Das Digital Trust Label steht für Vertrauen, Einfachheit und Transparenz und damit auch für Werte, die von UNICEF und MD Systems geteilt werden. Das Kinderhilfswerk der Vereinten Nationen ist die erste international tätige humanitäre Organisation, die das Label erhält.
Der umfassende Audit durch die Swiss Digital Initiative untersuchte dabei den gesamten Lebenszyklus der Spender:innen, mit dem Online-Spendenprozess als Dreh- und Angelpunkt. Voraussetzung für einen sicheren Spendenprozess bei UNICEF ist damit auch die Sicherheit der Entwicklungs- und Betriebsprozesse von MD Systems, auf welche wir grossen Wert legen.
Für Unicef ist Vertrauenswürdigkeit das höchste Gut, daher möchten wir stets das beste und sicherste Spendenerlebnis anbieten. Die präzise Beratung und Unterstützung von MD Systems hat uns zielsicher durch den Audit geführt.
Die vielseitige Spendenlösung, welche von MD Systems entwickelt wurde, wird auch von anderen Non-Profit-Organisationen eingesetzt. Sie kann individualisiert werden und wird typischerweise mit einem CRM wie z.B. SalesForce oder ActiveCampaign verbunden.
Wie wird die Sicherheit bei MD Systems gewährleistet?
Der Audit prüfte u.A. folgende Massnahmen
- Entwicklung mit Code-Versionierung und Code-Reviews
Jede Änderung an Code ist reproduzierbar und wird konsequent kontrolliert. - Automatisiertes Testing und Release-Management
Unsere Spendenlösung enthält 396 Test-Szenarien, die bei jeder Code-Anpassung automatisch geprüft werden. - Scanning und Überwachung von Sicherheitslücken
Eigener Code und alle eingesetzte Software (dependencies) werden systematisch analysiert. - Roll-outs über mehrere Stufen mit strikten Kriterien für Qualitätssicherung
Nach verschiedenen Tests in Entwicklungs-Umgebungen folgt zur Freigabe die letzte Stufe Staging, welche sich mit aktiven Integrationen möglichst wie Produktion verhält. - Automatisierte visuelle Regressions-Tests
Vergleich der Screenshots vorher / nachher bei Updates. - Sichere Identifikation ohne Passwörter
Unter Einsatz von digitalen Schlüsseln, Zertifikaten und Zwei-Faktor-Authentifizierung. - Monitoring im Betrieb
Auffälligkeiten werden proaktiv untersucht und Massnahmen.
Der Audit war eine lehrreiche Erfahrung. Während viele Prozesse bereits klar strukturiert waren, wurden Massnahmen umgehend umgesetzt, um unsere Prozesse und deren Ausführung schriftlich besser nachvollziehbar festzuhalten. Als Resultat wurden im Audit keine wesentlichen Mängel festgestellt. Die Verbesserung der Sicherheit bleibt aber eine Daueraufgabe.
Das Timing ist perfekt: Mit der Vertiefung des Know-Hows zum Thema Datenschutz ist MD Systems optimal vorbereitet für die Einführung des neuen Schweizer Datenschutzgesetzes im September 2023.
Wir gratulieren UNICEF Schweiz und Liechtenstein für das «Digital Trust Label». Gerne begleiten wir bei Bedarf auch andere Organisationen durch den Prozess und helfen, Datenschutz als Differenzierungsmerkmal zur Vertrauensbildung umzusetzen.
Weitere Informationen in der Medienmitteilung von UNICEF.