Technische und organisatorische Maßnahmen (TOMs) zum Schutz Ihrer Daten. Alle Kontrollen werden regelmäßig überprüft und aktualisiert.
Verschlüsselung in Transit
TLS 1.3 für alle externen und internen Verbindungen. HSTS aktiviert.
Verschlüsselung at Rest
AES-256 Verschlüsselung für alle gespeicherten Daten (Datenbank, Object Storage, Backups).
Netzwerksegmentierung
Kubernetes-Cluster mit dedizierten Namespaces und Network Policies. Workloads sind voneinander isoliert.
Firewall & Netzwerkschutz
Eingeschränkter Netzwerkzugang. Nur erforderliche Ports sind geöffnet. Regelmäßige Überprüfung der Firewall-Regeln.
Automatische Backups
Tägliche automatische Datenbank-Backups mit Point-in-Time Recovery. Object Storage mit Versionierung.
Intrusion Detection
Überwachung verdächtiger Aktivitäten auf Infrastrukturebene. Automatische Alerts bei Anomalien.
Patch Management
Regelmäßige Updates der Infrastrukturkomponenten. Automatisierte Container-Image-Updates.
Logging & Monitoring
Zentralisierte Protokollierung aller Systemereignisse. Echtzeit-Monitoring mit Alerting.
DDoS-Schutz
Schutz vor Distributed-Denial-of-Service-Angriffen auf Netzwerk- und Anwendungsebene.
Container-Sicherheit
Minimale Base-Images. Keine Root-Container. Security Contexts in Kubernetes-Pods.
Secrets Management
Verschlüsselte Speicherung aller Zugangsdaten und API-Keys. SOPS-verschlüsselte Secrets in der Versionskontrolle.
Hochverfügbarkeit
Multi-Node Kubernetes-Cluster. Automatische Pod-Wiederherstellung bei Ausfällen. Ziel-Verfügbarkeit 99,5 %.
Multi-Tenant-Isolation
Strikte Datentrennung auf Datenbankebene. Jede Abfrage wird automatisch auf den jeweiligen Tenant gefiltert.
JWT-Authentifizierung
Token-basierte Authentifizierung mit Tenant-Scoping. Tokens haben begrenzte Gültigkeitsdauer.
Rollenbasierte Zugriffskontrolle
RBAC-System mit konfigurierbaren Rollen und Berechtigungen. Principle of Least Privilege.
SSH-Key-basierter Infrastrukturzugang
Kein Passwort-Login auf Servern. Ausschließlich SSH-Key-Authentifizierung für Administratoren.
Zugriffsentzug bei Offboarding
Sofortiger Entzug aller Zugriffsrechte bei Beendigung der Mitarbeit. Dokumentierter Offboarding-Prozess.
API-Schlüssel-Management
Sichere Generierung und Rotation von API-Schlüsseln. Keine Hardcoded Credentials.
Session-Management
Automatisches Session-Timeout. Sichere Session-Tokens mit HttpOnly und Secure Flags.
BFF-Proxy-Architektur
Tokens werden nie an den Browser exponiert. Backend-for-Frontend Proxy injiziert Authentifizierung serverseitig.
EU-Datenresidenz
Alle Anwendungsdaten werden ausschließlich in der EU (Deutschland) verarbeitet und gespeichert.
Datenminimierung
Es werden nur die für den jeweiligen Verarbeitungszweck erforderlichen Daten erhoben und verarbeitet.
Datenlöschung bei Vertragsende
30 Tage Exportfrist, danach vollständige Löschung aller Kundendaten. Backups innerhalb von 90 Tagen bereinigt.
Datenklassifizierung
Dokumentierte Richtlinien zur Klassifizierung personenbezogener und vertraulicher Daten.
Aufbewahrungsrichtlinien
Definierte Aufbewahrungsfristen für verschiedene Datenkategorien. Automatische Bereinigung.
KI Zero-Retention
Vertragliche Vereinbarungen mit KI-Anbietern: Keine Speicherung, kein Training mit Kundendaten.
Pseudonymisierung in Logs
Technische IDs statt Klarnamen in Protokollen. Keine direkt identifizierenden Daten in Fehlerberichten.
Recht auf Datenportabilität
Export aller Kundendaten in gängigen, maschinenlesbaren Formaten jederzeit möglich.
AV-Vertrag
Standardisierter Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO, automatisch Bestandteil der AGB.
Unterauftragnehmer-Transparenz
Öffentlich einsehbare Liste aller Unterauftragnehmer mit Vorabinformation bei Änderungen.
Vertraulichkeitsvereinbarungen
Alle Mitarbeiter und Auftragnehmer unterzeichnen Vertraulichkeitsvereinbarungen (NDAs).
Sicherheitsschulungen
Regelmäßige Datenschutz- und Sicherheitsschulungen für alle Mitarbeiter.
Incident-Response-Plan
Dokumentierter Plan mit definierten Eskalationsstufen. Meldung an Kunden innerhalb von 24 Stunden.
Disaster Recovery
Dokumentierte Wiederherstellungspläne. Regelmäßige Tests der Backup-Restore-Prozesse.
Änderungsmanagement
Code Reviews, automatisierte Tests und gestuftes Deployment (Staging → Production).
Sichere Entwicklung (SDLC)
Security by Design. Dependency Scanning. Automatisierte Sicherheitstests in der CI/CD-Pipeline.
Vendor Management
Sorgfältige Auswahl und regelmäßige Überprüfung aller Drittanbieter. Vertragliche Datenschutzverpflichtungen.
Dokumentation
Vollständige Dokumentation aller Verarbeitungstätigkeiten, Richtlinien und Verfahren.
Physische Sicherheit
Rechenzentren mit ISO 27001 Zertifizierung. Zutrittskontrollen, Videoüberwachung, Brandschutz.