Zum Inhalt springen

Trust Center

Compliance Trust Center

🇩🇪 Made in Germany · 🔒 Sicherheit im Design · 🏦 Für Finanzinstitute. Praxisleitfäden und Methodik für prüfbaren Betrieb — kein GRC-Tool.

\n
Transparenzstatus
🇩🇪 Made in Germany | 🔐 ISO 27001 Hosting | 🔒 Sicherheit im Design | 🏛️ Deutsches Recht | 📋 DORA Art. 24-26 | 🛡️ DSGVO
+2
ISO 27001 Controls
103
DORA Measures
12
Testarten
10
Rollen

Sicherheitsprogramm

Cybersicherheitsstrategie, Abwehrmaßnahmen, SIEM/EDR-Überwachung, Schwachstellenmanagement, Härtungs-Compliance, Sicherheitskennzahlen, Sensibilisierungsschulungen, Penetrationstests und Lieferantensicherheit.

Modul öffnen →

Datenschutz-Governance

Datenschutzorganisation, DSB-Verantwortlichkeiten, Verarbeitungsverzeichnis (VVT), DSFA-Prüfung, Betroffenenrechte, Löschfristen, technisch-organisatorische Maßnahmen und Datenschutzverletzungsmanagement.

Modul öffnen →

ISO 27001 Evidenz

Evidenzstrukturierung und -zuordnung über organisatorische, personelle, physische und technologische Kontrolldomänen gemäß ISO/IEC 27001:2022 Annex A.

Modul öffnen →

Service-Berichtswesen

SLA-Erfüllungsmethodik, Ticketkennzahlen, Sicherheitsvorfallverfolgung, Lieferantenrisikoberichterstattung, Release- und Änderungsmanagement sowie Wartungsfenster-Governance.

Modul öffnen →

Kundenrisiko-Berichtswesen

Risikoprofil-Zusammenfassungen, Kontrollwirksamkeitsberichte, Compliance-Status-Dashboards und Restrisikokommunikation für kundenorientierte Transparenz.

Modul öffnen →

AVV (Auftragsverarbeitungsvertrag)

DSGVO-konformer Auftragsverarbeitungsvertrag nach Art. 28.

Modul öffnen →

TOM

Technisch-organisatorische Maßnahmen nach DSGVO Art. 32.

Modul öffnen →

SLA

Service Level Agreements für Verfügbarkeit, Performance und Support.

Modul öffnen →

Exit Management

Strukturierte Vertragsbeendigung und Datenrückführung.

Modul öffnen →

Enterprise-Vertragspaket

MSA, AVV, TOM, SLA, Exit für regulierte Institute.

Modul öffnen →

Prüfungsfeststellungs-Verfolgung

Zentrale Nachverfolgung von Prüfungsfeststellungen mit Maßnahmen, Risikobewertung und Wirksamkeitsprüfung.

Modul öffnen →

Sicherheitsbericht-Vorlage

Standardisiertes Berichtsrahmenwerk für Sicherheitsstatus, Kontrollwirksamkeit und Compliance-Lage.

Modul öffnen →

Drittparteienrisiko-Entscheidungsbaum

Strukturiertes Entscheidungsmodell zur Klassifizierung und Bewertung von IKT-Drittparteienrisiken.

Modul öffnen →

Finance Customer Readiness

Gebündelte Compliance-Dokumente für Finanzkunden – DORA, DSGVO, Sicherheit.

Modul öffnen →

Software Supply Chain

Dual-Gate-Kontrollrahmen für Artefaktbezug.

Modul öffnen →

Build Security

Build-Prozess-Kontrollen und Artefakt-Integrität.

Modul öffnen →

Dependency Governance

Lockfile-Management und SCA.

Modul öffnen →

Board Pack

Management-Export für Geschäftsleitung.

Modul öffnen →

Audit Pack

Prüfungsorientierter Export für Revision.

Modul öffnen →

Customer Assurance Room

Compliance-Dokumente und Prüfberichte für Due Diligence.

Modul öffnen →

Sicherheitsnachweise

14/16
Penetration Test bestanden
CSP · HSTS · XFO · XCTO
1.378
Automatisierte Tests
99,9%
Uptime (Ziel)

Verifizierte Claims

Die folgenden Sicherheits- und Compliance-Claims werden durch die angegebenen Nachweise belegt und im Rahmen des Trust Centers transparent gemacht.

🇩🇪 Made in Germany Selbstauskunft
Geprüft: 13.06.2026 · Scope: Entwicklung, Betrieb, Rechenzentren

Entwicklung und Betrieb in Deutschland, deutsches Recht, deutsche Rechenzentren.

🔐 ISO 27001 Hosting Extern geprüft
Geprüft: 13.06.2026 · Scope: Rechenzentrum Hetzner (ISO 27001)

Hosting bei ISO-27001-zertifiziertem Rechenzentrum (Hetzner, DIN EN ISO 27001).

🔒 Sicherheit im Design Toolbasiert
Geprüft: 13.06.2026 · Scope: CSP, HSTS, XFO, XCTO, Secure Cookies

CSP, HSTS, X-Frame-Options DENY, X-Content-Type-Options, Secure Cookies, HTTPS Only.

🏛️ Deutsches Recht Selbstauskunft
Geprüft: 13.06.2026 · Scope: DSGVO, BDSG, MaRisk, DORA

DSGVO, BDSG, MaRisk, DORA-Compliance. AVV/TOM nach Art. 28/32 DSGVO.

📋 DORA Art. 24-26 Selbstauskunft
Geprüft: 13.06.2026 · Scope: Testprogramm, TLPT, Test-Governance

Risikobasiertes Testprogramm, TLPT-Readiness, Test-Governance dokumentiert.

🛡️ DSGVO Selbstauskunft
Geprüft: 13.06.2026 · Scope: VVT, DSFA, TOM, AVV, Löschkonzept

VVT, DSFA, Betroffenenrechte, TOM, AVV, Löschkonzept, Data-Breach-Management.

📊 99,9 % Uptime Toolbasiert
Geprüft: 14.06.2026 · Scope: Health Guardian 15-Min-Intervalle

Health Guardian überwacht 15-Minuten-Intervalle. Aufzeichnung seit Juni 2026.

🧪 Penetration Tests Extern geprüft
Geprüft: 01.06.2026 · Scope: 14/16 Controls, OWASP

14/16 Controls bestanden. Jährlicher externer Pentest. OWASP-basiert.

📱 Subprozessor-Transparenz Selbstauskunft
Geprüft: 13.06.2026 · Scope: Subunternehmer-Register

Vollständiges Subunternehmer-Register mit Due-Diligence-Prüfung.

Verfügbarkeit & Uptime

Die Plattform wird überwacht und ist mit hoher Verfügbarkeit im Produktivbetrieb.

99,9%
Uptime (Ziel)
Online
Aktueller Status

Zertifizierungs-Roadmap

Geplante und beantragte Sicherheitszertifizierungen für maximale Transparenz gegenüber Finanzkunden.

CSA STAR
Level 1 — Selbstauskunft

Cloud Security Alliance Security Trust Assurance & Risk Selbstbewertung.

Beantragt
C5-Testat
BSI Kriterienkatalog

Deutsches Cloud-Sicherheitsniveau nach BSI C5.

In Planung
SOC 2 Type II
AICPA Standard

Internationaler Prüfstandard für Dienstleistungsorganisationen.

In Planung
Hinweis: Die Inhalte dienen der fachlichen Orientierung und strukturierten Umsetzungsvorbereitung. Maßgeblich sind die Originalquellen der Aufsicht (insb. MaRisk, KWG) sowie die institutsspezifische rechtliche, fachliche und prüferische Bewertung. Keine Rechtsberatung — verbindlich sind die aktuellen Fassungen der BaFin-Verlautbarungen.