Sicherheit & Datenschutz
Sicherheit & Datenschutz bei CompliantDesk
Wie wir mit Ihren Compliance-Daten umgehen - technisch, organisatorisch und rechtlich.
Sektion 1
Infrastruktur & Hosting
- Alle Daten in Deutschland / EU
- Azure Frankfurt (Germany West Central)
- Supabase Frankfurt
- Vercel Frankfurt (fra1)
- Azure OpenAI Frankfurt - kein US-Transfer
- ISO 27001-konforme Rechenzentren
- Keine Datenweitergabe an Dritte außer dokumentierten Subprozessoren
Sektion 2
Technische Sicherheit
- Verschlüsselung in der Übertragung (TLS 1.2/1.3, HSTS)
- AES-256-GCM Verschlüsselung at rest
- Strikte Mandantentrennung per Row Level SecurityDatenbankseitige Isolation nach dem Prinzip deny-by-default - ohne passende Berechtigung kein Zugriff auf Daten anderer Organisationen.
- Rollenbasierte Zugriffskontrolle (RBAC)
- 2-Faktor-Authentifizierung
- Tokens nur als SHA-256-Hash gespeichertMagic-Links und Einmal-Token liegen niemals im Klartext in der Datenbank.
- Dateizugriff nur über kurzlebige signierte URLsUploads liegen in privaten Containern; der Abruf erfolgt ausschließlich über zeitlich begrenzte, signierte Links.
- Rate-Limiting & Brute-Force-SchutzAnmelde- und öffentliche Endpunkte sind gegen automatisierte Angriffe abgesichert.
- Sicherheits-HTTP-Header (X-Frame-Options DENY, nosniff, Referrer- und Permissions-Policy)
- Audit-Log mit eingeschränkter Änderbarkeit
- Mehrstufiges Backup-Konzept
- Supabase Frankfurt: automatische tägliche Backups mit Point-in-Time Recovery (7-Tage-Retention)
- Zusätzliche Datenbank-Backups in Azure Blob Storage Frankfurt (Germany West Central), 90 Tage Aufbewahrung
- Redundante Speicherung bei zwei Anbietern in Deutschland (EU), kein Transfer in die USA
- Synchronisierte Systemzeit (NTP)Alle Server-Komponenten nutzen NTP-Synchronisation gegen Tier-1-Zeitquellen; Voraussetzung für lückenlose Audit-Log-Chronologie und forensische Auswertbarkeit.
- DDoS-Schutz & Web-Application-FirewallÜber das Vercel Edge Network vorgelagert; automatische Filterung verdächtiger Anfragen.
Sektion 3
Organisatorische Maßnahmen
- ISMS nach ISO 27001 im AufbauIQI-Eignungsbewertung läuft.
- Regelmäßige interne Audits
- Mitarbeiter-Awareness-Schulungen
- Incident-Response-Prozess dokumentiert
Sektion 4
Datenschutz & Compliance
- DSGVO-konforme Verarbeitung
- Auftragsverarbeitungsvertrag (AVV)
- Subprozessoren-Liste
- Datenschutzbeauftragter
Sektion 5
Für Ihre IT-Abteilung
Die Dokumente stellen wir Ihrer IT-Abteilung auf Anfrage zur Verfügung. Schreiben Sie uns an security@compliantdesk.de.
