durchgehend überwacht und protokolliert. 
Systemüberwachung und Reporting  Notifikation bei geplanten Ausfällen 
Geplante Ausfälle werden mindestens 10 Arbeitstage vorher via E-Mail kommuniziert. 
Systemüberwachung und Reporting  Netzwerksicherheit
Anwendung von Firewalls und IDS/IPS-Systemen sowie einer Application Level Firewall (XML/WAF). Ein DDoS-Schutz wird eingesetzt. 
Systemüberwachung und Reporting  Netzwerke zur Administration 
Administrative Zugriffe durch den Legartis sind mittels Multi-Faktor Authentifizierung abgesichert. Sämtliche administrativen Zugriffe sind protokolliert und können bei Bedarf durch den Cloud-Nutzer eingesehen werden. 
Systemüberwachung und Reporting  Protokollierung von sicherheitsrelevanten Ereignissen 
Folgende Ereignisse werden mindestens aufgezeichnet: Zugriffsentscheidungen (Zugriffsentscheidungen: Login/Logout Lastverhalten: CPU, RAM, Netzwerk Veränderungen an Nutzdaten werden protokolliert sobald das editieren von Dokumenten möglich wird.) Lastverhalten Veränderungen an Nutzdaten. Die Aufzeichnungen werden mindestens 6 Monate aufbewahrt. 
Systemüberwachung und Reporting 
Systemüberwachung und Reporting  Datensicherheit
Systemüberwachung und Reporting 
Beschreibung
Systemüberwachung und Reporting  Segregation der Daten von anderen Cloud- Nutzern und technische Ausgestaltung des Cloud-Services 
Legartis kann aufgrund der gewählten Architektur und den zur Verfügung gestellten Dokumentationen glaubhaft darlegen, dass der angebotene Service eine angemessene Trennung gegenüber anderen Kunden sicherstellt. Zudem stellt Legartis im Vorfeld für technische Fragestellungen einen geeigneten Ansprechpartner kostenlos zur Verfügung ([email protected]). 
Systemüberwachung und Reporting  Datensicherung und Wiederherstellung 
Backup und Restore Verfahren dokumentiert, überwacht und überprüft. Die Datensicherung hat in verschlüsselter Form und dem aktuellen Stand der Technik entsprechend zu erfolgen. 
Systemüberwachung und Reporting  Sichere Datenlöschung 
Beim Wechsel der Speichermedien zu Wartungszwecken werden die Datenträger so gelöscht das die Daten auch mit forensischen Mitteln nicht wiederhergestellt werden können. 
Systemüberwachung und Reporting  Sichere Datenlöschung auf Verlangen 
Auf Verlangen der Kundin oder bei Beendigung des Vertragsverhältnisses erfolgt eine vollständige Löschung der Inhalts- und Randdaten der Kundin, einschliesslich der Datensicherungen.
Systemüberwachung und Reporting  Netzwerksicherheit 
Die hierzu eingesetzten Methoden (z. B. Löschen des Schlüssels) verhindern eine Wiederherstellung mit forensischen Mitteln. 
Systemüberwachung und Reporting  Speicherverschlüsselung der Inhaltsdaten («Data at Rest») 
Alle Inhaltsdaten werden verschlüsselt gespeichert. Die Verschlüsselung erfolgt auf Ebene der Datenbank. 
Systemüberwachung und Reporting  Segregation der Daten von anderen Cloud-Nutzern und technische Ausgestaltung des Cloud-Services: 
Legartis kann aufgrund der gewählten Architektur und den zur Verfügung gestellten Dokumentationen glaubhaft darlegen, dass der angebotene Service eine angemessene Trennung gegenüber anderen Kunden sicherstellt. Zudem stellt Legartis im Vorfeld für technische Fragestellungen einen geeigneten Ansprechpartner kostenlos zur Verfügung ([email protected]). 
Systemüberwachung und Reporting  Datensicherung und Wiederherstellung: 
Backup und Restore Verfahren dokumentiert, überwacht und überprüft. Die Datensicherung hat in verschlüsselter Form und dem aktuellen Stand der Technik entsprechend zu erfolgen. 
Systemüberwachung und Reporting 
Systemüberwachung und Reporting  Identitäts- und Berechtigungsmanagement 
Systemüberwachung und Reporting 
Beschreibung
Systemüberwachung und Reporting  Anbindung Identity-Provider der Kundin 
Es ist vorgesehen, den Identity Provider der Kundin zur Authentifizierung seiner Anwender zu verwenden. Legartis unterstützen dazu die meisten gängigen Standards (z.B. OpenId Connect, SAML, Active Directory). Legartis verwendet «Keycloak» von Red Hat als Identity Provider. 
Systemüberwachung und Reporting  Authentifizierung Benutzer 
Multi-Faktor-Authentifizierung 
Systemüberwachung und Reporting  Authentifizierung Administratoren Cloud- Nutzer 
Multi-Faktor-Authentifizierung 
Systemüberwachung und Reporting  Authentifizierung Maschine zu Maschine 
Zertifikatsbasierte Verfahren, Verschlüsselung per HTTPS und zusätzliche Authentifizierung. 
Systemüberwachung und Reporting  Passwortanforderungen
Die Anforderungen gemäss Passwortvorschriften werden im System technisch erzwungen.