top of page
VeniceAI_h2s1LA7.png

Kern unserer Mission

Wie wir Ihre Daten schützen

Sicherheit, Schutz der Privatsphäre und Verfügbarkeit sind in jede Schicht unseres Services integriert. Unser Information Security Management System ist an internationalen Standards ausgerichtet und wird durch formale, prüfbare Regelwerke gestützt.

ISO 27001:2022
Trust shield for compliance
SOC 2
Trust shield for compliance
DSGVO
Trust shield for compliance
🔐 Datensicherheit

  • Alle Daten in Transit verschlüsselt (TLS 1.2 oder höher)

  • Verschlüsselung der Datenbanken im Ruhezustand mit branchenüblicher Verschlüsselung

  • Backups werden vor Speicherung und Übertragung verschlüsselt

  • Schwache oder veraltete kryptografische Algorithmen sind explizit verboten

  • TLS-Zertifikate werden automatisch erneuert

  • Kundendaten werden nicht auf Mitarbeitergeräten gespeichert

🖥️ Infrastruktursicherheit

  • Produktionsinfrastruktur werden in zertifizierten EU-Rechenzentren (Deutschland) gehostet

  • Kundendaten sind in der EU gehostet. Einige Echtzeitverarbeitungen können zertifizierte Anbieter außerhalb der EU einschließen

  • Firewalls und Brute-Force-Schutz auf allen Servern aktiv

  • Remote-Serverzugriff ist auf schlüsselbasierte Authentifizierung beschränkt

  • Isoliertes Container-Netzwerk, d.h. Datenbanken sind nicht für das öffentliche Internet erreichbar.

  • Server-Snapshots werden regelmäßig und vor jedem Wartungsfenster erstellt

  • Vollständiges Disaster-Recovery-Verfahren dokumentiert und getestet

🔄 Änderungsmanagement

  • Alle Produktionsänderungen erfordern formale Genehmigung und dokumentierte Risikobewertung

  • Unabhängiger Code-Review ist vor Bereitstellung erforderlich

  • Änderungen vor der Veröffentlichung werden in einer Nicht-Produktionsumgebung getestet

  • Rollback-Plan ist für jede Änderung erforderlich

  • Notfalländerungsverfahren mit Post-Incident-Review

  • Vollständiger Audit-Trail wird mit Versionskontrolle gewartet

🗝️ Berechtigungsmanagement

  • Alle Anmeldeinformationen sind in einem Ende-zu-Ende-verschlüsselten Passwort-Manager gespeichert

  • Geheimnisse werden niemals in Quellcode, Repositories oder Log-Dateien gespeichert

  • Separate Anmeldeinformationen wird pro Umgebung gewartet

  • Anmeldeinformationen werden nach definiertem Zeitplan rotiert

  • Sofortige Rotation ausgelöst durch Personaländerungen oder erkannter Bedrohung

  • Reaktionsziel von 1 Stunde bei kompromittierten Anmeldeinformationen

🔑 Zugangskontrolle

  • Jede Person hat ein einzigartiges Konto — geteilte Konten sind verboten.

  • Multi-Faktor-Authentifizierung auf allen Systemen erforderlich

  • Zugriff auf Least-Privilege-Basis mit dokumentierter Genehmigung gewährt

  • Privilegierter Zugriff erfordert Genehmigung des Top-Managements

  • Zugriffsrechte werden vierteljährlich überprüft; privilegierter Zugriff monatlich

  • Zugriff wird am Tag des Austritts mit sofortiger Rotation der Anmeldeinformationen entzogen

  • Automatische Sperrung nach wiederholten fehlgeschlagenen Anmeldeversuchen

🛡️ Schwachstellenmanagement

  • Schwachstellen werden nach Schweregrad priorisiert & kritische Probleme innerhalb von 48 Stunden behoben

  • Automatisiertes tägliches Dependency Scanning

  • Regelmäßiges Patching nach Zeitplan für Betriebssystem und Container

  • Sicherheitshinweise für alle wichtigen Anbieter werden aktiv überwacht

  • Pre-Update-Snapshots und Rollback-Verfahren für jede Änderung

🏢 Lieferantensicherheit

  • Security-Zertifizierung vor Lieferanten-Genehmigung erforderlich

  • Data Processing Agreements für alle Lieferanten mit personenbezogenen Daten vorhanden

  • Alle aktiven Lieferanten sind unabhängig zertifiziert (SOC 2 Type 2 oder ISO 27001)

  • Vendor-Bewertungen decken Verschlüsselung, Incident Response, Data Residency und Sub-Prozessoren ab

  • Vierteljährliche Vendor-Reviews mit dokumentierten Risiko-Bewertungen

  • Vendor-Offboarding umfasst verifizierte Datenlöschung und Rotation der Anmeldeinformationen

🚨 Reaktion auf Zwischenfälle

  • Dokumentierter Incident-Response-Plan mit Schweregrad-Klassifizierung und definierten Reaktionszeiten

  • Designated Incident Commander mit Eskalationspfad zum Top-Management

  • Personal ist verpflichtet, Sicherheitsereignisse umgehend zu melden

  • Beweissicherung und Ursachenuntersuchung für jeden Vorfall

  • Post-Incident-Review mit dokumentierten Korrekturmaßnahmen

  • DSGVO-konformes Meldungsverfahren bei Datenverletzungen mit vorbereiteten Vorlagen

📜 Governance

  • Formaler ISMS-Scope deckt alle Systeme, Personal und Daten ab

  • Statement of Applicability adressiert 93 ISO 27001:2022 Annex A Controls

  • Geführtes Risiko- und Anlagenregister mit Zuständigkeiten

  • Informationsklassifizierungsschema mit Zugriffskontrollen pro Stufe

  • Alle Policies sind versionskontrolliert und jährlich überprüft

  • Ausnahmen erfordern Genehmigung des Top-Managements

👤 Personensicherheit

  • Identitätsprüfung vor Systemzugriff ist erforderlich

  • Unterzeichnete Vertraulichkeitsvereinbarungen vor Zugriff auf Systeme

  • Security-Briefing am ersten Tag zu Policies, Datenschutz und Incident Reporting

  • Gerätesicherheit wird während des Onboardings überprüft

  • Jährliches Security Awareness Training ist erforderlich

  • Umfassendes Offboarding-Verfahren mit Management-Abzeichnung

📋 Business Kontinuität

  • Business Impact Analyse für alle kritischen Funktionen durchgeführt

  • Definierte Recovery Time und Recovery Point Objectives

  • Disaster Recovery Verfahren für alle Ausfallszenarien dokumentiert

  • Regelmäßige verschlüsselte Backups mit definierten Aufbewahrungsfristen

  • Wiederherstellungsverfahren regelmäßig getestet mit dokumentierten Ergebnissen

  • Kommunikationsverfahren für Service-Unterbrechungen definiert

🌍 Schutz der Privatssphäre & GDPR

  • Alle Kundendaten in der EU gehostet und verarbeitet

  • Verzeichnis von Verarbeitungstätigkeiten wird geführt

  • Datenverarbeitungsabkommen mit allen relevanten Vendoren vorhanden

  • Datenminimierung: nur für Service-Erbringung notwendige Daten werden verarbeitet

  • Aufsichtsbehörde identifiziert mit vorbereitetem Meldungsverfahren bei Verletzungen

  • Personal während des Onboardings und jährlich zum Datenschutz geschult

Knopf drücken führt zur Kontaktseite.
bottom of page