Technische und organisatorische Maßnahmen (TOMs)
Kurzfassung für Kundenprüfung · vollständige Fassung im AVV-Anhang
Zugriffskontrolle
- Personalisierte Nutzerkonten, Rollen, Admin-Zugriff nur für berechtigte Personen.
- Admin-MFA und starke Passwortregeln als Produktionsvorgabe.
Mandantentrennung
- Tenant-ID-basierte Isolation in Backend-Repositories und API-Routen.
- Supabase RLS als zusätzliche Schutzschicht für direkte Data-API-Zugriffe.
Transport und Speicherung
- TLS für alle Web/API-Verbindungen.
- Audio wird transkribiert und nicht als Datei persistiert; Transkripte und KI-Ergebnisse werden tenant-gescoped gespeichert.
Protokollierung und Betrieb
- Request-IDs, strukturierte Backend-Logs und Audit-Events für kritische Aktionen.
- Health Checks, Release-Checkliste und Incident-Runbook.
Verfügbarkeit und Wiederherstellung
- Supabase Backup/PITR-Verfahren und Restore-Drills gemäß Runbook.
- Rollback über Netlify/Railway-Deployments und migrationsbewusste DB-Änderungen.
Subprozessoren
Aktuelle technische Dienstleister sind unter Subprozessoren veröffentlicht.