Wir bauen unsere Plattform auf einer sicherheitsorientierten Grundlage auf, die mit global anerkannten Standards übereinstimmt: SOC 2 Typ II*, ISO 27001*und Einhaltung von DSGVO sowie der sich entwickelnden EU-KI-Governance -Landschaft. Von Anfang an entwickeln, gestalten und betreiben wir mit den Kontrollen, Dokumentationen und Governance, die diese Frameworks erfordern—damit wir bei formalen Audits bereits auf diesem Niveau arbeiten.
* Wir entwickeln aktiv unser ISMS und unsere Kontrollumgebung, um diese Zertifizierungen zu erreichen. Formale Audits und Zertifizierungen folgen, sobald die erforderlichen Nachweiszeiträume abgeschlossen sind.
SOC 2 Typ II* – Trust Services Criteria in der Praxis
Wir implementieren Kontrollen, die den AICPA Trust Services Criteria zugeordnet sind—Sicherheit (gemeinsame Kriterien), Verfügbarkeit und Vertraulichkeit. Typ-II-Bereitschaft bedeutet, dass unsere Kontrollen nicht nur entworfen, sondern über einen längeren Zeitraum mit Nachweisen, Protokollen und kontinuierlicher Überwachung betrieben werden.
Schlüsselkontrollen:
Zugriff mit geringsten Rechten und rollenbasierte Berechtigungen (RBAC)
Multi-Faktor-Authentifizierung und SSO-Durchsetzung
Netzwerksegmentierung und gehärtete Baselines
Sicherer Softwareentwicklungslebenszyklus (SSDLC)
Kontinuierliche Protokollierung, Überwachung und Alarmierung
Backup, Notfallwiederherstellung und Verfügbarkeitstests
Anbieter-Due-Diligence und Risikomanagement
Kundenvorteile:
Betriebliche Resilienz und zuverlässige Betriebszeit
Unabhängige, auditbereite Nachweiskette
Reduziertes Drittanbieterrisiko und schnellere Sicherheitsprüfungen
Vertrauen, dass Kontrollen über die Zeit überwacht werden
ISO 27001* – Informationssicherheits-Managementsystem (ISMS)
Unser ISMS definiert Governance, Risikomanagement und Kontrollen über Menschen, Prozesse und Technologie. Wir führen ein lebendiges Statement of Applicability (SoA), ein Risikoregister und Richtlinien, die den Tagesbetrieb und kontinuierliche Verbesserung leiten.
ISMS-Säulen:
Vermögensverwaltung und Datenklassifizierung
Sichere Entwicklung und Änderungsmanagement
Schwachstellenmanagement und Patch-Rhythmus
Anbietersicherheit und DPIA/SCC-Prüfung, wo zutreffend
Geschäftskontinuität und Notfallwiederherstellung
Sicherheitsbewusstsein und rollenbasierte Schulungen
Integrierte Absicherung:
Richtliniengetriebene Kontrollen mit Eigentümerschaft und Prüfungsrhythmus
Risikobasierte Kontrollauswahl und Behandlungspläne
Interne Audits und Metriken für kontinuierliche Verbesserung
Auditbereite Dokumentation und Nachweisverwaltung
DSGVO & EU-KI-Governance – Datenschutz und verantwortungsvolle KI von Anfang an
Wir integrieren Datenschutz und verantwortungsvolle KI in unseren Produktlebenszyklus. Unsere Datenpraktiken wahren Rechtmäßigkeit, Fairness, Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht.
Datenschutzprogramm:
Privacy by Design und Standardeinstellungen
Datenverarbeitungsvereinbarungen (DPAs) mit Unterauftragsverarbeitern
Workflows für Betroffenenrechte (Zugriff, Löschung, Export)
Mechanismen für grenzüberschreitende Übertragungen (z. B. SCCs) bei Bedarf
Verzeichnis der Verarbeitungstätigkeiten (RoPA) und DPIAs für Hochrisiko-Nutzung
Verantwortungsvolle KI-Praktiken:
Modell- und Datensatzdokumentation (Karten, Herkunft, Versionierung)
Bewertung auf Voreingenommenheit, Sicherheit und Robustheit
Human-in-the-Loop-Sicherheitsvorkehrungen für sensible Entscheidungen
Vorfall- und Modell-Rollback-Verfahren
Plattform-Sicherheitskontrollen
Datenschutz:
Verschlüsselung während der Übertragung (TLS 1.2+) und im Ruhezustand
Schlüsselverwaltung mit Rotation und eingeschränktem Zugriff
Umgebungssegregation (Prod/Stage/Dev)
Geheimnisverwaltung und Zero-Trust-Prinzipien
Betrieb & Überwachung:
Zentralisierte Protokollierung mit unveränderlicher Aufbewahrung
Sicherheitsereignisüberwachung und Alarm-Triage
Regelmäßige Penetrationstests und Code-Reviews
Automatisierte Abhängigkeits- und Container-Scans
Drittanbieterrisiko & Unterauftragsverarbeiter
Wir führen eine geprüfte Liste von Unterauftragsverarbeitern und kritischen Anbietern. Sicherheits- und Datenschutzanforderungen werden vertraglich durchgesetzt, und wir prüfen Bescheinigungen (z. B. SOC 2, ISO 27001) und führen Risikobewertungen vor der Onboarding und in regelmäßigen Abständen danach durch.
Häufig gestellte Fragen
Sind Sie heute zertifiziert?
Wir arbeiten nach den Standards, die für SOC 2 Typ II und ISO 27001 erforderlich sind, und bauen derzeit Audit-Nachweise auf. Die formale Zertifizierung wird bekannt gegeben, sobald die Audits abgeschlossen sind.
Können wir Ihre Richtlinien und Nachweise überprüfen?
Ja. Unter NDA können wir Richtliniendokumente, Kontrollzuordnungen und ausgewählte Nachweise bereitstellen, die für Ihre Überprüfung relevant sind.
Unterzeichnen Sie Datenverarbeitungsvereinbarungen (DPAs)?
Absolut. Unsere Standard-DPA spiegelt DSGVO-Verpflichtungen wider, einschließlich Transparenz bei Unterauftragsverarbeitern und Unterstützung für Betroffenenrechte.
Bereit, sicher zu entwickeln?
Erfahren Sie, wie unser sicherheitsorientierter Ansatz und auditbereite Kontrollen Ihnen helfen können, Ihre eigenen Compliance-Anforderungen schneller zu erfüllen.
