Zum Hauptinhalt springen
aniragio
Compliance & Security

Sicherheit ist kein Feature.
Sie ist die Grundlage.

DSGVO, AI-Act, ISO 27001 (anvisiert), TISAX, BSI C5: Hier finden Sie unsere komplette Sicherheits- und Compliance-Architektur. Nichts versteckt, nichts in einer NDA-only-PDF.

Trust-Signals

Compliance-Status auf einen Blick.

  • DSGVO

    Erfüllt

  • AI-Act-Ready

    Q3 / 2026

  • EU-Hosted

    Garantiert

  • ISO 27001

    Q2 / 2027

  • TISAX

    Anvisiert

  • BSI C5 Type 2

    Roadmap

Architektur

Daten-Fluss in einem Diagramm.

Vom User-Browser bis zur LLM-Antwort: jede Kante TLS 1.3, jeder Speicher AES-256-at-rest, jede Komponente in einer EU-Region.

User BrowserTLS 1.3 · HSTSVercel Edge (EU)Next.js 16 AppCSRF · Rate-Limiteu-fra-1, eu-cdg-1Railway (EU)QdrantVector-DB · OSSRedisCache · QueueWorkerEmbedding · BullMQAES-256-at-restNeon Postgres+ pgvectorBranching · Backupseu-central-1LLM-Provider (EU)Anthropic IrelandOpenAI IrelandMistral / Aleph AlphaZero-Retentionvertraglich abgesichert

Daten-Lifecycle

Acht Schritte. Vollständig protokolliert.

Jeder Schritt ist im Audit-Log abgebildet (Wer, Was, Wann, Wo, Welcher LLM, Welche Quelle).

  1. 01

    Upload

  2. 02

    Verschlüsselung

  3. 03

    Embedding

  4. 04

    Storage

  5. 05

    Query

  6. 06

    Output

  7. 07

    Logging

  8. 08

    Löschung (DSAR)

Komponenten-Detail

Drei Säulen.

Verschlüsselung, Zugriff, Daten – alle drei mit klaren Standards und sichtbaren Defaults.

Verschlüsselung

  • TLS 1.3 für jede Kante (HSTS, Cert-Pinning auf API)
  • AES-256-at-rest (Postgres, Qdrant, S3)
  • KMS via Cloud-Provider, Auto-Rotation 90 Tage
  • BYO-Encryption-Key (Enterprise) via AWS KMS oder Azure Key Vault
  • PII-Redaction-Pipeline optional vor Embedding

Zugriff

  • RBAC mit 4 Rollen + Custom-Rollen (Enterprise)
  • MFA (TOTP + WebAuthn) für alle Owner / Admin
  • SSO via Google, Microsoft Entra ID, Okta SAML, generic OIDC
  • SCIM 2.0 für automatisches Provisioning
  • IP-Allowlisting + Session-Management
  • Audit-Log auf Verarbeitungsebene (CSV-Export)

Daten

  • EU-Region per Default (Frankfurt), wahlweise Zürich / Wien / UK
  • BYO-LLM-Key + Zero-Retention bei allen Providern
  • DSAR-Export (Art. 15 + 20 DSGVO) als JSON in 24 h
  • Lösch-Routinen mit 30-Tage-Cooldown + bestätigtem Wipe
  • Backup-Retention: 30 Tage point-in-time, verschlüsselt
  • Tenant-Isolation auf Vector-Index-Ebene

Sub-Auftragsverarbeiter

Vollständige Sub-Processor-Liste.

Stand Mai 2026. RSS-Feed bei Änderungen abonnierbar. AVV mit jedem Anbieter abgeschlossen.

AnbieterFunktionDatentypRegionDPA-Status
Vercel Inc.Frontend-HostingPage-LogsEUAVV Art. 28 ✓
Railway CorpBackend + Vector-DBAnwendungsdatenEU (Frankfurt)AVV Art. 28 ✓
Neon Inc.PostgresOrg / Workspace / User-DBEUAVV Art. 28 ✓
Stripe Payments Europe Ltd.Billing & TaxZahlungsdatenIrlandAVV ✓
Anthropic Ireland Ltd.LLM (Claude)Prompts / ResponsesIrlandAVV + Zero-Retention ✓
OpenAI Ireland Ltd.LLM (GPT)Prompts / ResponsesIrlandAVV + Zero-Retention ✓
Mistral AILLMPrompts / ResponsesFrankreichAVV + Zero-Retention ✓
Aleph Alpha GmbHLLM (DE)Prompts / ResponsesDeutschlandAVV ✓
Calendly LLCBookingTermin-MetadatenUSASCC + EU-US-DPF ✓
Resend Inc.Transactional E-MailE-Mail-HeaderEUAVV ✓
HubSpot Ireland Ltd.CRM & MarketingLead-DatenUSASCC + EU-US-DPF ✓ (Marketing-Consent)
Google Ireland Ltd.Google Analytics 4Pseudonymisierte Page-HitsUSASCC + IP-Anon ✓ (Statistik-Consent)
PostHog (Self-Hosted EU)Product-AnalyticsEvent-DatenEUSelf-Hosted ✓
Cloudflare Inc.CDN, DDoSHTTP-HeaderEUAVV ✓

USA-Anbieter (Calendly, HubSpot, GA4) werden nur bei aktiver Marketing-/ Statistik-Einwilligung im Cookie-Banner aktiviert. Übermittlung erfolgt ausschließlich auf Basis von SCC + EU-US-DPF (Angemessenheitsbeschluss EU-Kommission, 10.07.2023).

Security-Practices

Was wir tun – jeden Tag.

Pen-Tests jährlich

Externer Pen-Test 1× pro Jahr (gewählter Auditor wechselt zwischen Cure53 und SecuRing). Reports auf Anfrage im Enterprise-Plan.

Bug-Bounty (HackerOne, private)

Privates Programm seit 2025. Critical-Findings werden binnen 24 h gepatcht, Hall of Fame public.

SBOM veröffentlicht

Software Bill of Materials wöchentlich publiziert (CycloneDX-Format). Vulnerability-Scans gegen GHSA-Datenbank.

Secret-Scanning

GitHub Secret-Scanning, Trufflehog in CI, Pre-Commit-Hooks. Keys im Code rotieren wir innerhalb 1 h.

Dependency-Updates wöchentlich

Renovate-Bot, automatisches Patchen für non-breaking. Major-Updates manuell mit Changelog-Review.

Incident-Response-Plan

24-h-Notify zum Verantwortlichen, 72-h-DSGVO-Meldung an Aufsichtsbehörde, dokumentierte Forensik via Sentry + Postgres-Audit-Logs.

Rechtliche Grundlagen

Verträge zum Download.

AVV / DPA-Muster

Standardvertrag nach Art. 28 DSGVO als PDF, individuell verhandelbar im Enterprise-Plan.

Zur DPA-Seite

Sub-Processor-Liste (versioniert)

RSS-Feed bei Änderungen abonnierbar. 30-Tage-Vorabbenachrichtigung bei neuen Sub-Processoren.

RSS abonnieren

Datenschutzerklärung

TDDDG-konform, mit allen Rechtsgrundlagen pro Verarbeitung, Aufbewahrungsdauern, Betroffenenrechten.

/datenschutz

Impressum

Pflichtangaben nach § 5 DDG und § 18 MStV, vertretungsberechtigte Personen, Handelsregister, USt-ID.

/impressum

Kontakte

Wir sind erreichbar – auch nachts.

Sicherheits-Vorfälle

security@anirag.io

PGP-Public-Key auf Anfrage. Reaktion 24/7 garantiert für Enterprise.

Datenschutz / DPO

dpo@anirag.io

Anfragen nach Art. 15–22 DSGVO innerhalb 30 Tagen.

Bug-Bounty

security-research@anirag.io

HackerOne-Programm auf Anfrage. Hall of Fame public.

Möchten Sie das Sicherheits-Whitepaper?

45-Min-Live-Vorstellung der Architektur. NDA verfügbar. Pen-Test- Reports auf Anfrage im Enterprise-Plan.

Whitepaper (PDF)Architektur-Termin (45 Min)