Sicherheitsrichtlinie

Bei The Compliant Company ist Sicherheit grundlegend für alles, was wir tun. Als Compliance-Management-Plattform verstehen wir die Sensibilität der uns anvertrauten Daten.

Wir verpflichten uns, branchenführende Sicherheitspraktiken zum Schutz Ihrer Daten zu implementieren und aufrechtzuerhalten.

Sicherheitsübersicht

Datenstandort & Datensouveränität

Alle Kundendaten werden ausschließlich innerhalb der Europäischen Union gespeichert.

Unsere Datenbank wird in EU-Rechenzentren (Region Frankfurt) gehostet. Kundendaten verlassen nicht den EU-Rechtsraum.

Für etwaige notwendige Drittlandübermittlungen implementieren wir Standardvertragsklauseln (SCCs) 2021/914 mit ergänzenden Maßnahmen einschließlich Transfer Impact Assessments.

Alle Unterauftragsverarbeiter sind vertraglich verpflichtet, EU-Datenresidenz aufrechtzuerhalten oder angemessene Garantien bereitzustellen. Einzelheiten finden Sie in unserer Unterauftragsverarbeiterliste.

Datenverschlüsselung

Daten bei der Übertragung

Alle zwischen Ihrem Browser und unseren Servern übertragenen Daten werden mit TLS 1.3 und starken Cipher-Suites verschlüsselt. Wir erzwingen HTTPS für alle Verbindungen und verwenden HSTS-Header.

Gespeicherte Daten

Alle in unseren Datenbanken gespeicherten Kundendaten sind mit AES-256-Verschlüsselung geschützt. Datenbank-Backups sind ebenfalls verschlüsselt. Verschlüsselungsschlüssel werden über sichere Schlüsselverwaltungsdienste verwaltet.

Zugriffskontrolle

• Rollenbasierte Zugriffskontrolle (RBAC) für alle Plattformfunktionen
• Multi-Faktor-Authentifizierung (MFA) für alle Konten verfügbar
• Sitzungsverwaltung mit automatischem Timeout
• Audit-Protokollierung aller Zugriffe und Aktionen
• IP-Allowlisting für Enterprise-Pläne verfügbar

Authentifizierungssicherheit

Die Authentifizierung erfolgt über Clerk, eine SOC 2 Typ II-zertifizierte Identitätsmanagement-Plattform.

Sicherheitsfunktionen umfassen:

• Multi-Faktor-Authentifizierung (MFA) mit TOTP- und WebAuthn-Unterstützung
• Single Sign-On (SSO) mit SAML 2.0 für Enterprise-Pläne
• Sichere Sitzungsverwaltung mit konfigurierbaren Timeouts
• Brute-Force-Schutz und Erkennung verdächtiger Anmeldungen
• Passwortrichtlinien mit Komplexitätsanforderungen

Infrastruktursicherheit

Unsere Plattform wird auf der Enterprise-Infrastruktur von Vercel mit folgenden Sicherheitsmaßnahmen gehostet:

• SOC 2 Typ II-zertifizierte Rechenzentren
• DDoS-Schutz und WAF (Web Application Firewall)
• Automatische Sicherheitspatches und Updates
• Netzwerkisolierung und -segmentierung

Anwendungssicherheit

Sicherheit ist in unseren gesamten Entwicklungszyklus integriert:

• Secure Development Lifecycle (SDLC) mit Sicherheitsanforderungen in der Entwurfsphase
• Automatisierte Schwachstellenprüfung von Abhängigkeiten mit kontinuierlicher Überwachung
• Statische Codeanalyse integriert in die CI/CD-Pipeline
• Code-Review-Anforderungen für alle Änderungen, mit sicherheitsfokussierter Prüfung für sensible Komponenten
• Sicherheitstests als Teil der Deployment-Pipeline

Sicherheitstests

Wir führen Penetrationstests durch unabhängige Sicherheitsexperten durch. Der Testumfang umfasst Anwendungssicherheit, Infrastruktur und API-Endpunkte.

Penetrationstests werden jährlich und nach wesentlichen Architekturänderungen durchgeführt.

Identifizierte Schwachstellen werden nach Schweregrad behoben: Kritisch innerhalb von 24 Stunden, Hoch innerhalb von 7 Tagen, Mittel innerhalb von 30 Tagen.

Kontinuierliche automatisierte Schwachstellenscans überwachen unsere Infrastruktur und Abhängigkeiten.

Datensicherung & Wiederherstellung

Wir führen täglich automatische Backups durch. Backups werden an geografisch getrennten Standorten innerhalb der EU gespeichert und 30 Tage aufbewahrt.

Unsere Disaster-Recovery-Verfahren werden vierteljährlich getestet. Ziel-Wiederherstellungszeit (RTO) ist 4 Stunden, Ziel-Wiederherstellungspunkt (RPO) ist 24 Stunden.

Business-Continuity-Pläne gewährleisten die IKT-Bereitschaft für potenzielle Störungen gemäß NIS-2-Anforderungen.

Incident Response

Wir unterhalten einen dokumentierten Incident-Response-Plan, der regelmäßig getestet und aktualisiert wird. Unser Sicherheitsteam ist geschult, um auf Sicherheitsvorfälle schnell zu reagieren.

Meldefristen bei Vorfällen

Bei Verletzungen des Schutzes personenbezogener Daten benachrichtigen wir zusätzlich die zuständige Datenschutzbehörde innerhalb von 72 Stunden gemäß DSGVO Artikel 33.

Mitarbeitersicherheit

• Hintergrundüberprüfungen für alle Mitarbeiter mit Zugang zu Kundendaten
• Verpflichtende Sicherheitsschulungen
• Vertraulichkeitsvereinbarungen und Datenhandhabungsrichtlinien
• Prinzip der minimalen Berechtigung für Systemzugriff

Sicherheit von Drittanbietern

Wir bewerten und überwachen die Sicherheit aller Drittanbieter:

Unterauftragsverarbeiter werden einer Sicherheitsbewertung unterzogen, einschließlich Prüfung von Zertifizierungen (SOC 2, ISO 27001), Datenverarbeitungspraktiken und vertraglichen Garantien.

Wir überwachen kontinuierlich die Compliance und Sicherheitslage der Unterauftragsverarbeiter.

Unsere vollständige Unterauftragsverarbeiterliste mit Sicherheitszertifizierungen für jeden Anbieter finden Sie hier.

Compliance & Zertifizierungen

Wir halten relevante Sicherheitsstandards und Vorschriften ein:

Aktuelle Compliance

• DSGVO-konforme Datenverarbeitung mit Auftragsverarbeitungsvertrag (AVV)
• NIS-2-Richtlinien-Compliance einschließlich Meldepflichten bei Vorfällen (NIS2UmsG)

In Bearbeitung

• SOC 2 Typ II-Prüfung (Ziel: Q4 2026)

Geplante Zertifizierungen

• ISO 27001:2022-Zertifizierung (Evaluierung: 2027)
• BSI C5-Testat (in Prüfung für Enterprise-Kunden)

Zertifizierungszeiträume sind Schätzungen und können sich ändern. Kontaktieren Sie uns für den aktuellen Status.

Offenlegung von Schwachstellen

Wir begrüßen die verantwortungsvolle Offenlegung von Sicherheitslücken. Wenn Sie ein Sicherheitsproblem entdecken, melden Sie es uns bitte.

Bitte veröffentlichen Sie die Schwachstelle nicht, bevor wir sie beheben konnten. Wir verpflichten uns, Meldungen innerhalb von 48 Stunden zu bestätigen und über unseren Fortschritt zu informieren.

Für Sicherheitsforscher ist unsere security.txt-Datei unter /.well-known/security.txt gemäß RFC 9116 verfügbar.