Sicherheit & Compliance
Sicherheit ist bei Aatvi AI kein Nachgedanke. Sie ist in die Architektur, die Prozesse und unsere Arbeitsweise eingebaut.
Datenschutz
Alle Daten werden im Ruhezustand mit AES-256 und bei der Übertragung mit TLS 1.3 verschlüsselt. Wir setzen strenge Verschlüsselungsstandards auf jeder Ebene der Plattform durch, von Anwendungsdaten bis hin zu Backups.
Kundendaten sind auf Datenbankebene logisch isoliert. Die Daten jedes Mandanten sind segmentiert, um mandantenübergreifenden Zugriff zu verhindern, selbst in gemeinsam genutzten Infrastrukturumgebungen.
- AES-256-Verschlüsselung im Ruhezustand für alle gespeicherten Daten
- TLS 1.3-Verschlüsselung für alle Daten bei der Übertragung
- Automatisierte Schlüsselrotation und -verwaltung
- Logische Mandantenisolierung auf Datenbankebene
Infrastruktur
Aatvi AI wird auf dem globalen Edge-Netzwerk von Cloudflare bereitgestellt und profitiert von deren DDoS-Mitigation, Web Application Firewall (WAF) und Bot-Management-Funktionen. Unsere Infrastruktur erstreckt sich über mehrere Regionen für Redundanz und latenzarmen Zugriff weltweit.
Wir folgen Infrastructure-as-Code-Praktiken. Alle Deployments sind reproduzierbar, auditierbar und unterliegen automatisierten Sicherheitsscans, bevor sie in die Produktion gelangen.
- Cloudflare-Edge-Netzwerk mit globaler PoP-Abdeckung
- Integrierter DDoS-Schutz und WAF
- Infrastructure-as-Code mit automatisierten Deployment-Pipelines
- Kontinuierliches Schwachstellenscanning und -patching
Compliance
Wir orientieren unsere Sicherheitspraktiken an anerkannten Frameworks und Vorschriften. Wenn Sie in einer regulierten Branche tätig sind, sind wir darauf ausgelegt, Ihre Anforderungen zu erfüllen — nicht nur Kästchen anzukreuzen.
SOC 2-orientiert
Unsere internen Kontrollen sind nach den SOC 2 Trust Services Criteria für Sicherheit, Verfügbarkeit und Vertraulichkeit gestaltet. Wir pflegen Dokumentations- und Nachweisprozesse, die an SOC 2 Type II-Anforderungen ausgerichtet sind.
DSGVO (GDPR)
Wir erfüllen die Datenschutz-Grundverordnung für alle Nutzer im Europäischen Wirtschaftsraum. Dies umfasst Rechtsgrundlagen für die Verarbeitung, Betroffenenrechte, Auftragsverarbeitungsverträge und Schutzmaßnahmen für grenzüberschreitende Datenübermittlungen.
DPDP Act (Indien)
Wir erfüllen Indiens Digital Personal Data Protection Act, einschließlich Einwilligungsmanagement, Zweckbindung, Rechte der Betroffenen und Pflichten des Datenverantwortlichen. Als in Indien gegründetes Unternehmen ist DPDP-Compliance zentral für unseren Betrieb.
Zugriffskontrolle
Wir setzen das Prinzip der geringsten Berechtigung in unserer gesamten Organisation durch. Der Zugriff auf Produktionssysteme, Kundendaten und sensible Infrastruktur wird streng kontrolliert und regelmäßig überprüft.
Multi-Faktor-Authentifizierung ist für alle Teammitglieder vorgeschrieben. Der Zugriff wird nach dem Need-to-know-Prinzip gewährt und bei Rollenwechseln umgehend entzogen.
- Rollenbasierte Zugriffskontrolle (RBAC) über alle Systeme
- Multi-Faktor-Authentifizierung organisationsweit vorgeschrieben
- Vierteljährliche Zugriffsüberprüfungen und Berechtigungsaudits
- Audit-Protokollierung für jeden Zugriff auf Kundendaten
Vorfallmanagement
Wir pflegen einen dokumentierten Incident-Response-Plan, der Erkennung, Eindämmung, Beseitigung, Wiederherstellung und Nachbereitung abdeckt. Unser Team führt regelmäßig Übungen durch, um die Einsatzbereitschaft sicherzustellen.
Im Falle eines Sicherheitsvorfalls, der Kundendaten betrifft, verpflichten wir uns, betroffene Parteien innerhalb von 72 Stunden zu benachrichtigen, in Übereinstimmung mit DSGVO- und DPDP-Anforderungen.
- Dokumentierter Incident-Response-Plan mit definierten Eskalationspfaden
- 72-Stunden-Benachrichtigungsverpflichtung bei Datenschutzverletzungen
- Regelmäßige Incident-Response-Übungen und Planspiele
- Nachbereitung von Vorfällen mit dokumentierten Korrekturmaßnahmen
Fragen zur Sicherheit?
Wenn Sie Fragen zu unseren Sicherheitspraktiken haben oder eine Schwachstelle melden möchten, kontaktieren Sie uns unter security@aatvi.ai.