Sicherheit

Sicherheit, die Sie Ihrem Auditor vorlegen können.

Spot Suite ist für regulierte Käufer gebaut. Jede Environment ist isoliert, verschlüsselt und audit-protokolliert — mit Control-Mappings, die Ihr Compliance-Team prüfen kann.

GDPR · DORA · NIS2 · ISO 27001-aligned

Control-Mapping: ISO 27001 · DORA · GDPR

Audit-Nachweise und das Control-Mapping-Paket werden unter NDA geteilt — formelle SOC-2- oder ISO-Zertifizierungen werden nicht beansprucht.

  • Control-Mapping: ISO 27001 · DORA · GDPR

    Plattform-Controls sind auf ISO 27001:2022, DORA und GDPR gemappt. Audit-Nachweise und das Control-Mapping-Paket werden unter NDA geteilt — formelle SOC-2- oder ISO-Zertifizierungen werden nicht beansprucht.

  • EU-Datenresidenz

    Kundendaten werden in EU-Rechtsprechung verarbeitet und gespeichert (Cloudflare-Netzwerk). Primäres Compute und Storage laufen auf Cloudflare Workers, D1 und R2; Microsoft Azure ist ein Unterauftragsverarbeiter für unterstützende EU-Region-Dienste.

  • AES-256 und TLS 1.3

    Daten im Ruhezustand mit AES-256 verschlüsselt. Sämtlicher Client- und API-Verkehr nutzt TLS 1.3. Schlüsselverwaltung über die Cloudflare-Infrastruktur.

  • OIDC-SSO mit Entra und MFA

    Anmeldung über Microsoft Entra ID via OIDC. TOTP-MFA für jedes Konto erzwungen — keine gemeinsamen Passwörter.

  • Dedizierte Isolation pro Kunde

    Jede Customer Environment erhält eine eigene Cloudflare-Worker-Runtime, eine eigene D1-Datenbank und einen eigenen R2-Bucket. Ihre Daten werden niemals vermischt.

  • Exportierbare Audit-Nachweise

    Anmeldeereignisse, Admin-Aktionen und Konfigurationsänderungen werden mit Akteur, IP und Zeitstempel protokolliert. Exportieren Sie das Audit-Paket für Vendor-Risk-Prüfungen.

So wird eine Customer Environment isoliert.

  1. Dedizierten Stack bereitstellen

    Bei der Anmeldung stellt Spot Suite eine Customer Environment mit eigener Worker-Runtime, eigener D1-Datenbank und eigenem R2-Bucket bereit, bevor ein Produkt aktiviert wird.

  2. Identität auf Ihren Tenant beschränken

    Entra-ID-OIDC bindet jede Sitzung an Ihr Verzeichnis. API-Tokens und Admin-Aktionen sind tenant-beschränkt — keine mandantenübergreifenden Zugriffspfade.

  3. Nachweise aufzeichnen und exportieren

    Plattform- und Produkt-Ereignisse werden in Ihr Environment-Audit-Log geschrieben. Laden Sie das Nachweispaket für ISO 27001, DORA oder interne Kontrollprüfungen herunter.

Sprechen Sie mit unserem Sicherheitsteam

Fordern Sie das Control-Mapping-Paket unter NDA an, oder fragen Sie nach unseren BAA-, IDTA- oder LGPD-Bedingungen.