Sicherheit & Vertrauen

Hosting & Zertifizierungen

Gesamte Infrastruktur auf Google Cloud Platform (GCP). Rechenzentren nach ISO 27001 und SOC 2 Type II zertifiziert (biometrische Zugangskontrollen, Videoüberwachung, Sicherheitspersonal, mehrstufige Perimetersicherung).

Datenstandort EU

Betrieb in europe-west9 (Paris) und europe-west3 (Frankfurt). Kundendaten und Recherche-Daten verbleiben in der EU.

Verschlüsselung

Transport: TLS 1.2+/1.3. Ruhend: AES-256 auf GCP-Ebene. Secrets und API-Keys im GCP Secret Manager.

Zugriffs- und Mandantentrennung

Strikte Mandantentrennung zwischen Organisationen. Rollenbasierter Zugriff (RBAC). Administrator-Zugriffe auf Produktionssysteme mit Zwei-Faktor-Authentifizierung und Protokollierung.

Backups & Disaster Recovery

Tägliche Firestore-Backups, GCS-Versionierung, tägliche Qdrant-Backups (cloud-nativ). Notfallplan dokumentiert.

Monitoring & Schutz

DDoS-Schutz und Anomalie-Erkennung über Google Cloud Armor (Adaptive Protection, WAF/OWASP CRS v3.3). Strukturiertes Logging mit Trace-IDs, zentrales Monitoring über Cloud Logging/Cloud Monitoring.

Auftragsverarbeitung (Art. 28 DSGVO)

Auftragsverarbeitungsbedingungen sind Teil der Nutzungsbedingungen (2. Teil: AVB). TOMs als Anhang 2, Unterauftragnehmer in Anhang 3.

Unterauftragnehmer

Alle Unterauftragnehmer mit Sitz oder Verarbeitung in der EU. Übersicht (vollständig in Anhang 3 der Nutzungsbedingungen):

• Google Cloud EMEA Ltd. — Hosting (GCP europe-west9 Paris, europe-west3 Frankfurt)
• Stripe — Zahlungsabwicklung
• sevdesk — Belegarchiv & Buchhaltung
• Weitere siehe Anhang 3 der Nutzungsbedingungen

Sicherheitsvorfall melden

Vermutete Sicherheitsvorfälle bitte an security@conformi.eu melden. Datenschutzanfragen an datenschutz@conformi.eu.