Datensicherheitsrichtlinie
Stand: März 2026
Verantwortlich: STP Professional Co., Ltd.
1. Zweck dieser Richtlinie
Diese Data Protection Policy beschreibt die technischen und organisatorischen Massnahmen, die STP Professional Co., Ltd. (nachfolgend «SwissThaiPro») zum Schutz personenbezogener Daten und vertraulicher Dokumente im Rahmen des LTR Visa Service implementiert hat.
Diese Richtlinie ergänzt unsere Privacy Policy (Datenschutzerklärung) und unsere Terms and Conditions (AGB) und richtet sich sowohl an unsere Kunden als auch an unser internes Team.
2. Grundsätze des Datenschutzes
SwissThaiPro befolgt folgende Datenschutzgrundsätze:
- Datenminimierung: Wir erheben und verarbeiten nur die Daten, die für die Erbringung unserer Dienstleistung tatsächlich erforderlich sind.
- Zweckbindung: Personenbezogene Daten werden ausschliesslich zu dem Zweck verarbeitet, für den sie erhoben wurden – der Beantragung des LTR Visums.
- Speicherbegrenzung: Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck oder aufgrund gesetzlicher Pflichten erforderlich ist.
- Integrität und Vertraulichkeit: Wir setzen angemessene technische und organisatorische Massnahmen ein, um die Sicherheit der Daten zu gewährleisten.
3. Technische Sicherheitsmassnahmen
3.1 Verschlüsselung
Datenübertragung:
Alle Daten, die zwischen Ihrem Browser und unserer Website bzw. dem Dokumentenportal übertragen werden, sind durch TLS 1.3 (Transport Layer Security) verschlüsselt. Dies gilt für:
- Alle Seitenaufrufe der Website
- Das Kontaktformular
- Das Registrierungs- und Zahlungsformular
- Das Dokumenten-Upload-Portal
- Die gesamte Kommunikation im geschützten Kundenbereich
Datenspeicherung:
Sicherheitsrelevante Daten wie TOTP-Secrets für die Zwei-Faktor-Authentifizierung werden mit AES-256-GCM (Advanced Encryption Standard mit 256-Bit-Schlüssel) verschlüsselt gespeichert. Passwörter werden mit bcrypt gehasht und sind nicht im Klartext abrufbar.
Schlüsselverwaltung:
Die Verschlüsselungsschlüssel werden getrennt von den verschlüsselten Daten gespeichert. Der Zugriff auf Schlüssel ist auf autorisierte Systemadministratoren beschränkt.
3.2 Dokumentenspeicherung
Speicherort:
Kundendokumente werden auf einer self-hosted Nextcloud-Instanz gespeichert. Nextcloud ist eine Open-Source-Plattform für sichere Dateiverwaltung. Dokumente werden nicht bei Drittanbietern wie Amazon, Google oder Microsoft gespeichert.
Sicherheitsmerkmale:
- Zugriff ausschliesslich über App-Passwort (Basic Auth) – keine öffentlichen Share-Links
- Regelmässige Sicherheitsupdates und Patches
- Regelmässige Backups der Datenbank und Dokumente
3.3 Zugangskontrollen
Kundenportal:
- Individueller Login mit E-Mail-Adresse und Passwort
- Passwortanforderungen: Mindestens 8 Zeichen
- Optionale Zwei-Faktor-Authentifizierung (TOTP) mit Authenticator-App und 10 Einmal-Backup-Codes
- HttpOnly-Cookies mit Secure-Flag (HTTPS-only in Produktion)
Interner Zugriff (SwissThaiPro-Team):
- Zugriff auf Kundendaten nur für autorisierte Mitarbeiter
- Individuelle Admin-Konten mit separater Authentifizierung
- Zwei-Faktor-Authentifizierung für Admin-Konten verfügbar
3.4 Netzwerksicherheit
- HTTPS/TLS für alle Verbindungen (kein unverschlüsselter Zugriff möglich)
- Nginx Reverse Proxy als zusätzliche Schutzschicht
- Regelmässige Sicherheitsupdates und Patches des Betriebssystems und aller Komponenten
4. Organisatorische Massnahmen
4.1 Vertraulichkeit
Alle Mitarbeiter von SwissThaiPro, die Zugang zu Kundendaten haben:
- Werden bei Arbeitsbeginn in Datenschutz und Datensicherheit eingewiesen
- Haben eine Vertraulichkeitsvereinbarung (NDA) unterzeichnet
4.2 Need-to-Know-Prinzip
Der Zugriff auf Kundendaten erfolgt ausschliesslich nach dem Need-to-Know-Prinzip. Ein Mitarbeiter erhält nur Zugriff auf die Daten, die er für die Bearbeitung des jeweiligen Kundenauftrags benötigt.
4.3 Vorfallmanagement (Incident Response)
Im Falle eines Sicherheitsvorfalls gilt folgendes Protokoll:
- Sofortige Eindämmung des Vorfalls
- Bewertung des Umfangs und der betroffenen Daten
- Benachrichtigung der Betroffenen innerhalb von 72 Stunden
- Benachrichtigung der zuständigen Behörden (sofern erforderlich)
- Dokumentation und Analyse des Vorfalls
- Implementierung von Massnahmen zur Verhinderung wiederholter Vorfälle
Meldepflicht:
Im Falle einer Datenpanne, die personenbezogene Daten betrifft, werden betroffene Kunden unverzüglich, spätestens innerhalb von 72 Stunden, per E-Mail informiert. Die Benachrichtigung umfasst:
- Art des Vorfalls
- Betroffene Datenkategorien
- Getroffene Gegenmassnahmen
- Empfehlungen für den Kunden
- Kontaktdaten für Rückfragen
5. Datenverarbeitungspartner
5.1 Auftragsverarbeiter
Folgende Drittanbieter verarbeiten in unserem Auftrag personenbezogene Daten:
| Anbieter | Zweck | Datentyp | Standort |
|---|---|---|---|
| Nextcloud (Self-hosted) | Dokumentenspeicherung | Hochgeladene Dokumente | Eigener Server |
| Matomo (Self-hosted) | Webanalyse | Anonymisierte Nutzungsdaten, Cookies | Eigener Server |
5.2 Auftragsverarbeitungsverträge (AVV)
Mit allen Auftragsverarbeitern bestehen schriftliche Verträge, die mindestens Folgendes regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Pflichten des Auftragsverarbeiters (Vertraulichkeit, Sicherheitsmassnahmen)
- Löschpflichten bei Vertragsende
6. Speicher- und Löschkonzept
6.1 Aufbewahrungsfristen
| Datenart | Aufbewahrungsfrist |
|---|---|
| Registrierungsdaten | Vertragsdauer + 5 Jahre |
| Zahlungsbelege | 7 Jahre (thailändisches Steuerrecht) |
| Hochgeladene Dokumente | 12 Monate nach Visa-Erteilung |
| Behördliche Korrespondenz | 5 Jahre nach Abschluss |
| Webanalyse-Daten (Matomo) | 26 Monate |
6.2 Vorzeitige Löschung
Kunden können jederzeit die vorzeitige Löschung ihrer Daten beantragen. Die Löschung erfolgt innerhalb von 30 Tagen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Nach der Löschung erhalten Sie eine schriftliche Bestätigung.
7. Besonderer Schutz sensibler Daten
7.1 Kategorien sensibler Daten
Folgende Daten erhalten zusätzlichen Schutz:
- Reisepass-Kopien und Ausweisdokumente
- Finanzielle Unterlagen (Bankbelege, Steuerdokumente)
- Polizeiliche Führungszeugnisse
- Gesundheitsbezogene Daten (Versicherungspolicen)
7.2 Schutzmassnahmen
- Zugriff auf Kundendokumente nur durch den zugewiesenen Berater
- Verschlüsselte Speicherung auf eigener Nextcloud-Instanz
- Kunden können ihren Portal-Zugang mit Zwei-Faktor-Authentifizierung absichern
8. Rechte der Betroffenen
8.1 Auskunftsrecht
Kunden können jederzeit eine vollständige Übersicht aller über sie gespeicherten Daten anfordern. Die Auskunft erfolgt kostenlos innerhalb von 30 Tagen.
8.2 Datenexport
Kunden können ihre hochgeladenen Dokumente jederzeit über das Dokumentenportal herunterladen.
8.3 Löschung
Siehe Abschnitt 6.2.
8.4 Kontakt für Datenschutzanfragen
Alle Anfragen zum Datenschutz richten Sie bitte an:
E-Mail: info@swissthaipro.ch
Antwortzeit: Innerhalb von 14 Werktagen
9. Compliance
9.1 Anwendbare Datenschutzgesetze
SwissThaiPro orientiert sich an folgenden Datenschutzrahmenwerken:
- Thailand Personal Data Protection Act (PDPA)
- EU-Datenschutzgrundverordnung (DSGVO) – soweit anwendbar für EU-/EEA-Kunden
- Schweizer Datenschutzgesetz (DSG) – soweit anwendbar für Schweizer Kunden
9.2 Überprüfung
Die technischen und organisatorischen Sicherheitsmassnahmen werden regelmässig überprüft und bei Bedarf angepasst.
10. Änderungen dieser Richtlinie
Wesentliche Änderungen an dieser Data Protection Policy werden Kunden per E-Mail mitgeteilt. Die aktuelle Version ist stets auf unserer Website verfügbar.
11. Kontakt
STP Professional Co., Ltd.
Datenschutz-Ansprechpartner
E-Mail: info@swissthaipro.ch
Telefon: +66 95 058 0034
STP Professional Co., Ltd.
29/22 Soi 112, Nong Kae
Hua Hin, Prachuap Khiri Khan 77110
Thailand
Letzte Aktualisierung: März 2026