Technische und organisatorische Maßnahmen (TOMs)

Die produktive Verarbeitung personenbezogener Daten findet ausschließlich in der EU statt:

• Anwendungsserver und PostgreSQL-Datenbank: Hetzner Online GmbH, Rechenzentrum Falkenstein/Nürnberg, Deutschland
• Speicherung hochgeladener Nachweisdokumente: AWS S3, EU-Region
• Keine produktive Datenverarbeitung außerhalb der EU. US-Subdienste (Resend für Transaktions-E-Mails, xAI für optionale KI-Vorausfüllung) verarbeiten nur die für ihre Funktion notwendigen Daten.

• Transportverschlüsselung: TLS für sämtliche Verbindungen zur Plattform (HTTPS)
• Verschlüsselung im Ruhezustand: AWS S3 Server-Side Encryption (AES256, explizit bei jedem Upload via PutObject gesetzt); PostgreSQL-Daten auf der Hetzner-Infrastruktur
• Zugangsdaten und API-Schlüssel werden über Server-Umgebungsvariablen verwaltet, nicht im Quellcode oder in Datenbanken gespeichert

Maßnahmen zur Sicherstellung der Vertraulichkeit:

• Zutrittskontrolle: Rechenzentren der eingesetzten Hoster (Hetzner, AWS) verfügen über ISO 27001-Zertifizierungen
• Authentifizierung: ausschließlich über Google OAuth 2.0; keine Speicherung von Passwörtern auf der Plattform. MFA für Nutzer wird über deren Google-Konto bereitgestellt
• Rollenbasierte Berechtigungen: Admin, Reviewer, Member; Trennung in der Anwendungsschicht über tRPC-Middleware
• Mandantentrennung: jede datentragende Abfrage filtert auf der Datenbankebene über die Company-ID des angemeldeten Nutzers; keine gemeinsamen Datenpools zwischen Kunden
• Keine Klartext-Passwörter auf der Plattform - Authentifizierung erfolgt ausschließlich über OAuth

• Eingabekontrolle: Audit-Trail aller Mutationen mit Benutzer-ID, Aktion, Entitätstyp, Zeitstempel, IP-Adresse, User-Agent sowie Vorher-/Nachher-Werten
• Manipulationserkennung im Audit-Trail: jede Audit-Zeile trägt eine SHA-256-Prüfsumme über ihren Inhalt, sodass nachträgliche Änderungen einer Zeile erkennbar sind
• Weitergabekontrolle: Datenübertragung ausschließlich über TLS; alle authentifizierten Endpunkte erfordern eine gültige Session
• Nachweisdokumente: Speicherort und Metadaten werden bei Upload festgeschrieben; ein Datei-Hash kann optional vom Client mitgesendet und gespeichert werden
• Sign-Off-Mechanismus: zum Zeitpunkt einer Freigabe wird der Zustand der Anforderung in eine Sign-Off-Historie geschrieben, deren Einträge eine SHA-256-Kette bilden (jede Zeile schließt die Prüfsumme der Vorgängerzeile ein) - Manipulationen am Verlauf werden Ende-zu-Ende erkannt

• Datenbank-Backups gemäß den Voreinstellungen des Hetzner-Cloud-Dienstes; auf Anfrage stellen wir Details zur aktuellen Backup-Konfiguration bereit
• Speicherung von Nachweisdokumenten in AWS S3 mit der von AWS bereitgestellten Objekt-Haltbarkeit
• Rate-Limiting auf Login-Versuchen, öffentlichen Endpunkten (Anwendbarkeitsprüfung, Lieferantenportal) sowie ressourcenintensiven authentifizierten Endpunkten (PDF-Exports, Zertifikat-Generierung)
• Hochgeladene Dateien sind auf 50 MB pro Datei begrenzt

• Diese TOMs werden anlassbezogen sowie mindestens jährlich überprüft und aktualisiert
• Aktualisierung von Abhängigkeiten und sicherheitsrelevanten Bibliotheken: Dependabot ist aktiviert und stellt Sicherheits-Patches sowie Versions-Updates wöchentlich als Pull-Requests bereit
• Meldepflichten: Datenschutzverletzungen werden gemäß Art. 33 DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet
• Entwicklungspraxis: Codeänderungen laufen über Pull-Requests; TypeScript strict-mode wird durchgesetzt; automatisierte Tests bestehen für sicherheitskritische Logik (z. B. Anwendbarkeits-Klassifizierung)

Alle Unterauftragsverarbeiter sind durch Verträge gemäß Art. 28 DSGVO verpflichtet. Die vollständige Liste finden Sie im AVV-Dokument.

Zur Liste der Unterauftragsverarbeiter (AVV)

Anfragen zu diesen TOMs oder zur Datenverarbeitung richten Sie bitte an:

contact@nisd2.eu