01 · Hosting
Hosting & Datenresidenz
Die VERIST-Plattform und alle Kundendaten werden ausschließlich in Frankfurt am Main gehostet. Es findet kein Datentransfer in Drittländer statt.
| Komponente | Anbieter | Standort | Verschlüsselung |
|---|---|---|---|
| Anwendungs-Server | Hetzner Online GmbH | Frankfurt am Main, Deutschland | TLS 1.3 in-transit |
| Datenbank | Supabase (Postgres) | Frankfurt (eu-central-1) | AES-256 at-rest, TLS 1.3 in-transit |
| Object-Storage | MinIO (Hetzner) | Frankfurt am Main | AES-256 at-rest, TLS 1.3 in-transit |
| E-Mail-Versand | Strato AG | Berlin/Karlsruhe, Deutschland | TLS 1.3, DKIM, SPF, DMARC |
02 · AVV / DPA
Auftragsverarbeitungsvereinbarung
VERIST stellt eine Standard-Auftragsverarbeitungsvereinbarung nach DSGVO Art. 28 bereit. Diese Vorlage deckt die Pflichtinhalte vollständig ab und kann im Vertragsprozess durch Ihre Rechtsabteilung individuell angepasst werden.
Hinweis: Diese AVV ist eine Standard-Vorlage und keine Rechtsberatung. Die finale Anpassung erfolgt im Vertragsprozess durch Ihre Rechtsabteilung. VERIST verhandelt individuell.
03 · TOMs
Technisch-organisatorische Maßnahmen
Nach Art. 32 DSGVO und auf Grundlage von BSI-Grundschutz-Bausteinen.
| Kategorie | Maßnahme |
|---|---|
| Zugangskontrolle | Hetzner-Rechenzentrum mit ISO 27001-zertifiziertem Zutrittsschutz; Zugriff via SSH-Schlüssel mit Ed25519, kein Passwort-Login. |
| Zugriffskontrolle | Rollenbasiertes Berechtigungsmodell (Service-Role / Anon-Role / Admin); Bearer-Token-Authentifizierung mit 30-Min-TTL für Admin-Zugriffe. |
| Eingabekontrolle | Alle datenverändernden Aktionen werden in Decision Records mit kryptographischer Hash-Chain protokolliert (SHA-256, manipulationssicher nachweisbar). |
| Auftragskontrolle | Subprozessoren-Liste vollständig dokumentiert (siehe §04); jeder Subprozessor verfügt über DSGVO-Art-28-Vereinbarung. |
| Verfügbarkeitskontrolle | Tägliche Backups mit 30-Tage-Aufbewahrung (RPO ≤ 24h, RTO ≤ 4h); systemseitiges Monitoring mit Incident-Eskalation an service@verist.de. |
| Trennungskontrolle | Mandantentrennung auf Datenbank-Ebene via Tenant-ID; Row-Level-Security (RLS) auf allen Mandantentabellen. |
| Pseudonymisierung | UUIDs als interne Schlüssel; Klartext-PII nur dort verarbeitet, wo zwingend nötig (Login-Email). |
| Verschlüsselung | TLS 1.3 in-transit für alle Verbindungen; AES-256 at-rest für Datenbank und Object-Storage; SHA-256 Hash-Chain für Evidence. |
| Wiederherstellbarkeit | Disaster-Recovery-Prozess dokumentiert; Backup-Restore wird quartalsweise verifiziert. |
04 · Subprozessoren
Eingesetzte Subprozessoren
Eine vollständige und aktuelle Liste der Subprozessoren, die im Rahmen der Leistungserbringung Zugriff auf Kundendaten haben können.
| Anbieter | Standort | Verarbeitungszweck | Vertragsbasis |
|---|---|---|---|
| Hetzner Online GmbH | Frankfurt, Deutschland | Hosting der Anwendungs-Server, Object-Storage (MinIO) | DSGVO Art. 28 · ISO 27001 |
| Supabase Inc. (Postgres-Hosting) | Frankfurt (eu-central-1) | Datenbankspeicherung, Authentifizierung | DSGVO Art. 28 · SOC 2 Type II |
| Stripe Payments Europe Ltd. | Dublin, Irland · Zahlungsabwicklung in EU | Kreditkarten-Zahlungen, SEPA-Lastschrift, Steuer-Berechnung (Stripe Tax) | DSGVO Art. 28 · PCI DSS Level 1 |
| Strato AG | Berlin / Karlsruhe, Deutschland | SMTP-Versand transaktionaler E-Mails (Bestellbestätigungen, Foundation-Anfragen) | DSGVO Art. 28 |
Stand: 28.04.2026. Über Änderungen werden wir Kunden mit aktivem Vertrag mit Vorlauffrist von 30 Tagen informieren.
05 · Backup
Backup-Strategie
- Frequenz: Täglich vollständiger Snapshot, kontinuierliches WAL-Logging der Datenbank
- Aufbewahrung: 30 Tage (rolling) für tägliche Backups; Punkt-in-Time-Recovery für die letzten 7 Tage
- RPO (Recovery Point Objective): ≤ 24 Stunden
- RTO (Recovery Time Objective): ≤ 4 Stunden für kritische Komponenten
- Verifikation: Quartalsweiser Restore-Test auf isolierter Umgebung
- Geo-Redundanz: Backup-Replikation auf zweiten Hetzner-Standort innerhalb Deutschland
06 · Authentifizierung
Authentifizierung & SSO
VERIST unterstützt aktuell E-Mail- und Passwort-basierte Authentifizierung mit Anti-Bruteforce-Schutz (Lockout nach 8 Fehlversuchen, 10 Min). Auf Wunsch konfigurieren wir Single-Sign-On für Enterprise-Kunden.
- Aktuell: E-Mail + Passwort, Bearer-Token mit 30-Min-TTL für Admin-Zugriffe
- Geplant Q3 2026: Single-Sign-On via SAML 2.0 und OIDC (Microsoft Entra ID, Okta, Google Workspace)
- Geplant Q3 2026: 2FA-Pflicht für Admin-Rollen (TOTP, FIDO2-Hardware-Keys)
- Konstant: Service-API-Authentifizierung via Service-Key (Rotation alle 90 Tage)
07 · Audit-Logs
Audit-Logs & Hash-Chain
Alle datenverändernden Aktionen werden in Decision Records mit kryptographischer Hash-Chain protokolliert. Jeder Eintrag verweist mittels SHA-256 auf den Hash des vorhergehenden Eintrags — eine nachträgliche Manipulation ist kryptographisch erkennbar.
- Aufbewahrung: Audit-Logs werden für 7 Jahre gespeichert (Pflicht nach HGB §257 für GoB-relevante Daten)
- Manipulationssicherheit: Hash-Chain mit SHA-256 · jede Manipulation bricht die Kette
- Export: Audit-Trail kann auf Anfrage als signierte JSON-Lines-Datei exportiert werden
- Auditor-Schnittstelle: Für externe Auditoren stellen wir auf Anfrage einen schreibgeschützten Zugang zur Verifikation bereit
08 · Daten-Löschung
Daten-Löschung & DSAR
VERIST setzt das Recht auf Löschung (DSGVO Art. 17) und Auskunft (Art. 15) durch standardisierte Prozesse um.
- SLA: Bearbeitung innerhalb 30 Tagen nach Eingang der Anfrage
- Anfragen: per E-Mail an datenschutz@verist.de
- Löschung: Vollständige Entfernung aus Produktions-Systemen; Backup-Rollover stellt sicher, dass gelöschte Daten innerhalb 30 Tagen auch aus Backups verschwinden
- Auskunft: Strukturierter Export aller gespeicherten personenbezogenen Daten in maschinenlesbarem Format (JSON)
09 · Penetration-Tests
Sicherheitsprüfungen
VERIST kombiniert kontinuierliche automatisierte Prüfungen mit geplanten externen Penetrationstests.
- Kontinuierlich: Static-Code-Analysis bei jedem Commit (CodeQL, npm audit, dependency-check)
- Kontinuierlich: Dependency-Vulnerability-Scanning automatisiert; CVEs mit CVSS ≥ 7.0 werden binnen 7 Tagen behoben
- Kontinuierlich: Self-Assessment via OWASP ASVS-Checkliste
- Geplant Q3 2026: Externer Penetrationstest durch akkreditiertes Sicherheitsunternehmen (Black-Box + Grey-Box)
- Geplant Q4 2026: Bug-Bounty-Programm für Security-Forscher
Transparenz-Hinweis: Wir kommunizieren den Stand unserer Sicherheitsprüfungen wahrheitsgemäß. Zum Zeitpunkt der Erstellung dieser Seite (28.04.2026) liegt noch kein externer Penetrationstest-Bericht vor — der erste Test ist für Q3 2026 fest geplant. Ergebnisse werden Kunden mit aktivem Vertrag in zusammengefasster Form bereitgestellt.
10 · Incident-Response
Incident-Response & Meldepflichten
- Meldekette: Sicherheitsvorfälle werden binnen 24 Stunden intern eskaliert
- DSGVO-Frist: Datenschutzverletzungen werden binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet (Art. 33 DSGVO)
- Kunden-Benachrichtigung: Bei einem Vorfall mit hohem Risiko für betroffene Personen erfolgt unverzügliche Benachrichtigung der Kunden mit aktivem Vertrag (Art. 34 DSGVO)
- Incident-Log: Vollständige Dokumentation jedes Vorfalls mit Hash-Chain-Eintrag (manipulationssicher)
- Kontakt: Sicherheitsvorfälle melden an security@verist.de
11 · Kontakt
Ansprechpartner
| Allgemeine Anfragen | service@verist.de |
| Datenschutz / DSAR | datenschutz@verist.de |
| Sicherheitsvorfälle | security@verist.de |
| Foundation Partner Program | verist.de/foundation-partner.html |