Zum Inhalt springen
CampOne Docs

Sicherheit & Vertrauen

CampOne verarbeitet sensible Daten: Buchungen, Zahlungen, Meldescheine mit Pass- und Ausweisnummern, E-Mail-Adressen Ihrer Gäste. Diese Seite fasst zusammen, wie wir diese Daten schützen — verständlich genug für eine Vorstandssitzung, präzise genug für ein IT-Audit.

Drei Begleitseiten gehen ins Detail:

  • Architektur & Schutzmassnahmen — die technischen Schutzmechanismen (Verschlüsselung, Authentifizierung, Mandantentrennung).
  • Datenschutz & nDSG — wie wir das neue Schweizer Datenschutzgesetz umsetzen, inklusive Aufbewahrungsfristen, Betroffenenrechten und Auftragsverarbeitern.
  • Audit-Trail — welche Vorgänge wir mitschreiben und wie lange.

Die vier Säulen

Abschnitt betitelt „Die vier Säulen“

CampOne ist von Grund auf für mehrere Mandanten konzipiert. Jeder Campingplatz erhält seinen eigenen, abgegrenzten Datenraum — niemand sieht die Daten eines anderen Betriebs.

  1. Mandantentrennung als Standard. Jede Datenbankabfrage ist auf den eingeloggten Betrieb gefiltert. Es ist technisch nicht möglich, dass ein Mitarbeitende von Camping A versehentlich eine Buchung von Camping B abrufen.
  2. Verschlüsselte Übertragung, kurze Sitzungen. Alle Verbindungen laufen über TLS (HTTPS). Zugangstokens leben 30 Minuten, Refresh-Tokens 7 Tage und werden bei jeder Erneuerung rotiert. Ein abgefangenes Token verliert sehr schnell seine Gültigkeit.
  3. Datenschutzkonforme Aufbewahrung. Gästedaten werden nach 730 Tagen automatisch anonymisiert. Finanzdaten werden gemäss Schweizer Buchführungspflicht 10 Jahre aufbewahrt — getrennt von personenbezogenen Inhalten.
  4. Lückenloser Audit-Trail. Jede Anmeldung, jede Änderung an einer Buchung, jeder Zugriff durch CampOne-Support wird mit Zeitstempel und IP-Adresse protokolliert.

Was Sie daraus mitnehmen sollten

Abschnitt betitelt „Was Sie daraus mitnehmen sollten“

Wenn Ihr IT-Verantwortlicher oder Ihr Treuhänder fragt, ob CampOne den nDSG-Anforderungen entspricht, lautet die Kurzantwort: Ja — Datenresidenz EU/CH, Verschlüsselung im Transit, automatische Löschfristen, vollständige Audit-Logs, dokumentiertes Bearbeitungsverzeichnis. Die Datenschutzseite liefert die Belege.

Wenn Sie ein Sicherheitsthema melden möchten, schreiben Sie an security@campone.ch.

Fragen, die wir häufig hören

Abschnitt betitelt „Fragen, die wir häufig hören“

Wo liegen meine Daten? Auf einem Supabase-PostgreSQL-Cluster in der EU (AWS Frankfurt-Region, eu-west-1, Irland). Tägliche Backups, Point-in-Time-Recovery, EU-Datenschutzniveau.

Wer bei CampOne kann meine Buchungen sehen? Im Normalbetrieb niemand. Wenn Sie unseren Support kontaktieren und Zugriff freigeben, können wir mit Ihrer ausdrücklichen Zustimmung in einem von drei Modi auf Ihren Mandanten zugreifen: Mock (synthetische Beispieldaten), Maskiert (Ihre Daten ohne lesbare PII), Real (Vollzugriff, nur nach Ihrer Freigabe, max. 30 Minuten). Jeder Zugriff wird auditiert und ist für Sie einsehbar.

Was passiert, wenn ein Gast die Löschung seiner Daten verlangt? Gäste können ihr Konto selbst löschen — der entsprechende API-Endpunkt ist live, der „Konto löschen”-Knopf wird derzeit pro Mandanten-Gästeportal ausgerollt. Bis dahin können Sie die Löschung über CampOne-Support anstossen. Aufbewahrungspflichtige Finanzdaten (z.B. Rechnungen) bleiben gemäss OR Art. 958f weitere 10 Jahre erhalten — die personenbezogenen Felder werden dabei anonymisiert (Pass-Nummer, Geburtsdatum, Adresse, etc.).

Was, wenn CampOne ausfällt? Wir betreiben getrennte Staging- und Produktionsumgebungen, automatisierte tägliche Backups bei Supabase und ein dokumentiertes Notfall-Wiederherstellungsverfahren. Geplante Wartungsfenster werden vorab angekündigt.

Was ist mit Stripe-Schlüsseln und SMTP-Passwörtern? Diese liegen pro Betrieb auf Ihrem Mandanten — nicht in einer geteilten Konfiguration. Eine Kompromittierung der Zugangsdaten eines Betriebs hat keinen Einfluss auf andere Betriebe.

Bei Fragen

Abschnitt betitelt „Bei Fragen“

Antwort innerhalb von 5 Werktagen, bei dringenden Sicherheitsmeldungen innerhalb von 24 Stunden.