Sicherheit & Datenschutz
Sicherheit & Datenschutz bei CompliantDesk
Wie wir mit Ihren Compliance-Daten umgehen - technisch, organisatorisch und rechtlich.
Sektion 1
Infrastruktur & Hosting
- Alle Daten in Deutschland / EU
- Azure Frankfurt (Germany West Central)
- Supabase Frankfurt
- Vercel Frankfurt (fra1)
- Azure OpenAI Frankfurt - kein US-Transfer
- ISO 27001-konforme Rechenzentren
- Keine Datenweitergabe an Dritte außer dokumentierten Subprozessoren
Sektion 2
Technische Sicherheit
- Verschlüsselung in der Übertragung (TLS 1.3, HSTS)
- AES-256-GCM Verschlüsselung at rest
- Strikte Mandantentrennung per Row Level SecurityDatenbankseitige Isolation nach dem Prinzip deny-by-default - ohne passende Berechtigung kein Zugriff auf Daten anderer Organisationen.
- Rollenbasierte Zugriffskontrolle (RBAC)
- 2-Faktor-Authentifizierung
- Tokens nur als SHA-256-Hash gespeichertMagic-Links und Einmal-Token liegen niemals im Klartext in der Datenbank.
- Dateizugriff nur über kurzlebige signierte URLsUploads liegen in privaten Containern; der Abruf erfolgt ausschließlich über zeitlich begrenzte, signierte Links.
- Rate-Limiting & Brute-Force-SchutzAnmelde- und öffentliche Endpunkte sind gegen automatisierte Angriffe abgesichert.
- Sicherheits-HTTP-Header (X-Frame-Options DENY, nosniff, Referrer- und Permissions-Policy)
- Revisionssicherer Audit-Log
Sektion 3
Organisatorische Maßnahmen
- ISMS nach ISO 27001 im AufbauIQI-Eignungsbewertung läuft.
- Regelmäßige interne Audits
- Mitarbeiter-Awareness-Schulungen
- Incident-Response-Prozess dokumentiert
Sektion 4
Datenschutz & Compliance
- DSGVO-konforme Verarbeitung
- Auftragsverarbeitungsvertrag (AVV)
- Subprozessoren-Liste
- Datenschutzbeauftragter
Sektion 5
Für Ihre IT-Abteilung
Die Dokumente stellen wir Ihrer IT-Abteilung auf Anfrage zur Verfügung. Schreiben Sie uns an security@compliantdesk.de.