TRUST CENTER
Sicherheit und Vertrauen. Transparent dokumentiert.
amenda verarbeitet sensible Unternehmens-, Projekt- und Personaldaten. Hier dokumentieren wir transparent, wie wir diese Daten schützen — von der Infrastruktur über die Verschlüsselung bis zur Compliance.
Verschlüsselung
- TLS 1.3 für alle Datenübertragungen
- AES-256 Verschlüsselung gespeicherter Daten (at rest)
- Verschlüsselte Datenbankverbindungen
- Keine Speicherung von Passwörtern im Klartext
Zugriffskontrolle
- Rollenbasierte Zugriffsrechte (RBAC) auf Modul- und Feldebene
- SAML 2.0 Single Sign-On (SSO)
- Multi-Faktor-Authentifizierung (MFA) über Identity Provider
- Prinzip der minimalen Berechtigung (Least Privilege)
- API-Schlüssel mit HMAC-Signatur und Ablaufdatum
Anwendungssicherheit
- OWASP Top 10 als Entwicklungsstandard
- Automatisierte Sicherheitsscans in der CI/CD-Pipeline
- Regelmäßige Dependency-Updates und Vulnerability-Scans
- Code Reviews für alle Änderungen
- Content Security Policy (CSP) und weitere HTTP-Sicherheitsheader
Monitoring & Incident Response
- Echtzeit-Monitoring aller Systeme
- Automatische Alarmierung bei Anomalien
- Dokumentierter Incident-Response-Prozess
- Sentry Error Tracking für schnelle Fehlererkennung
Hosting
- Hetzner Rechenzentrum in Nürnberg, Deutschland
- ISO 27001 zertifiziertes Rechenzentrum
- Kein US Cloud Act — ausschließlich deutsches Recht
- Redundante Stromversorgung und Netzwerkanbindung
Datensicherung
- Automatische tägliche Backups
- Point-in-Time Recovery — minutengenaue Wiederherstellung
- Backups auf getrennten Systemen an verschiedenen Standorten
- Regelmäßige Restore-Tests zur Überprüfung der Backup-Integrität
Verfügbarkeit
- Hochverfügbare Architektur mit automatischem Failover
- Regelmäßige Wartungsfenster nur außerhalb der Geschäftszeiten
- Statusseite für transparente Kommunikation bei Incidents
- CDN für statische Inhalte und schnelle Ladezeiten
KI-Infrastruktur
- Eigene Sprachmodelle auf eigenen Servern in Deutschland
- Keine externen KI-Dienste (kein OpenAI, Google, AWS)
- Dedizierte GPU-Infrastruktur für KI-Funktionen
- Vollständige Datenisolation zwischen Mandanten
DSGVO
- Vollständige DSGVO-Konformität
- Auftragsverarbeitungsvertrag (AVV) auf Anfrage verfügbar
- Technische und organisatorische Maßnahmen (TOM) dokumentiert
- Verzeichnis der Verarbeitungstätigkeiten geführt
- Datenschutzbeauftragter benannt
Audit & Nachvollziehbarkeit
- Audit Logs für alle sicherheitsrelevanten Aktionen
- Protokollierung von Logins, Berechtigungsänderungen und Datenexporten
- Versionierung von Datenmodelländerungen
- Nachvollziehbare Änderungshistorie pro Datensatz
Datenverarbeitung
- Verarbeitung ausschließlich in Deutschland
- Keine Weitergabe an Dritte ohne vertragliche Grundlage
- Datenlöschung auf Anfrage innerhalb gesetzlicher Fristen
- Datenexport in standardisierten Formaten (CSV, JSON) jederzeit möglich
SAML & SSO
- SAML 2.0 für Single Sign-On
- Direkte Integration mit Microsoft Entra ID (Azure AD)
- Automatische Benutzersynchronisation aus Entra ID-Gruppen
- Unterstützung weiterer Identity Provider (Okta, etc.)
Benutzerverwaltung
- Automatisches Onboarding/Offboarding über Identity Provider
- Gruppenbasierte Rollenzuweisung
- Einladungsbasierte Benutzerregistrierung
- Zentrale Verwaltung aller Benutzer und Berechtigungen
Authentifizierung
- Multi-Faktor-Authentifizierung (MFA) über Identity Provider
- Session-Management mit automatischem Timeout
- API-Authentifizierung über signierte Schlüssel
- Keine Speicherung von Passwörtern — delegiert an Identity Provider
Dokumente auf Anfrage
Folgende Dokumente stellen wir Ihnen im Rahmen einer Zusammenarbeit oder auf Anfrage zur Verfügung.
Auftragsverarbeitungsvertrag (AVV)
Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO
Technische & Organisatorische Maßnahmen (TOM)
Detaillierte Dokumentation aller Schutzmaßnahmen
Verarbeitungsverzeichnis
Verzeichnis aller Verarbeitungstätigkeiten
Fragen zu Sicherheit und Compliance?
Unser Team beantwortet gerne Ihre Fragen zu Datenschutz, Sicherheit und regulatorischen Anforderungen.