rankion.ai
🇩🇪 Deutsch 🇬🇧 English 🇫🇷 Français 🇪🇸 Español
Art. 32 DSGVO

Technisch-organisatorische Maßnahmen

Wie wir Daten technisch und organisatorisch schützen.

Technisch-organisatorische Maßnahmen (TOMs)

Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO. Die TOMs sind Bestandteil unseres DPA.

Vertraulichkeit

  • Zugangskontrolle: Server in Hetzner-Rechenzentrum (Deutschland) mit physischer Zutrittskontrolle, Mehr-Faktor-Authentifizierung der Mitarbeiter
  • Zugriffskontrolle: SSH-Zugriff nur über zertifikatsbasierte Authentifizierung (ED25519), keine Passwörter; Mitarbeiter-Datenbank-Zugriffe protokolliert
  • Trennungskontrolle: Mandantentrennung auf Datenbank-Ebene über Team-IDs, automatisches Scoping in allen Queries
  • Pseudonymisierung: wo möglich (z.B. analytics)

Integrität

  • Eingabekontrolle: Alle Datenmodifikationen werden auditiert (Laravel-Auditing-Trail)
  • Weitergabekontrolle: TLS 1.3 für alle Verbindungen, Public-Key-Pinning für API-Endpoints

Verfügbarkeit und Belastbarkeit

  • Verfügbarkeitskontrolle: Tägliche automatische Datenbank-Backups mit 30-Tage-Retention, Disaster-Recovery-Plan dokumentiert
  • Wiederherstellbarkeit: RTO < 4 Stunden, RPO < 24 Stunden
  • Lasttoleranz: Queue-Worker (Supervisor) mit Auto-Restart, OPcache-Reload bei Deploys

Verfahren zur regelmäßigen Überprüfung

  • Monatliche automatisierte Security-Audits via öffentlich dokumentierter Skill — Ergebnisse auf /trust/security-audits
  • Ad-hoc-Audits vor jedem Major-Deploy mit auth-touching-Code
  • Patch-Management: Critical-Severity-CVEs werden binnen 72 Stunden gepatcht, High binnen 7 Tagen
  • Penetrationstests: Externe Pen-Tests jährlich (geplant ab Q3 2026; Ergebnisse aggregiert auf /trust/security-audits)

Verschlüsselung

  • TLS 1.3 (HSTS, max-age ≥ 1 Jahr)
  • Datenbank-Verschlüsselung in Transit
  • Backups verschlüsselt (AES-256)
  • Passwort-Hashing: bcrypt (Cost ≥ 10), API-Tokens via Laravel Sanctum (SHA-256-gehashed)

Auftragskontrolle (Sub-Processors)

Auswahl der Sub-Processors erfolgt nach Sorgfaltsprüfung (DPA verfügbar, EU-Region oder valider Drittland-Schutz). Vollständige Liste auf /trust/sub-processors. Änderungen werden mit 14-tägiger Vorankündigung kommuniziert.

Mitarbeiter-Sensibilisierung

  • Verpflichtung auf Datengeheimnis bei Onboarding
  • Jährliche AI-Literacy- und Datenschutz-Schulung (siehe /trust/ai-literacy)
  • Incident-Response-Plan dokumentiert; Eskalationskette definiert

Dieses Dokument ist Bestandteil des DPA in Anhang 2. Stand: 03.05.2026. Wesentliche Änderungen werden Geschäftskunden mitgeteilt.

← Zurück zum Trust Center

Letzte Aktualisierung: 03.05.2026

Cookies: Wir nutzen notwendige Cookies für die Funktion und optionale für Verbesserungen. Details

Notwendig
Aktiv
Analytics
Marketing