Vertrauen und Sicherheit · Zuletzt geprüft: 10. Mai 2026

Vertrauen ist überprüfbar.

Diese Seite fasst die Sicherheits- und Compliance-Kontrollen der Plattform sowie die angestrebten Zertifizierungen zusammen. Technische Kontrollen lassen sich im Produkt konfigurieren; der Zertifizierungsstatus ist nachfolgend ausgewiesen.

Compliance und Zertifizierungen

Was aktiv, in Bearbeitung oder geplant ist.

SOC 2 Type IIGeplant
AICPA TSC 2017

Auditzeitraum und Prüfer stehen noch nicht fest.

ISO/IEC 27001:2022Geplant
ISO/IEC 27001

Die Vorbereitung des ISMS befindet sich in Planung.

DSGVOAktiv
EU-Verordnung 2016/679

Ein AVV gemäß Art. 28 ist verfügbar; das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 wird intern geführt.

BSI C5 Typ 2Geplant
BSI Cloud Computing Compliance Criteria Catalogue

Relevant für die öffentliche Verwaltung in Deutschland.

TISAXNicht im Umfang
VDA ISA

Liegt außerhalb des aktuellen Branchenfokus; eine projektspezifische Bewertung ist auf Anfrage möglich.

HIPAA BAANicht im Umfang
US-amerikanische HIPAA-Sicherheits- und Datenschutzregeln

Wir verarbeiten keine geschützten Gesundheitsdaten; der US-Gesundheitsmarkt gehört derzeit nicht zu unserem Fokus.

Auditberichte wie SOC 2 Type II stellen wir qualifizierten Interessenten unter einer Vertraulichkeitsvereinbarung bereit. Anfragen an security@vand.ai.

Technische Kontrollen

Direkt im Produkt umgesetzte Kontrollen.

Verschlüsselung bei Übertragung und Speicherung

TLS 1.3 schützt eingehende Verbindungen. PostgreSQL und Objektspeicher sind mit vom Hostinganbieter verwalteten Schlüsseln verschlüsselt. MCP-OAuth-Token und Zwei-Faktor-Geheimnisse werden zusätzlich auf Anwendungsebene verschlüsselt.

Single Sign-on mit OIDC und Microsoft Entra

Die OIDC-Anmeldung unterstützt eine konfigurierbare Benutzerprüfung oder automatische Bereitstellung, eine Domain-Freigabeliste und eine Standardrolle pro Organisation.

Konfigurieren
TOTP-Zwei-Faktor-Authentifizierung

TOTP ist pro Benutzer verfügbar und kann organisationsweit erzwungen werden. Wiederherstellungscodes können erzeugt werden; Sitzungen speichern die Zwei-Faktor-Prüfung.

Aktivieren
Auditprotokoll und SIEM-Export

Sicherheitsrelevante Aktionen werden mit Akteur, IP-Adresse, User-Agent und Metadaten protokolliert. Exporte stehen als CSV oder JSONL für die SIEM-Übernahme bereit.

Auditprotokoll öffnen
Aufbewahrungsregeln pro Workspace

Unterhaltungen und generierte Assets werden nach einem konfigurierbaren Zeitraum automatisch gelöscht. Für angeheftete, eingeschränkte oder rechtlich gesperrte Daten gelten die jeweiligen Ausnahmeregeln.

Richtlinien verwalten
Rechtliche Sperre

Administratoren können einzelne Unterhaltungen sperren. Sie sind dann bis zum Ablauf der Sperre von Aufbewahrungsläufen und Benutzerlöschungen ausgenommen.

Filter für personenbezogene Daten bei globalen Modellen

Konfigurierte personenbezogene Merkmale können entfernt werden, bevor Inhalte an globale Anbieter gehen; das Original bleibt im geschützten Workspace-Kontext.

Filter prüfen
Funktionsbezogene Datenräume

Administratoren können Funktionen wie Chat, Bildgenerierung und Embeddings auf lokale, EU- oder globale Verarbeitung beschränken. Der Server prüft die Richtlinie bei jedem Modellaufruf.

Modellrichtlinien verwalten

DSGVO-Rechte als Selbstbedienung

Auskunft, Löschung und Übertragbarkeit ohne Supportanfrage, soweit verfügbar.

AuskunftsrechtGDPR Art. 15

Benutzer können eine Aufstellung ihrer personenbezogenen Daten über ihre Workspaces hinweg anfordern oder herunterladen, ohne die Genehmigung eines Workspace-Eigentümers zu benötigen.

Meine Daten exportieren
Recht auf LöschungGDPR Art. 17

Eigentümer können die Löschung eines Workspace mit einer siebentägigen Frist vormerken. Auf Anfrage löschen wir personenbezogene Daten unverzüglich, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Workspace-Daten verwalten
DatenübertragbarkeitGDPR Art. 20

Eigentümer können Workspace-Daten einschließlich Unterhaltungen, Mitgliedern, generierten Assets und Auditinformationen in einem versionierten maschinenlesbaren Format exportieren.

Workspace exportieren

Unterauftragsverarbeiter und Datenstandort

Informationen zu Auftragsverarbeitern für die Datenräume Lokal, EU und Global.

Die gesonderte AVV-Übersicht dokumentiert alle Unterauftragsverarbeiter und den Datenraum, in dem sie eingesetzt werden dürfen.

AVV und Liste der Unterauftragsverarbeiter

Reaktion auf Vorfälle und Verfügbarkeit

Wie Vorfälle gemeldet und Servicelevel festgelegt werden.

Sicherheitsvorfälle

Verletzungen des Schutzes personenbezogener Daten werden unverzüglich und, soweit Art. 33 DSGVO dies verlangt, innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet. Betroffene Workspaces werden informiert, soweit dies gesetzlich erforderlich ist.

Servicelevel

Servicelevel richten sich nach dem gewählten Tarif und Vertrag. Historische Verfügbarkeitsdaten stellen wir auf Anfrage bereit.

Verantwortungsvolle Offenlegung

Vertrauliche Meldung von Sicherheitslücken.

Sicherheitskontakt

Melden Sie Sicherheitslücken vertraulich an security@vand.ai. Ein PGP-Schlüssel ist auf Anfrage erhältlich. Wir bestätigen den Eingang innerhalb von zwei Geschäftstagen und priorisieren ausnutzbare Befunde.