Trust Center
Compliance Trust Center
🇩🇪 Made in Germany · 🔒 Sicherheit im Design · 🏦 Für Finanzinstitute. Praxisleitfäden und Methodik für prüfbaren Betrieb — kein GRC-Tool.
Sicherheitsprogramm
Cybersicherheitsstrategie, Abwehrmaßnahmen, SIEM/EDR-Überwachung, Schwachstellenmanagement, Härtungs-Compliance, Sicherheitskennzahlen, Sensibilisierungsschulungen, Penetrationstests und Lieferantensicherheit.
Modul öffnen →Datenschutz-Governance
Datenschutzorganisation, DSB-Verantwortlichkeiten, Verarbeitungsverzeichnis (VVT), DSFA-Prüfung, Betroffenenrechte, Löschfristen, technisch-organisatorische Maßnahmen und Datenschutzverletzungsmanagement.
Modul öffnen →ISO 27001 Evidenz
Evidenzstrukturierung und -zuordnung über organisatorische, personelle, physische und technologische Kontrolldomänen gemäß ISO/IEC 27001:2022 Annex A.
Modul öffnen →Service-Berichtswesen
SLA-Erfüllungsmethodik, Ticketkennzahlen, Sicherheitsvorfallverfolgung, Lieferantenrisikoberichterstattung, Release- und Änderungsmanagement sowie Wartungsfenster-Governance.
Modul öffnen →Kundenrisiko-Berichtswesen
Risikoprofil-Zusammenfassungen, Kontrollwirksamkeitsberichte, Compliance-Status-Dashboards und Restrisikokommunikation für kundenorientierte Transparenz.
Modul öffnen →AVV (Auftragsverarbeitungsvertrag)
DSGVO-konformer Auftragsverarbeitungsvertrag nach Art. 28 inkl. SCC, Unterverarbeiter-Governance und Weisungsbefugnisse.
Modul öffnen →TOM
Umfassender Katalog aller TOM-Kategorien nach DSGVO Art. 32 mit Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe- und Verfügbarkeitskontrollen.
Modul öffnen →SLA
Verfügbarkeits-, Performance-, Support- und Sicherheits-SLA mit Eskalationsmatrix und Berichtswesen.
Modul öffnen →Exit Management
Strukturierte Vertragsbeendigung, Datenrückführung und Löschung mit Übergabe-Unterstützung und rechtlichen Regelungen.
Modul öffnen →Enterprise-Vertragspaket
MSA, AVV, TOM, SLA, Exit & Data Portability, Subunternehmerregister, Supportmodell und Audit-Rechte für regulierte Finanzinstitute.
Modul öffnen →Prüfungsfeststellungs-Verfolgung
Zentrale Nachverfolgung von Prüfungsfeststellungen mit Maßnahmen, Risikobewertung und Wirksamkeitsprüfung.
Modul öffnen →Sicherheitsbericht-Vorlage
Standardisiertes Berichtsrahmenwerk für Sicherheitsstatus, Kontrollwirksamkeit und Compliance-Lage.
Modul öffnen →Drittparteienrisiko-Entscheidungsbaum
Strukturiertes Entscheidungsmodell zur Klassifizierung und Bewertung von IKT-Drittparteienrisiken.
Modul öffnen →Finance Customer Readiness
Gebündelte Compliance-Dokumente für Finanzkunden – DORA, DSGVO, Sicherheit.
Modul öffnen →Software Supply Chain
Dual-Gate-Kontrollrahmen für Artefaktbezug, Dependency-Governance und Build-Sicherheit.
Modul öffnen →Build Security
Build-Prozess-Kontrollen, Artefakt-Integrität, Deployment-Evidence.
Modul öffnen →Dependency Governance
Lockfile-Management, SCA, Update-Governance und Risikoakzeptanz.
Modul öffnen →Board Pack
Management-Export für Geschäftsleitung: Top-Risiken, kritische Services, offene Entscheidungen, Incident-Status und Drittparteienkonzentrationen.
Modul öffnen →Audit Pack
Prüfungsorientierter Export für Revision und Aufsicht: DORA-Artikel, Sollzustand, Maßnahme, Owner, Status, Evidence und Hash.
Modul öffnen →Customer Assurance Room
Geschützter Bereich mit Compliance-Dokumenten, Sicherheitsnachweisen und Prüfberichten für Due-Diligence-Prüfungen durch Finanzinstitute.
Modul öffnen →SOC 2 Audit
Service Organization Control 2 — Trust Service Criteria. Security, Availability, Processing Integrity, Confidentiality, Privacy.
Modul öffnen →Sicherheitsnachweise
Verifizierte Claims
Die folgenden Sicherheits- und Compliance-Claims werden durch die angegebenen Nachweise belegt und im Rahmen des Trust Centers transparent gemacht.
Entwicklung und Betrieb in Deutschland, deutsches Recht, deutsche Rechenzentren.
Hosting bei ISO-27001-zertifiziertem Rechenzentrum (Hetzner, DIN EN ISO 27001).
CSP, HSTS, X-Frame-Options DENY, X-Content-Type-Options, Secure Cookies, HTTPS Only.
DSGVO, BDSG, MaRisk, DORA-Compliance. AVV/TOM nach Art. 28/32 DSGVO.
Risikobasiertes Testprogramm, TLPT-Readiness, Test-Governance dokumentiert.
VVT, DSFA, Betroffenenrechte, TOM, AVV, Löschkonzept, Data-Breach-Management.
Health Guardian überwacht 15-Minuten-Intervalle. Aufzeichnung seit Juni 2026.
14/16 Controls bestanden. Jährlicher externer Pentest. OWASP-basiert.
Vollständiges Subunternehmer-Register mit Due-Diligence-Prüfung.
Verfügbarkeit & Uptime
Die Plattform wird überwacht und ist mit hoher Verfügbarkeit im Produktivbetrieb.
Zertifizierungs-Roadmap
Geplante und beantragte Sicherheitszertifizierungen für maximale Transparenz gegenüber Finanzkunden.
Cloud Security Alliance Security Trust Assurance & Risk Selbstbewertung.
BeantragtDeutsches Cloud-Sicherheitsniveau nach BSI C5.
In PlanungInternationaler Prüfstandard für Dienstleistungsorganisationen.
In Planung