Anmelden Registrieren

Cookies verwalten

Wir verwenden Cookies, um die Seitennavigation zu verbessern, die Nutzung zu analysieren und unsere Marketingaktivitäten zu unterstützen. Sie können diese Cookies akzeptieren oder ablehnen.

Datenschutz

Technische und organisatorische Maßnahmen (TOMs)

Zuletzt aktualisiert: 2025-10-15 • Verantwortlich: ex-nihilo GmbH

Diese TOMs sind Bestandteil des Auftragsverarbeitungsvertrags und werden jährlich überprüft.

Auf einen Blick

  • EU-Hosting mit TLS 1.3 und AES-256-Verschlüsselung at Rest.
  • Rollenbasierte Zugriffssteuerung, Vier-Augen-Prinzip für Produktivzugriffe.
  • CI/CD mit automatischen Tests, statischer Analyse und Infrastructure-as-Code.
  • Observability über SigNoz, Alarmierung bei Fehlern und Anomalien.
  • Verschlüsselte Backups täglich, Aufbewahrung max. 30 Tage, Disaster-Recovery-Plan getestet.

1. Organisation und Governance

  • Informationssicherheitsrichtlinie mit jährlicher Review.
  • Security-Champion-Programm im Engineering-Team.
  • Pflichtschulungen zu Datenschutz, Phishing und sicheren Coding-Praktiken.

2. Zugriffskontrolle

  • Least-Privilege-Ansatz, rollenbasierte Zugriffsmodelle (RBAC).
  • Multi-Faktor-Authentifizierung für Admin- und Cloud-Zugänge.
  • Jedes Produktivsystem hat Break-Glass-Mechanismen mit Protokollierung.

3. Verschlüsselung und Schlüsselmanagement

  • TLS 1.3 für Daten in Transit, HSTS und strenge Ciphers.
  • AES-256-verschlüsselte Volumes für Datenbanken, Object Storage und Backups.
  • Secrets Management via HashiCorp Vault-kompatibler Lösung (KMS-integriert), regelmäßige Rotation.

4. Applikationssicherheit / SDLC

  • Code-Reviews im Vier-Augen-Prinzip, automatisierte Tests (Unit, Integration, E2E).
  • Static Application Security Testing (SAST) & Dependency Scans (SCA) in CI.
  • Infrastructure-as-Code (Terraform/Ansible) mit Pull-Request-Workflows.

5. Infrastruktur & Netzwerk

  • Containergestützte Deployments (Docker/Dokploy) mit minimalen Images.
  • Segmentierung von Produktions- und Staging-Umgebungen; getrennte Secrets.
  • Firewall-Regeln und Security-Groups nach dem Prinzip „deny by default".

6. Monitoring & Logging

  • Prometheus-Metriken und OpenTelemetry-Traces mit Alerting (PagerDuty/Signal).
  • Loguru-basierte strukturierte Logs mit zentralem Log-Storage (SigNoz).
  • Alarmierung bei Authentifizierungsfehlern, Rate-Limit-Verstößen, Anomalien.

7. Backup & Disaster Recovery

  • Tägliche Backups (Datenbank, Blobs) in separater Region; Verschlüsselung.
  • Retention: max. 30 Tage; regelmäßige Restore-Tests (mindestens quartalsweise).
  • Runbooks für Notfallszenarien, inklusive Kommunikationsplan.

8. Incident Response

  • Incident-Playbooks mit Schweregraden, Eskalationsketten und Kommunikationsrichtlinien.
  • Security-Breach-Benachrichtigung spätestens binnen 48 Stunden (vgl. AVV).
  • Post-Incident-Reviews inklusive Root-Cause-Analyse und Maßnahmenverfolgung.

9. Business Continuity

  • BCP mit klaren Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO).
  • Regelmäßige Tabletop-Übungen für kritische Szenarien (Datenverlust, Ausfall Hosting).