Trust Center

Unternehmens-Sicherheit & Compliance bei Oronts

Enterprise-Sicherheit, umfassende Compliance und transparente Praktiken. Deine Daten und dein Business sind geschützt.

99.9%
Uptime SLA
Enterprise
Sicherheitsstandards
256-bit
AES-Verschlüsselung
24/7
Sicherheitsüberwachung
Sicherheitsfragebogen
Security

Sicherheit auf jeder Ebene

Mehrstufige Verteidigung mit mehreren Sicherheitskontrollen. Deine Daten sind geschützt.

Verschlüsselung

Ende-zu-Ende-Verschlüsselung für ruhende und übertragene Daten

  • AES-256-Verschlüsselung für ruhende Daten
  • TLS 1.3 für Datenübertragung
  • Hardware-Sicherheitsmodul (HSM) Schlüsselverwaltung
  • Client-seitige Verschlüsselungsoptionen

Identität & Zugang

Enterprise-Authentifizierung und Autorisierung

  • SAML 2.0 und OAuth 2.0 Support
  • Multi-Faktor-Authentifizierung (MFA)
  • Rollenbasierte Zugriffskontrolle (RBAC)
  • Single Sign-On (SSO) Integration
  • API-Key-Management

Audit & Monitoring

Umfassendes Logging und Echtzeit-Überwachung

  • Unveränderbare Audit-Logs
  • Echtzeit-Bedrohungserkennung
  • Aktivitäts-Monitoring-Dashboard
  • Compliance-Reporting
  • SIEM-Integration

Datenschutz

Deine Daten bleiben immer deine

  • Datenisolierung und Segmentierung
  • Automatische verschlüsselte Backups
  • Point-in-Time-Wiederherstellung
  • Datenaufbewahrungsrichtlinien
  • Recht auf Löschung (DSGVO Artikel 17)

Netzwerksicherheit

Mehrstufige Verteidigung mit mehreren Sicherheitsebenen

  • Web Application Firewall (WAF)
  • DDoS-Schutz
  • Private Netzwerkisolierung
  • Zero-Trust-Architektur
  • Regelmäßige Penetrationstests

DevSecOps

Sicherheit in jeder Entwicklungsphase integriert

  • Automatisierte Sicherheitsscans
  • Container-Schwachstellenscans
  • Dependency-Management
  • Security-First CI/CD-Pipelines
  • Code-Signierung und Verifizierung
Compliance

Sicherheit & Compliance-Praktiken

Wir folgen branchenüblichen Best Practices für Sicherheit und Compliance

Aktiv

Unternehmensschutz

Security-First-Entwicklungsansatz

Aktiv

DSGVO-Praktiken

EU-Datenschutz-Best-Practices

Aktiv

Sicherheit von Grund auf

Eingebaute Sicherheitsarchitektur

Aktiv

Datenschutz

Richtlinien zum Schutz von Kundendaten

Infrastructure

Globale Infrastruktur & Datenresidenz

Wähle, wo deine Daten gespeichert werden. Konforme Infrastruktur weltweit.

Region auswählen, um Details zu sehen

AI Ethics

Verantwortungsvolle KI-Prinzipien

Unser Engagement für ethische, transparente und vertrauenswürdige KI

Transparenz

Klare Dokumentation von KI-Fähigkeiten und Einschränkungen. Entscheidungsprozesse werden offengelegt.

Fairness

Regelmäßige Bias-Tests und Mitigationsstrategien für alle Modelle

Datenschutz

Datenminimierung und Zweckbindung bei KI-Training und -Inferenz

Verantwortlichkeit

Menschliche Aufsicht und klare Verantwortungsketten für KI-Entscheidungen

Sicherheit

Umfassende Tests, Red-Teaming und Leitplanken für alle KI-Systeme

Nachhaltigkeit

Optimierte Modelle und Green-Computing-Praktiken. Umweltauswirkungen werden minimiert.

Practices

Schutzmaßnahmen im Detail

Ein transparenter Blick auf die konkreten Schutzmaßnahmen, die wir in jedem Kundenprojekt umsetzen. Diese Kontrollen spiegeln unser Engagement wider, Kundendaten zu schützen, die Systemintegrität aufrechtzuerhalten und regulatorische Anforderungen zu erfüllen.

Verschlüsselungsstandards

Alle ruhenden Daten werden mit AES-256-Verschlüsselung geschützt – demselben Standard, den Finanzinstitute und Regierungsbehörden verwenden. Daten während der Übertragung nutzen TLS 1.3 mit Forward Secrecy, was verhindert, dass vergangene Kommunikation entschlüsselt wird, selbst wenn langfristige Schlüssel kompromittiert werden. Datenbankverbindungen verwenden SSL-Zertifikate mit automatischer Rotation im 90-Tage-Zyklus. Backup-Daten werden mit separaten Schlüsseln verschlüsselt, die in Hardware-Sicherheitsmodulen (HSMs) gespeichert sind, physisch isoliert von Produktionssystemen. Wir speichern Verschlüsselungsschlüssel niemals zusammen mit den geschützten Daten. Die Schlüsselverwaltung folgt dem Prinzip der Funktionstrennung, das mehrere autorisierte Personen für Schlüsselrotation und Wiederherstellungsvorgänge erfordert.

Zugriffskontrolle und Identitätsmanagement

Wir setzen das Prinzip der minimalen Rechte in allen Systemen durch. Jedes Teammitglied hat rollenbasierte Zugänge, die vierteljährlich von Projektleitern überprüft und vom Management bestätigt werden. Multi-Faktor-Authentifizierung (MFA) ist Pflicht für alle internen Tools, Cloud-Konsolen und Kundenumgebungen. Der Zugriff auf Produktionssysteme erfordert eine VPN-Verbindung und wird mit unveränderlichen Audit-Trails protokolliert. Beim Ausscheiden eines Teammitglieds oder Projektabschluss wird der Zugang innerhalb von 24 Stunden durch automatische Deprovisionierung entzogen. Wir unterstützen SAML 2.0 und OAuth 2.0 für Enterprise-Single-Sign-On-Integration (SSO).

Kontinuierliche Überwachung und Vorfallreaktion

Unsere Infrastruktur wird rund um die Uhr mit automatisierten Alarmsystemen überwacht, die anomales Verhalten, unbefugte Zugriffsversuche und Leistungseinbrüche erkennen. Wir pflegen einen formalen Vorfallreaktionsplan mit definierten Schwereestufen, Eskalationsverfahren und Kommunikationsvorlagen. Kritische Vorfälle lösen eine sofortige Reaktion mit einer Ziel-Behebungszeit von unter vier Stunden aus. Nachbesprechungen werden innerhalb von 48 Stunden durchgeführt und mit betroffenen Kunden geteilt. Unser Monitoring-Stack umfasst OpenTelemetry für verteiltes Tracing, Prometheus für Metrikerfassung und Grafana für die Visualisierung.

Datenverarbeitung und Datenschutz-Compliance

Oronts verarbeitet personenbezogene Daten in Übereinstimmung mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem California Consumer Privacy Act (CCPA). Auftragsverarbeitungsverträge (AVV) werden mit allen Kunden vor der Verarbeitung personenbezogener Daten abgeschlossen. Unsere Systeme unterstützen Auskunftsrechte, Recht auf Löschung, Datenportabilität und Einwilligungsverwaltung. Wir führen Verarbeitungsverzeichnisse und erstellen Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungsvorgänge. Datenminimierung ist ein zentrales Designprinzip: Wir erheben nur, was notwendig ist, und bewahren es nur so lange auf, wie erforderlich.

Sicherer Entwicklungszyklus

Schutzmaßnahmen sind in jede Phase unseres Entwicklungsprozesses integriert. Im Design führen wir Bedrohungsmodellierungen durch, um potenzielle Angriffsvektoren zu identifizieren. Während der Entwicklung laufen automatisierte statische Analysen (SAST) und Abhängigkeitsscans bei jedem Pull Request und blockieren Merges mit bekannten Schwachstellen. Vor dem Deployment validiert dynamisches Application Testing (DAST), dass die laufende Anwendung gängige Angriffe der OWASP Top 10 abwehrt. Code-Reviews erfordern mindestens einen Prüfer mit Fachexpertise, und alle Änderungen werden über Versionskontrolle mit signierten Commits nachverfolgt.

Infrastruktur- und Netzwerkschutz

Alle Kundenanwendungen werden in isolierten Virtual Private Clouds ohne gemeinsame Mandantenfähigkeit bereitgestellt. Der Netzwerkzugang wird durch Sicherheitsgruppen und Zugriffskontrolllisten (ACLs) mit Default-Deny-Policy gesteuert. Webanwendungen werden durch Web Application Firewalls (WAFs) mit anwendungsspezifischen Regelwerken geschützt. DDoS-Schutz ist am Edge über CDN-Provider aktiviert. Wir führen jährlich und nach jeder wesentlichen Infrastrukturänderung externe Penetrationstests durch. Container-Images werden vor dem Deployment auf Schwachstellen gescannt.

Geschäftskontinuität und Notfallwiederherstellung

Wir pflegen dokumentierte Disaster-Recovery-Runbooks für jedes Produktionssystem. Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs) werden in jedem Servicevertrag definiert und vierteljährlich durch Failover-Übungen getestet. Automatisierte Backups laufen nach konfigurierbaren Zeitplänen mit verschlüsselter Off-Site-Replikation. Blue-Green-Deployment-Strategien gewährleisten unterbrechungsfreie Releases und sofortige Rollback-Fähigkeit. Chaos-Engineering-Übungen helfen uns, Schwachstellen zu identifizieren, bevor sie echte Ausfälle verursachen.

Lieferanten- und Lieferkettenrisikomanagement

Wir führen ein aktuelles Verzeichnis aller Drittanbieter und Unterauftragsverarbeiter, die auf Kundendaten zugreifen können. Jeder Anbieter durchläuft vor dem Onboarding eine Risikobewertung seiner Datenschutzpraktiken, finanziellen Stabilität und Compliance-Haltung. Kunden werden 30 Tage vor der Beauftragung neuer Unterauftragsverarbeiter benachrichtigt und haben ein Widerspruchsrecht. Open-Source-Abhängigkeiten werden mittels Software-Composition-Analyse-Tools überwacht. Abhängigkeits-Updates werden wöchentlich geprüft, kritische Patches innerhalb von 48 Stunden nach Bekanntgabe angewendet.

Data

Transparenz der Datenverarbeitung

Wir glauben, dass Sie genau wissen sollten, wie Ihre Daten in jeder Phase unserer Zusammenarbeit verarbeitet werden. Transparenz in der Datenverwaltung schafft Vertrauen und hilft Ihnen, Ihre eigenen Compliance-Pflichten zu erfüllen.

Datenklassifizierung

Alle Kundendaten werden zu Beginn jedes Projekts in Sensitivitätsstufen eingeteilt (öffentlich, intern, vertraulich, eingeschränkt). Jede Stufe hat definierte Handhabungsanforderungen für Speicherung, Übertragung, Zugriff und Entsorgung. Klassifizierungskennzeichen werden wo möglich automatisch angewendet und vierteljährlich überprüft.

Datenresidenz und Datensouveränität

Kundendaten werden in der im Servicevertrag festgelegten geografischen Region gespeichert und niemals ohne ausdrückliche schriftliche Zustimmung in andere Regionen übertragen. EU-Kundendaten verbleiben in EU-Rechenzentren. Wir unterstützen Multi-Region-Architekturen für global tätige Organisationen und stellen sicher, dass jede Region lokale regulatorische Anforderungen erfüllt.

Datenaufbewahrung und -löschung

Wir bewahren Kundendaten nur für die im Servicevertrag festgelegte Dauer plus eine 30-tägige Übergangsfrist auf. Nach Projektabschluss oder Vertragsbeendigung werden alle Daten sicher mit kryptografischen Löschmethoden vernichtet. Auf Anfrage wird eine Löschbestätigung ausgestellt. Backup-Kopien unterliegen denselben Aufbewahrungs- und Löschverfahren.

Unterauftragsverarbeiter-Management

Wir führen eine aktuelle Liste aller Unterauftragsverarbeiter, die auf Kundendaten zugreifen können. Kunden werden 30 Tage vor Beauftragung neuer Unterauftragsverarbeiter benachrichtigt und haben ein Widerspruchsrecht. Alle Unterauftragsverarbeiter sind vertraglich an dieselben Datenschutzstandards gebunden, die wir selbst einhalten. Jährliche Überprüfungen verifizieren die fortlaufende Compliance.

Verfügbarkeit & Performance

99,9%
Verfügbarkeits-SLA
<200ms
API-Antwortzeit (p95)
<1 Stunde
Wiederherstellungsziel

Echtzeit-Status

Alle Systeme betriebsbereit
APIBetriebsbereit
WebanwendungBetriebsbereit
KI-DiensteBetriebsbereit
DatenverarbeitungBetriebsbereit

Sicherheitslücken melden

Sicherheitsproblem gefunden? Wir schätzen verantwortungsvolle Offenlegung und belohnen gültige Schwachstellen. Unsere Richtlinie zur verantwortungsvollen Offenlegung bietet klare Leitlinien für Sicherheitsforscher, einschließlich Umfang, Einsatzregeln und Reaktionszeiten. Wir bestätigen alle gültigen Meldungen innerhalb von 48 Stunden und liefern einen Behebungszeitplan innerhalb von fünf Werktagen.

Schwachstelle melden