Technische und organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1.1 Zutrittskontrolle

• Hosting bei Hetzner Online GmbH, Rechenzentren Falkenstein und Nürnberg.
• Hetzner-RZ-Standards: 24/7-bewachter Zugang, Mehr-Faktor-Authentifizierung für Servertechniker, Videoaufzeichnung, ISO-27001-zertifizierte Infrastruktur.
• Kein eigener Hardware-Zugriff seitens ERPforgeAI; ausschließlich virtualisierter Cloud-Zugang über Hetzner-Robot-Konsole und SSH-Schlüsselverwaltung.

1.2 Zugangskontrolle

• SSH-Zugang nur per Public-Key-Authentifizierung; Passwort-Login deaktiviert (PasswordAuthentication no in sshd_config).
• SSH-Schlüssel ed25519 oder rsa 4096; private Schlüssel ausschließlich auf der Operator-Workstation, niemals auf Servern.
• Zwei-Faktor-Authentifizierung (TOTP) für Owner-Funktionen und Admin-Endpunkte.
• Bcrypt-Hashing aller Nutzerpasswörter (cost-Faktor 12); kein Klartext-Passwort wird gespeichert oder geloggt.
• JWT-basierte Session-Tokens mit kurzer Lebensdauer und Refresh-Mechanismus.
• Rate-Limiting auf Login- und Registrierungs-Endpunkten zur Abwehr von Brute-Force-Angriffen.

1.3 Zugriffskontrolle

• Mandantentrennung: jeder Nutzer hat eine eigene Workspace-Tabelle; SQL-Queries enthalten obligatorisch ein user_id-Filter-Prädikat.
• IDOR-Schutz: Mutating API-Endpoints folgen dem 4-Schritt-Pattern (auth + exist + own + allowlist) zur Prüfung der Eigentümerschaft.
• Owner-Endpoints durch separate TOTP-2FA-Schicht geschützt (/api/owner/*).

1.4 Trennungskontrolle

• Logische Trennung von Test-, Staging- und Produktiv-Umgebung auf separaten VPS-Instanzen.
• Datentrennung pro Audit/Workspace via dedizierte Datenbank-Tabellen mit user_id + tenant_id-Schlüsseln.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

2.1 Eingabekontrolle

• Audit-Logging: jede mutierende API-Operation schreibt einen Zeitstempel-Eintrag mit actor, resource, action in stdout (systemd-journald, persistent).
• Strukturierte Logs ohne Klartext-Passwörter, ohne Klartext-API-Keys, ohne PII (Namen, E-Mail-Inhalte).
• Versionierte Releases: jede Code-Änderung erhält einen Git-SHA + Versions-Tag; Rollback-fähig über Symlink-Switch.

2.2 Weitergabekontrolle

• TLS 1.3 für alle externen Verbindungen (HTTPS via Cloudflare-Edge + Letsencrypt am Origin).
• SSH-Zugang ausschließlich per ed25519/rsa-4096-Schlüsseln über Port 22 (firewalled).
• Layer-A-Redaktor (Forge Shield): maskiert SAP-System-Identifier (System-IDs, Hostnames, IP-Adressen) vor Weiterleitung an externe KI-Modelle.
• PII-Drop am Parser: personenbezogene Felder (LAST_CHANGED_BY, Ansprechpartner, Objektverantwortlich) werden bereits beim Parsen verworfen und erreichen die Pipeline nie.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b + c DSGVO)

• Tägliche automatische Backups der SQLite-Datenbank auf separates Hetzner-Storage-Volume.
• Backup-Retention: 14 Tage rollierend.
• Service-Überwachung: PM2-Prozess-Manager mit Auto-Restart bei Crash.
• Disk-Space-Überwachung: Deploy-Skript prüft $MIN_FREE_GB Schwellwert vor Release-Klon, löst Notfall-Pruning aus.
• Cloudflare-Edge: DDoS-Schutz, Bot-Mitigation, Rate-Limiting.
• Versionierte Releases ermöglichen Rollback bei fehlgeschlagenem Deploy über Symlink-Switch in < 30 Sekunden.

4. Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

• Datenbank-Backups auf separatem Storage-Volume; Wiederherstellung in < 60 Minuten testweise validiert.
• Rollback-fähiger Deploy-Pfad: jeder Release als isoliertes Verzeichnis in /opt/erpforgeai/releases/v...; current-Symlink kann manuell auf jede vorherige Version verwiesen werden.
• Konfigurations-Versionierung: Git-Repository mit allen Config-Dateien als Source-of-Truth.

5. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

• Manuelle Überprüfung dieser TOMs mindestens halbjährlich.
• Sicherheits-Patch-Management: System-Pakete via apt bei jeder Deploy-Aktion aktualisiert; Kernel-Updates monatlich.
• Incident-Logging: technische Vorfälle werden in einem internen Vorfalls-Tagebuch dokumentiert (Datum, Beschreibung, Behebung, Lessons-Learned).
• Pseudonymisierungspflicht: Kunden-System-IDs in öffentlich sichtbaren Sample-Reports und Marketing-Materialien werden durch <SID> ersetzt (verbindliche Policy).

6. Auftragskontrolle (Art. 28 DSGVO)

• AVV-Vorlage steht auf Anfrage zur Verfügung (siehe AGB § 11).
• Subprozessoren-Liste öffentlich auf /subprozessoren.html.
• Wesentliche Änderungen der Subprozessoren-Liste werden Bestandsnutzern mindestens 30 Tage im Voraus angekündigt.

7. Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO)

• Verschlüsselung der Übertragung: TLS 1.3 (HTTPS) für alle externen Schnittstellen.
• Verschlüsselung im Ruhezustand: Hetzner-Volume-Encryption auf BlockStorage-Ebene (LUKS).
• Pseudonymisierung am Parser: PII-Felder (LAST_CHANGED_BY, Ansprechpartner, Objektverantwortlich) werden vor Speicherung verworfen.
• Pseudonymisierung am Layer-A: SAP-System-Identifier werden vor KI-Call durch Platzhalter ersetzt.
• Anonymity-Policy: Kunden-System-IDs in jedem öffentlich sichtbaren Artefakt durch <SID> ersetzt.

← Startseite · AGB · Datenschutz · Subprozessoren · Löschkonzept · AI Act · Markenrecht