Letzte Aktualisierung: 25.10.2025

Die folgenden technisch-organisatorischen Massnahmen wurden von Ayyah AG getroffen, um die Sicherheit der Daten zu gewährleisten.

Die von Ayyah AG als Organisation sowie Ayyah als Software verarbeiteten personenbezogenen Daten beschränken sich auf Nutzerdaten (Name, Vorname, Abteilung, Kontaktinformationen Geschäft, E-Mail, IP-Adresse sowie geschäftsbezogene Bestellungen des Nutzers). Die personenbezogenen Daten in der Software werden, wo möglich, pseudonymisiert.

Die Software wird durch ausgewählte zertifizierte Entwicklungspartner entwickelt. Die Daten liegen in einem hochsicheren Kubernetes-Datencenter in der Schweiz und sind Mitarbeitern von Ayyah AG und den Subunternehmen nur soweit erforderlich zugänglich.

1. Zutrittskontrolle

Den Zutritt zu den Räumlichkeiten von Ayyah AG stellen wir durch folgende Massnahmen sicher:

• Ayyah wird in einem sicheren, zertifizierten Rechenzentrum in der Schweiz gehostet
• Mitarbeiter von Ayyah haben keinen Zutritt zum Rechenzentrum
• Vergabe Schlüssel zu den Büroräumlichkeiten ist dokumentiert
• Besucher sind nie alleine in den Büroräumlichkeiten

2. Zugangskontrolle

Um den Zugang nur durch Befugte sicherzustellen, haben wir sowohl in den internen Systemen wie auch für die Ayyah-Software folgende Massnahmen getroffen:

• Benutzerverwaltung zur Anmeldung mit individuellem Benutzernamen und Passwort (Passwortrichtlinie)
• Protokollierung des Zugangs
• Systemadministration durch den Geschäftsführer von Ayyah
• Automatische Blockierung der IP-Adresse bei zu vielen fehlgeschlagenen Login, optional Einschränkung IP-Bereich
• Automatischer Logout bei Inaktivität

3. Zugriffskontrolle

Um Zugriff zu kontrollieren, haben wir sowohl in den internen Systemen als auch für die Ayyah-Software folgende Massnahmen getroffen:

• Mandanten-, rollen- und rechtebasiertes Zugriffsmanagement
• Verwaltung der Benutzer durch die jeweiligen System-Administratoren der Mandanten

4. Trennungskontrolle

Um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt voneinander verarbeitet werden, haben wir die folgenden Massnahmen getroffen:

• Trennung von Entwicklungs-, Test- und Livesystemen
• Trennung der Mandanten in der Software

5. Transport-/Speicherkontrolle

Um sicherzustellen, dass Personendaten bei der Übermittlung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden, hat Ayyah folgende Massnahmen ergriffen:
• Sichere Übertragung von Daten per SSL-Verschlüsselung
• Daten werden nur bei Nutzung der REST-API in Systeme ausserhalb des Rechenzentrums übermittelt
• Computer-Datenträger von Ayyah-Mitarbeitern sind verschlüsselt sowie löschbar per Remote-Wipe
• Weitergabe nur auf Verlangen des Auftraggebers oder nach Prüfung der Rechtsgrundlage
• Zur Sicherung der Web-Kommunikation sowie zum Schutz vor DDoS-Angriffen und unberechtigtem Zugriff wird Cloudflare, Inc. (USA) als Content Delivery Network (CDN) und Web Application Firewall (WAF) eingesetzt. Dabei kann es zur Bearbeitung technischer Nutzungsdaten (z. B. IP-Adressen) kommen. Die Nutzung erfolgt auf Basis geeigneter Garantien gemäss Art. 16 DSG (Standardvertragsklauseln mit CH-Anpassung).

6. Eingabekontrolle

Die Nachvollziehbarkeit von Eingaben und Änderungen stellen wir wie folgt sicher:

• Alle Zugriffe erfolgen mit persönlichen Logins
• Protokollierung von Eingaben in Änderungslog

7. Auftragskontrolle

Damit Daten bei Auftragsvergabe nur entsprechend dem Auftrag und den Weisungen des Auftragsgebers verarbeitet werden können, haben wir folgende Massnahmen ergriffen:

• Auswahl Auftragnehmer durch Ayyah Management und Mitglied Verwaltungsrat/Datenschutzverantwortlicher
• Unteraufträge nur bei gleichwertigem Schutzniveau sowie mit Auftragsdatenverarbeitungs-Vertrag
• Prüfung der vom Auftragnehmer getroffenen Massnahmen

8. Verfügbarkeitskontrolle

Um die Verfügbarkeit sicherzustellen, wird Ayyah in einem hochverfügbaren Datencenter in einem verschlüsselten Container betrieben.

• Aktives Management der Server durch den Cloud-Anbieter
• Stromversorgung, Wasserschutz, Klimaversorgung, Brandschutz durch den Cloud-Anbieter
• Datensicherung und Wiederherstellung
• Die Software wird laufend überwacht und Massnahmen, wenn nötig, automatisiert in die Wege geleitet.