cepaos

Sicherheit und Datenschutz

deine Weingutsdaten gehören dir: und bleiben in der EU

Vollständige DSGVO-Konformität, Hosting ausschließlich in der Europäischen Union, Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und ein Sicherheitsteam, das die Verantwortung für jeden gespeicherten Hektoliter ernst nimmt.

Wenn ein Winzer uns seine Daten anvertraut, übernimmt er gegenüber seinem Steuerberater, seinem Genossenschaftsverband und der Bundesanstalt für Landwirtschaft und Ernährung weiterhin die volle Verantwortung. Unsere Aufgabe ist es, ihm diese Verantwortung nicht zu erschweren, sondern sie technisch abzusichern.

Sechs Säulen

Sicherheit, die in der Architektur verankert ist

DSGVO-Konformität nach Art. 5–34

Cepaos wurde von Grund auf so konzipiert, dass die Grundsätze der Datenschutz-Grundverordnung, Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, in der Architektur verankert sind.

  • Verfahrensverzeichnis nach Art. 30 DSGVO im Selbstbedienungsmodus
  • Datenpannenmeldung an die Aufsichtsbehörde innerhalb von 72 Stunden
  • Recht auf Auskunft, Berichtigung und Löschung über die Benutzerverwaltung
  • Standardvertragsklauseln (SCC) für nicht-EU-Subunternehmer

Hosting ausschließlich in der EU

Alle personenbezogenen Daten und Geschäftsdaten unserer Kunden werden in Rechenzentren innerhalb der Europäischen Union gespeichert, keine Übermittlung in Drittländer ohne Angemessenheitsbeschluss.

  • Primärspeicher in Frankfurt am Main (Supabase / AWS eu-central-1)
  • Geo-redundante Sicherung in Dublin (AWS eu-west-1)
  • CDN-Edge ausschließlich an EU-Standorten (Cloudflare EU-only Option)
  • Keine Datenübermittlung an US-Subunternehmer ohne ausdrückliche Zustimmung

Auftragsverarbeitungsvertrag (AVV)

Mit jedem Geschäftskunden schließen wir vor der ersten Datenverarbeitung einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO ab, standardmäßig oder nach deiner Mustervorlage.

  • Standardvorlage AVV nach BMWi/BfDI-Empfehlung
  • Liste aller Subunternehmer mit Standort und Verarbeitungszweck
  • Technische und organisatorische Maßnahmen (TOM) als Anhang
  • Elektronische Unterschrift über DocuSign oder eIDAS-konformen Anbieter

Identitäts- und Zugriffsverwaltung

Jeder Zugriff auf deine Daten wird protokolliert und kann nachvollzogen werden. Mehrfaktor-Authentifizierung ist für alle Benutzer kostenlos, Single Sign-on im Industrie-Plan enthalten.

  • Mehrfaktor-Authentifizierung (TOTP, WebAuthn) für alle Pläne
  • Single Sign-on über SAML 2.0 und OpenID Connect (Industrie-Plan)
  • Rollenbasierte Zugriffskontrolle (RBAC) mit feingranularen Berechtigungen
  • Vollständige Prüfprotokolle aller administrativen Aktionen

Verschlüsselung in Übertragung und Ruhe

Deine Daten werden in der gesamten Verarbeitungskette verschlüsselt, vom Endgerät bis zum Festplattenträger im Rechenzentrum.

  • TLS 1.3 für alle externen Verbindungen, HSTS aktiviert
  • AES-256-Verschlüsselung der Datenbank im Ruhezustand
  • Verschlüsselte tägliche Sicherungen mit getrennten Schlüsseln
  • Geheimnisse über Vault verwaltet, niemals im Quellcode

Überwachung und Vorfallerkennung

Sentry, Upstash und unsere internen Werkzeuge überwachen rund um die Uhr verdächtige Aktivitäten und sicherheitsrelevante Ereignisse. Du wirst bei Anomalien proaktiv informiert.

  • Rate-Limiting auf allen API-Endpunkten
  • Erkennung ungewöhnlicher Anmeldemuster (Geolokalisierung, Gerät)
  • Sofortige Sentry-Warnung bei Sicherheitsausnahmen
  • Wöchentliche Berichte über sicherheitsrelevante Ereignisse für Industrie-Plan

Zertifizierungen und Nachweise

Geprüft, dokumentiert, überprüfbar

ISO 27001, Statement of Applicability

Wir veröffentlichen unser Statement of Applicability (SoA) nach ISO 27001 Anhang A. Die formelle Zertifizierung wird im Q4 2026 erwartet. Aktueller SoA-Stand auf Anfrage verfügbar.

Stripe: PCI-DSS Level 1

Wir verarbeiten keine Kartendaten direkt. Alle Zahlungsvorgänge werden über Stripe abgewickelt, das nach Payment Card Industry Data Security Standard Level 1 zertifiziert ist.

BSI IT-Grundschutz, Reifegrad 2

Unsere Sicherheitsorganisation orientiert sich am IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI). Reifegradnachweis auf Anfrage.

Datenresidenz

Wo deine Daten liegen: und wo sie nie liegen werden

Wir verstehen, dass deutsche Winzer und ihre Steuerberater besonders sensibel auf den Speicherort ihrer Geschäftsdaten reagieren. Aus diesem Grund veröffentlichen wir transparent jede Datenkategorie, ihren Speicherort, ihre Aufbewahrungsfrist und jeden Subunternehmer.

Primärspeicher

Frankfurt am Main, AWS Region eu-central-1, Verfügbarkeitszone c. Verwaltet durch Supabase EU.

Geografische Redundanz

Dublin, AWS Region eu-west-1. Tägliche verschlüsselte Replikation, 35 Tage Aufbewahrung.

E-Mail-Versand

Resend, EU-Region (Frankfurt). Keine Speicherung von E-Mail-Inhalten über 30 Tage hinaus.

Beobachtung

Sentry, EU-Region (Frankfurt). Standardmäßige PII-Filterung. Aufbewahrung 90 Tage.

AVV oder Sicherheitsaudit angefragt?

Sende uns deine Anforderungen oder deine Mustervorlage, wir antworten innerhalb von zwei Werktagen mit einem unterschriftsbereiten Dokument.

AVV anfordern
Sicherheit und Datenschutz, DSGVO, EU-Hosting, AVV, ISO 27001 SoA | Cepaos