Vertrauen ist überprüfbar.
Diese Seite fasst die Sicherheits- und Compliance-Kontrollen der Plattform sowie die angestrebten Zertifizierungen zusammen. Technische Kontrollen lassen sich im Produkt konfigurieren; der Zertifizierungsstatus ist nachfolgend ausgewiesen.
Compliance und Zertifizierungen
Was aktiv, in Bearbeitung oder geplant ist.
Auditzeitraum und Prüfer stehen noch nicht fest.
Die Vorbereitung des ISMS befindet sich in Planung.
Ein AVV gemäß Art. 28 ist verfügbar; das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 wird intern geführt.
Relevant für die öffentliche Verwaltung in Deutschland.
Liegt außerhalb des aktuellen Branchenfokus; eine projektspezifische Bewertung ist auf Anfrage möglich.
Wir verarbeiten keine geschützten Gesundheitsdaten; der US-Gesundheitsmarkt gehört derzeit nicht zu unserem Fokus.
Auditberichte wie SOC 2 Type II stellen wir qualifizierten Interessenten unter einer Vertraulichkeitsvereinbarung bereit. Anfragen an security@vand.ai.
Technische Kontrollen
Direkt im Produkt umgesetzte Kontrollen.
TLS 1.3 schützt eingehende Verbindungen. PostgreSQL und Objektspeicher sind mit vom Hostinganbieter verwalteten Schlüsseln verschlüsselt. MCP-OAuth-Token und Zwei-Faktor-Geheimnisse werden zusätzlich auf Anwendungsebene verschlüsselt.
Die OIDC-Anmeldung unterstützt eine konfigurierbare Benutzerprüfung oder automatische Bereitstellung, eine Domain-Freigabeliste und eine Standardrolle pro Organisation.
Konfigurieren →TOTP ist pro Benutzer verfügbar und kann organisationsweit erzwungen werden. Wiederherstellungscodes können erzeugt werden; Sitzungen speichern die Zwei-Faktor-Prüfung.
Aktivieren →Sicherheitsrelevante Aktionen werden mit Akteur, IP-Adresse, User-Agent und Metadaten protokolliert. Exporte stehen als CSV oder JSONL für die SIEM-Übernahme bereit.
Auditprotokoll öffnen →Unterhaltungen und generierte Assets werden nach einem konfigurierbaren Zeitraum automatisch gelöscht. Für angeheftete, eingeschränkte oder rechtlich gesperrte Daten gelten die jeweiligen Ausnahmeregeln.
Richtlinien verwalten →Administratoren können einzelne Unterhaltungen sperren. Sie sind dann bis zum Ablauf der Sperre von Aufbewahrungsläufen und Benutzerlöschungen ausgenommen.
Konfigurierte personenbezogene Merkmale können entfernt werden, bevor Inhalte an globale Anbieter gehen; das Original bleibt im geschützten Workspace-Kontext.
Filter prüfen →Administratoren können Funktionen wie Chat, Bildgenerierung und Embeddings auf lokale, EU- oder globale Verarbeitung beschränken. Der Server prüft die Richtlinie bei jedem Modellaufruf.
Modellrichtlinien verwalten →DSGVO-Rechte als Selbstbedienung
Auskunft, Löschung und Übertragbarkeit ohne Supportanfrage, soweit verfügbar.
Benutzer können eine Aufstellung ihrer personenbezogenen Daten über ihre Workspaces hinweg anfordern oder herunterladen, ohne die Genehmigung eines Workspace-Eigentümers zu benötigen.
Meine Daten exportieren →Eigentümer können die Löschung eines Workspace mit einer siebentägigen Frist vormerken. Auf Anfrage löschen wir personenbezogene Daten unverzüglich, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Workspace-Daten verwalten →Eigentümer können Workspace-Daten einschließlich Unterhaltungen, Mitgliedern, generierten Assets und Auditinformationen in einem versionierten maschinenlesbaren Format exportieren.
Workspace exportieren →Unterauftragsverarbeiter und Datenstandort
Informationen zu Auftragsverarbeitern für die Datenräume Lokal, EU und Global.
Die gesonderte AVV-Übersicht dokumentiert alle Unterauftragsverarbeiter und den Datenraum, in dem sie eingesetzt werden dürfen.
AVV und Liste der Unterauftragsverarbeiter →Reaktion auf Vorfälle und Verfügbarkeit
Wie Vorfälle gemeldet und Servicelevel festgelegt werden.
Verletzungen des Schutzes personenbezogener Daten werden unverzüglich und, soweit Art. 33 DSGVO dies verlangt, innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet. Betroffene Workspaces werden informiert, soweit dies gesetzlich erforderlich ist.
Servicelevel richten sich nach dem gewählten Tarif und Vertrag. Historische Verfügbarkeitsdaten stellen wir auf Anfrage bereit.
Verantwortungsvolle Offenlegung
Vertrauliche Meldung von Sicherheitslücken.
Melden Sie Sicherheitslücken vertraulich an security@vand.ai. Ein PGP-Schlüssel ist auf Anfrage erhältlich. Wir bestätigen den Eingang innerhalb von zwei Geschäftstagen und priorisieren ausnutzbare Befunde.