Zugriffskontrolle
Nutzerkonten, Passwort-Hashing, optionale Zwei-Faktor-Authentifizierung, OAuth/OIDC-Anmeldung über Google oder Microsoft, Rollen und Berechtigungen, mandantenbezogene Zugriffsbeschränkungen und Sitzungsmanagement.
Datenschutzunterlagen
Technische und organisatorische Maßnahmen
Diese TOM-Übersicht beschreibt Schutzmaßnahmen für Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Betriebskompass-Plattform. Sie ist als prüfungsrelevante Anlage für Kunden und Datenschutzprüfung gedacht, ohne eine Zertifizierung zu behaupten.
Betriebsumgebung
Betriebskompass wird produktiv auf deutscher Hetzner-Serverinfrastruktur betrieben. Die Anwendung läuft hinter einem Host-Reverse-Proxy mit HTTPS; interne Anwendungsports werden nicht öffentlich bereitgestellt. Die Datenhaltung erfolgt serverseitig in PostgreSQL. Zahlungsfunktionen sind über Stripe angebunden; Google- und Microsoft-SSO sind optional verfügbar.
Berechtigungskonzept
Trennung nach Unternehmen, Standorten, Rollen, Modulen und Vorgängen. Administrative Funktionen werden auf erforderliche Berechtigungen begrenzt. Kunden verwalten eigene Nutzer und Rollen im Rahmen der bereitgestellten Funktionen.
Transport- und Systemsicherheit
HTTPS über Reverse Proxy, sichere Standardkonfigurationen, keine öffentliche Exponierung interner App-Ports, CSRF-Schutz für Formulare, Eingabevalidierung und Schutzmaßnahmen gegen typische Webrisiken wie Injection, XSS und Broken Access Control.
Mandantentrennung
Daten werden organisationsbezogen verarbeitet. Dashboard- und API-Funktionen prüfen die zugehörige Organisation und Berechtigung, damit Nutzer nur auf freigegebene Unternehmensdaten zugreifen.
Protokollierung und Nachvollziehbarkeit
Relevante Konto-, Sicherheits-, Freigabe-, Zahlungs-, Integrations- und Administrationsereignisse werden protokolliert. Logs sollen keine Passwörter, Tokens, Zahlungsdaten oder unnötigen personenbezogenen Daten enthalten.
Backup und Wiederherstellung
Regelmäßige serverseitige Backups, beschränkter Zugriff auf Sicherungen und dokumentierte Wiederherstellungsprozesse. Restore-Tests werden als Betreiberkontrolle regelmäßig nachvollziehbar dokumentiert.
Datensparsamkeit
Formulare und Prozesse sollen nur erforderliche Daten erheben. SSO nutzt für die Anmeldung nur die erforderlichen Identitätsdaten. Test- und Demodaten werden synthetisch oder anonymisiert verwendet.
Supportzugriffe
Support erfolgt anlassbezogen, zweckgebunden und mit beschränktem Datenzugriff. Kunden sollen keine unnötigen sensiblen Daten in Supportanfragen übermitteln. Supportmaßnahmen werden auf das erforderliche Maß begrenzt.
Zahlungs- und Identitätsdienste
Stripe verarbeitet Zahlungsdaten überwiegend in eigener Zahlungsumgebung. Betriebskompass speichert nur erforderliche Zuordnungs-, Tarif- und Statusinformationen. Bei Google/Microsoft-SSO werden nur notwendige Identitätsdaten für die Kontoanmeldung verarbeitet.
Änderungs- und Sicherheitsmanagement
Sicherheitsrelevante Änderungen, Abhängigkeiten, Konfigurationen und Deployment-Schritte werden nachvollziehbar dokumentiert. Hinweise auf Schwachstellen können an den Sicherheitskontakt gemeldet werden.
Verfügbarkeit und Belastbarkeit
Der produktive Betrieb trennt Anwendung, Datenbank, Reverse Proxy, TLS, Backups und Wiederherstellung logisch. Wartungen und Sicherheitsupdates werden so geplant, dass Betriebsunterbrechungen möglichst gering bleiben.
Prüfung und Weiterentwicklung
Die Wirksamkeit der Schutzmaßnahmen wird anlassbezogen und im Rahmen des Betreiberbetriebs überprüft. Änderungen an Architektur, Dienstleistern, Integrationen oder Datenkategorien können eine Aktualisierung dieser TOM erfordern. Eine externe Prüfung oder Zertifizierung wird nur behauptet, wenn sie tatsächlich durchgeführt und dokumentiert wurde.