Zurück|

Sicherheit & TOM

Art. 32 DSGVO

Sicherheit bei Sellio

Technisch-Organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO. Der Schutz Ihrer Daten hat für uns höchste Priorität.

AES-256 Verschlüsselung
ISO 27001 Rechenzentren
DSGVO-konform
24/7 Monitoring

Zertifizierungen & Compliance

ISO 27001

Rechenzentrum-Zertifizierung

Aktiv

SOC 2 Type II

Supabase Hosting

Aktiv

PCI DSS Level 1

Stripe Zahlungsabwicklung

Aktiv

DSGVO

EU-Datenschutz-Grundverordnung

Konform

TTDSG

Telekommunikation-Telemedien-Datenschutz

Konform

Technisch-Organisatorische Maßnahmen

Gemäß Art. 32 DSGVO haben wir geeignete technische und organisatorische Maßnahmen implementiert, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

1. Zutrittskontrolle

Maßnahmen zur Verhinderung des Zutritts Unbefugter zu Datenverarbeitungsanlagen

Hochsicherheits-Rechenzentren mit 24/7 Bewachung
Biometrische Zugangskontrollen (Fingerabdruck, Retina-Scan)
Schleusen und Sicherheitsschlösser
Videoüberwachung aller sensiblen Bereiche
Besucherregelung mit Protokollierung
Automatische Alarmsysteme

2. Zugangskontrolle

Maßnahmen zur Verhinderung der Nutzung von Datenverarbeitungssystemen durch Unbefugte

Starke Passwort-Policy (min. 12 Zeichen, Komplexität)
Zwei-Faktor-Authentifizierung (2FA) für alle Accounts
Automatische Account-Sperrung nach 5 Fehlversuchen
Session-Timeout nach 30 Minuten Inaktivität
Single Sign-On (SSO) für Enterprise
IP-Whitelisting für Admin-Bereiche
VPN-Pflicht für Remote-Zugriff auf Produktionssysteme

3. Zugriffskontrolle

Maßnahmen zur Sicherstellung, dass Berechtigte nur auf die ihnen zugewiesenen Daten zugreifen

Rollenbasiertes Zugriffsmodell (RBAC)
Principle of Least Privilege (minimale Berechtigungen)
Segregation of Duties (Funktionstrennung)
Regelmäßige Zugriffsrechte-Reviews (quartalsweise)
Row Level Security (RLS) auf Datenbankebene
Vollständige Audit-Logs aller Zugriffe
Automatische Berechtigungsentzüge bei Rollenänderungen

4. Weitergabekontrolle

Maßnahmen zur Sicherstellung der Vertraulichkeit bei elektronischer Übertragung

TLS 1.3 für alle Datenübertragungen
Ende-zu-Ende-Verschlüsselung für sensible Daten
VPN-Tunnel für Backend-Kommunikation
Zertifikats-Pinning für mobile Apps
Keine unverschlüsselte Datenübertragung
Sichere API-Kommunikation mit HMAC-Signaturen

5. Eingabekontrolle

Maßnahmen zur Gewährleistung der Nachprüfbarkeit von Dateneingaben

Vollständiges Audit-Logging aller Änderungen
User-ID und Zeitstempel bei jeder Transaktion
Unveränderliche Audit-Trails
Versionierung aller Datenänderungen
Protokollierung von Login-Versuchen
Automatische Anomalie-Erkennung
Log-Retention: 1 Jahr

6. Auftragskontrolle

Maßnahmen bei Auftragsverarbeitung durch Dritte

Sorgfältige Auswahl von Auftragsverarbeitern
Auftragsverarbeitungsverträge (AV-Verträge) nach Art. 28 DSGVO
Regelmäßige Überprüfung der Unterauftragsverarbeiter
Dokumentation aller Unterauftragsverarbeiter
Weisungsgebundenheit aller Dienstleister
Recht auf Audits und Kontrollen

7. Verfügbarkeitskontrolle

Maßnahmen zum Schutz gegen zufällige oder mutwillige Zerstörung oder Verlust

Redundante Serverlandschaft (Multi-AZ)
Automatische Backups alle 6 Stunden
Point-in-Time Recovery bis zu 30 Tage
Geografisch verteilte Backup-Speicherung
Disaster Recovery Plan mit RTO < 4h, RPO < 1h
Regelmäßige Restore-Tests (monatlich)
USV und Notstromaggregate im Rechenzentrum
DDoS-Schutz (Cloudflare Enterprise)

8. Trennungskontrolle

Maßnahmen zur getrennten Verarbeitung für unterschiedliche Zwecke

Strikte Mandantentrennung auf Datenbankebene
Separate Datenbanken für Produktion/Staging/Test
Logische Trennung durch Tenant-IDs
Getrennte Verschlüsselungsschlüssel pro Mandant
Keine Vermischung von Kundendaten
Separate Umgebungen für Entwicklung und Produktion

Verschlüsselung

Alle sensiblen Daten werden mit modernsten Verschlüsselungsmethoden geschützt.

DatentypVerschlüsselungAnwendungsbereich
Daten in Ruhe (at rest)AES-256-GCMDatenbank, Backups, Storage
Daten in TransitTLS 1.3 / HTTPSAlle API-Kommunikation
Passwörterbcrypt (cost 12)Benutzer-Authentifizierung
API-KeysSHA-256 + SaltIntegrations-Credentials
ZahlungsdatenTokenisierung (Stripe)Zahlungsabwicklung
SessionsJWT (RS256)Authentifizierungstoken

Infrastruktur

Hosting

  • Supabase (PostgreSQL) - EU Frankfurt
  • Vercel Edge Network - Global CDN
  • ISO 27001 zertifizierte Rechenzentren

Backups

  • Automatisch alle 6 Stunden
  • Point-in-Time Recovery (30 Tage)
  • Georedundante Speicherung

Hochverfügbarkeit

  • 99.5% Uptime SLA
  • Auto-Scaling bei Lastspitzen
  • DDoS-Schutz (Cloudflare)

Monitoring & Incident Response

24/7 Überwachung aller Systeme mit automatischer Anomalie-Erkennung und definierten Reaktionsprozessen.

Überwachung

Real-time Performance Monitoring
Automatische Anomalie-Erkennung
Security Information Event Management (SIEM)
Intrusion Detection System (IDS)
Log-Aggregation und -Analyse
Uptime-Monitoring mit Alerting

Incident Response Plan

< 15 Min

1. Erkennung

Automatische Anomalie-Erkennung, Alerting

< 1 Std

2. Analyse

Incident Response Team analysiert Umfang

< 2 Std

3. Eindämmung

Isolation betroffener Systeme

< 24 Std

4. Behebung

Beseitigung der Schwachstelle

< 72 Std

5. Benachrichtigung

Information Betroffener (Art. 33/34 DSGVO)

< 7 Tage

6. Post-Mortem

Analyse, Lessons Learned, Maßnahmenplan

Sicherheitspraktiken

Entwicklung

  • Secure Software Development Lifecycle (SSDLC)
  • Code Reviews für alle Änderungen (4-Augen-Prinzip)
  • Automatisierte Security-Tests (SAST/DAST)
  • Dependency Scanning (Dependabot, Snyk)
  • Input-Validierung und Output-Encoding

Mitarbeiter

  • Background Checks bei Einstellung
  • Vertraulichkeitsvereinbarungen (NDA)
  • Regelmäßige Sicherheitsschulungen
  • Security Awareness Training
  • Principle of Need-to-Know

Penetration Tests

  • Jährliche externe Penetration Tests
  • Quartalsweise Vulnerability Scans
  • Bug Bounty Programm
  • Red Team Exercises

Compliance

  • DSGVO-konforme Datenverarbeitung
  • Datenschutz-Folgenabschätzung (DSFA)
  • Verzeichnis von Verarbeitungstätigkeiten
  • Regelmäßige Compliance-Audits

Datenstandorte

Primäre Datenspeicherung

🇩🇪

Frankfurt am Main, Deutschland

Supabase PostgreSQL, Backups

🇳🇱

Amsterdam, Niederlande

Edge Network, CDN

Auftragsverarbeiter (USA)

Einige Dienste werden in den USA gehostet. Die Übermittlung erfolgt auf Basis von:

  • EU-US Data Privacy Framework
  • EU-Standardvertragsklauseln (SCCs)
  • Transfer Impact Assessments (TIA)

Sicherheitslücke melden

Sie haben eine Sicherheitslücke entdeckt? Bitte melden Sie diese verantwortungsvoll an unser Security-Team. Wir behandeln Ihre Meldung vertraulich.

Responsible Disclosure Policy

  • • Melden Sie Sicherheitslücken bitte zuerst an uns
  • • Geben Sie uns mindestens 90 Tage Zeit zur Behebung
  • • Veröffentlichen Sie keine Details vor der Behebung
  • • Wir werden Sie über den Fortschritt informieren
security@sellio.de

PGP-Key auf Anfrage verfügbar

Hinweis: Illegale Aktivitäten wie unbefugtes Eindringen in Systeme, DoS-Angriffe oder Datendiebstahl sind von unserem Bug Bounty Programm ausgeschlossen und werden strafrechtlich verfolgt.

Stand: Januar 2025 | TOM Version 2.0

DatenschutzAV-VertragImpressum