CloudPal
CloudPal bietet Unternehmen die Möglichkeit, leistungsstarke KI-Modelle sicher und DSGVO-konform zu nutzen. Als vertrauensvolle Plattform verbinden wir innovative KI-Modelle mit höchsten europäischen Datenschutzstandards und schaffen so eine sichere Umgebung für den professionellen Einsatz künstlicher Intelligenz.
Richtlinien & Standards
Entwickelt in Deutschland
Höchste Qualitätsstandards
DSGVO-konform
Gehostet in Europa
Regelmäßige Datenschutzaudits
Unabhängig geprüft
Ressourcen
alle Ressourcen anzeigenKontrollen
alle Kontrollen anzeigenInfrastruktursicherheit
Umgebungsschutz und Infrastruktur
Videoüberwachung und Alarmsysteme
Sichere Hardware-Aufbewahrung
+ 13 weitere
Organisationssicherheit
Datenschutz-Management-System
Datenschutz-Folgenabschätzung
Verzeichnis von Verarbeitungstätigkeiten
+ 10 weitere
Produktsicherheit
Datenminimierung in der Systemarchitektur
Zweckbindung in der Datenverarbeitung
Anonymisierung und Pseudonymisierung
+ 8 weitere
Interne Sicherheitsverfahren
Meldeprozesse an Aufsichtsbehörden
Benachrichtigung betroffener Personen
Forensik und Ursachenanalyse
+ 16 weitere
Daten und Datenschutz
Rechtmäßigkeit der Verarbeitung
Datenqualität und -aktualität
Speicherbegrenzung
+ 6 weitere
Verarbeitete Daten
Stammdaten:
Vor- und Nachname
Geschäftliche E-Mail Adresse
Unternehmen
Geschäftseinheit
Nutzungsdaten:
IP-Adresse
Zeitstempel
Tokenverbrauch
HTTP-Status
Inhaltsdaten:
Texteingaben (Prompts) und Antworten
Hochgeladene Dokumente
Assistenten-Daten:
Inhalte und hochgeladene Dokumente
Einstellungen selbst erstellter Assistenten
Dienstleister
alle Dienstleister anzeigen
Amazon Web Services (AWS)
•
Cloud & LLM Hosting
Google Cloud
•
LLM Hosting
Microsoft Azure
•
LLM Hosting
Ressourcen
CloudPal Whitepaper Datenschutz und Sicherheit
Eine umfassende Übersicht zu unseren Datenschutzbestimmungen und Sicherheitsmaßnahmen.
CloudPal Übersicht des Datenflusses
Visualisierung der Datenverarbeitung und -übertragung in der CloudPal-Infrastruktur.
CloudPal AVV
CloudPal Auftragsverarbeitungsvereinbarung gemäß DSGVO
Kontrollen
Infrastruktursicherheit - Physische Sicherheit
Control
Status
Zutrittskontrolle zu Rechenzentren und Serverräumen
Strenge Zugangskontrollen für physische Standorte, in denen personenbezogene Daten verarbeitet oder gespeichert werden.
Videoüberwachung und Alarmsysteme
Kontinuierliche Dokumentation aller Zugangsversuche in kritischen Bereichen. Automatische Alarme bei unbefugten Zugriffen oder verdächtigen Aktivitäten.
Sichere Hardware-Aufbewahrung
Hardware und Datenträger mit personenbezogenen Daten werden in gesicherten Bereichen mit kontrollierten Zugangsberechtigungen aufbewahrt.
Umgebungsschutz und Infrastruktur
Schutz der IT-Infrastruktur durch Klimatisierung, Brandschutz und USV. Routinemäßige Wartung und Monitoring der serviceunterstützenden Infrastruktur.
Infrastruktursicherheit - Netzwerksicherheit
Control
Status
Firewall-Systeme und Zugriffskontrolle
Firewall-Systeme verhindern unbefugten Netzwerkzugriff. Privilegierter Firewall-Zugriff nur für autorisierte Benutzer mit Geschäftsnotwendigkeit.
Intrusion Detection & Prevention Systeme
IDS/IPS gewährleistet kontinuierliche Netzwerküberwachung und frühzeitige Erkennung von Sicherheitsverletzungen und Cyberangriffen.
Firewall-Regelprüfungen und -wartung
Mindestens jährliche Überprüfung und Dokumentation der Firewall-Regelsätze. Verfolgung erforderlicher Änderungen bis zur vollständigen Umsetzung.
Netzwerksegmentierung und Isolation
Segmentiertes Unternehmensnetzwerk isoliert kritische Systeme und verhindert unbefugten Zugriff auf Kundendaten.
Sichere Übertragungsprotokolle
TLS/SSL-Verschlüsselung für alle Datenübertragungen mit personenbezogenen Daten.
Netzwerkverkehrs-Monitoring
Kontinuierliche Überwachung zur Erkennung von Anomalien und Performance-Problemen. Log-Management-Tool identifiziert sicherheitsrelevante Ereignisse.
Infrastruktursicherheit - Systemsicherheit
Control
Status
Patch-Management und Updates
Systematische Prozesse für zeitnahe Installation von Sicherheitsupdates. Routinemäßige Wartung und reaktives Patching bei identifizierten Schwachstellen.
Sichere Systemkonfiguration
Hardening-Standards basierend auf Branchenpraktiken und sicheren Konfigurationsrichtlinien.
Anti-Malware-Schutz und Endpoint Security
Umfassende Malware-Schutzlösungen auf allen Endgeräten, Servern und kritischen Systemen gegen Sicherheitsbedrohungen.
Infrastruktursicherheit - Zugriffskontrolle und Authentifizierung
Control
Status
Eindeutige Benutzerauthentifizierung
Eindeutige Benutzernamen und Passwörter oder autorisierte SSH-Schlüssel für alle Systeme und Anwendungen.
Privilegierte Zugriffskontrolle
Streng regulierter privilegierter Zugriff auf kritische Systeme:
- Datenbankzugriff - nur autorisierte Benutzer mit Geschäftsnotwendigkeit
- Betriebssystem-Zugriff - nur autorisierte Benutzer mit Geschäftsnotwendigkeit
- Produktionsnetzwerk-Zugriff - nur autorisierte Benutzer mit Geschäftsnotwendigkeit
Zugriffsrevokierung bei Kündigung
Zugriffsentzug für ausscheidende Mitarbeiter innerhalb definierter Service Level Agreements (SLAs).
Organisationssicherheit - Governance und Compliance
Control
Status
Datenschutz-Management-System
Eindeutige Benutzernamen und Passwörter oder autorisierte SSH-Schlüssel für alle Systeme und Anwendungen.
Datenschutz-Folgenabschätzung
Das Unternehmen führt eine DSFA durch und dokumentiert die Ergebnisse.
Verzeichnis von Verarbeitungstätigkeiten
Das Unternehmen führt ein vollständiges und aktuelles Verzeichnis aller Datenverarbeitungsaktivitäten.
Compliance-Monitoring und Audits
Das Unternehmen implementiert regelmäßige interne und externe Audits zur Überprüfung der DSGVO-Compliance.
Organisationssicherheit - Personal und Schulungen
Control
Status
Datenschutzschulungen für Mitarbeiter
Das Unternehmen führt regelmäßige und zielgruppenspezifische Datenschutzschulungen für alle Mitarbeiter durch.
Sensibilisierung für Datenschutzrisiken
Das Unternehmen sensibilisiert Mitarbeiter kontinuierlich für Datenschutzrisiken und sichere Arbeitsweisen.
Verpflichtung auf das Datengeheimnis
Das Unternehmen verpflichtet alle Mitarbeiter vertraglich auf die Einhaltung des Datengeheimnisses.
Rollenbasierte Berechtigungskonzepte
Das Unternehmen implementiert Zugriffsrechte nach dem Prinzip der minimalen Berechtigung (Need-to-know).
Organisationssicherheit - Vertragsmanagement
Control
Status
Auftragsverarbeitungsverträge
Das Unternehmen schließt DSGVO-konforme AVV mit allen Auftragsverarbeitern ab.
SensibilisStandardvertragsklauseln für Drittlandtransfersierung für Datenschutzrisiken
Das Unternehmen implementiert geeignete Schutzmaßnahmen für internationale Datenübermittlungen.
Lieferanten-Due-Diligence
Das Unternehmen führt umfassende Datenschutz-Bewertungen aller Lieferanten und Partner durch.
SLA-Management mit Datenschutzbezug
Das Unternehmen definiert und überwacht datenschutzrelevante Service Level Agreements.
Vertraulichkeitsvereinbarungen
Auftragnehmer: Müssen bei Vertragsschluss eine Vertraulichkeitsvereinbarung unterzeichnen.
Mitarbeiter: Müssen während des Onboarding-Prozesses eine Vertraulichkeitsvereinbarung unterzeichnen.
Produktsicherheit - Privacy by Design
Control
Status
Datenminimierung in der Systemarchitektur
Das Unternehmen implementiert technische Maßnahmen zur Beschränkung der Datenerhebung auf das notwendige Minimum.
Zweckbindung in der Datenverarbeitung
Das Unternehmen stellt durch technische und organisatorische Maßnahmen sicher, dass Daten nur für festgelegte Zwecke verwendet werden.
Anonymisierung und Pseudonymisierung
Das Unternehmen implementiert Verfahren zur Anonymisierung und Pseudonymisierung personenbezogener Daten wo möglich.
Datenschutzfreundliche Voreinstellungen
Das Unternehmen konfiguriert alle Systeme mit datenschutzfreundlichen Standardeinstellungen (Privacy by Default).
Produktsicherheit - Anwendungssicherheit
Control
Status
Sichere Entwicklung
Das Unternehmen befolgt Secure Coding Practices.
Session-Management
Das Unternehmen implementiert sichere Session-Verwaltung mit angemessenen Timeout-Zeiten und Verschlüsselung.
Schwachstellen-Scans und Penetrationstests
Das Unternehmen führt regelmäßige Sicherheitstests und Penetrationstests zur Identifikation von Schwachstellen durch.
Produktsicherheit - API und Interface
Control
Status
Sicherheit API-Authentifizierung und -Autorisierung
Das Unternehmen implementiert starke Authentifizierungs- und Autorisierungsmechanismen für alle APIs.
Rate Limiting und DDoS-Schutz
Das Unternehmen setzt Mechanismen zur Begrenzung von API-Anfragen und zum Schutz vor DDoS-Angriffen ein.
Sichere Datenübertragung
Das Unternehmen verschlüsselt alle API-Kommunikation und implementiert sichere Datenübertragungsprotokolle.
Logging von API-Zugriffen
Das Unternehmen protokolliert und überwacht alle API-Zugriffe zur Erkennung verdächtiger Aktivitäten.
Interne Sicherheitsverfahren - Incident Response
Control
Status
Incident Response Plan für Datenschutzverletzungen
Das Unternehmen etabliert detaillierte Verfahren zur Behandlung von Datenschutzverletzungen gemäß DSGVO.
Meldeprozesse an Aufsichtsbehörden
Das Unternehmen implementiert Prozesse zur fristgerechten Meldung von Datenschutzverletzungen innerhalb von 72 Stunden und stellt sicher, dass alle Sicherheits- und Datenschutzvorfälle protokolliert, verfolgt und gelöst werden.
Benachrichtigung betroffener Personen
Das Unternehmen etabliert Verfahren zur unverzüglichen Benachrichtigung betroffener Personen bei schwerwiegenden Verletzungen und kommuniziert Vorfälle an alle relevanten Parteien gemäß dokumentierter Richtlinien.
Forensik und Ursachenanalyse
Das Unternehmen führt systematische Untersuchungen zur Ursachenfindung und Schadensbegrenzung durch.
Interne Sicherheitsverfahren - Risikomanagement
Control
Status
Datenschutz-Risikobewertung und -behandlung
Das Unternehmen führt regelmäßige Datenschutz-Risikoanalysen durch und implementiert angemessene Schutzmaßnahmen.
Business Continuity Planning
Das Unternehmen entwickelt Notfallpläne zur Aufrechterhaltung kritischer Geschäftsprozesse unter Berücksichtigung des Datenschutzes.
Disaster Recovery Verfahren
Das Unternehmen implementiert Wiederherstellungsverfahren mit integrierten Datenschutzkontrollen.
Regelmäßige allgemeine Risikobewertungen
Das Unternehmen überprüft und aktualisiert Datenschutzrisiken in definierten Intervallen und führt formale Bewertungen von Bedrohungen und umweltbedingten, regulatorischen sowie technologischen Änderungen durch.
Interne Sicherheitsverfahren - Datenschutz-Qualitätssicherung
Control
Status
Dokumentation aller Prozesse
Das Unternehmen dokumentiert alle datenschutzrelevanten Prozesse vollständig und hält diese aktuell.
Versionskontrolle von Policies und Procedures
Das Unternehmen verwaltet alle Datenschutzrichtlinien unter Versionskontrolle mit Nachvollziehbarkeit.
Kontinuierliche Verbesserung
Das Unternehmen etabliert Prozesse zur kontinuierlichen Verbesserung des Datenschutz-Management-Systems.
Interne Sicherheitsverfahren - Qualitätssicherung Software Entwicklung
Control
Status
Konfigurationsmanagement-System etabliert
Das Unternehmen hat ein Konfigurationsmanagement-Verfahren eingerichtet, um sicherzustellen, dass Systemkonfigurationen konsistent in der gesamten Umgebung eingesetzt werden.
Change Management-Verfahren durchgesetzt
Das Unternehmen verlangt, dass Änderungen an Software- und Infrastrukturkomponenten autorisiert, dokumentiert, getestet, überprüft und genehmigt werden, bevor sie in der Produktionsumgebung implementiert werden und beschränkt den Zugang zur Migration von Änderungen in die Produktion auf autorisiertes Personal.
Entwicklungslebenszyklus etabliert
Das Unternehmen hat eine formelle Systems Development Life Cycle (SDLC) Methodik eingerichtet, die die Entwicklung, Beschaffung, Implementierung, Änderungen und
Interne Sicherheitsverfahren - externe Kommunikation
Control
Status
Unternehmensverpflichtungen
Die Sicherheitsverpflichtungen des Unternehmens werden Kunden in Master Service Agreements (MSA) oder Terms of Service (TOS) mitgeteilt.
Service-Beschreibung
Das Unternehmen stellt umfassende Beschreibungen seiner Produkte und Services für externe Benutzer bereit.
Systemänderungen kommuniziert
Das Unternehmen benachrichtigt Kunden über kritische Systemänderungen, die ihre Verarbeitung beeinträchtigen könnten.
Interne Sicherheitsverfahren - Organisatorische Strukturen und Verantwortlichkeiten
Control
Status
Management-Rollen und -Verantwortlichkeiten definiert
Das Unternehmensmanagement hat definierte Rollen und Verantwortlichkeiten zur Überwachung des Designs und der Implementierung von Informationssicherheitskontrollen festgelegt.
Whistleblower-Programm
Das Unternehmen hat eine formalisierte Whistleblower-Richtlinie etabliert mit anonymen Kommunikationskanälen für die Meldung potenzieller Probleme oder Betrugsverdachtsfälle.
Daten und Datenschutz
Control
Status
Rechtmäßigkeit der Verarbeitung
Das Unternehmen stellt sicher, dass alle Datenverarbeitungen auf einer gültigen Rechtsgrundlage gemäß Art. 6 DSGVO basieren.
Datenqualität und -aktualität
Das Unternehmen implementiert Prozesse zur Gewährleistung der Richtigkeit und Aktualität personenbezogener Daten.
Speicherbegrenzung
Das Unternehmen implementiert Löschkonzepte zur Einhaltung der Speicherbegrenzung gemäß Art. 5 DSGVO.
Kundendaten bei Verlassen gelöscht
Das Unternehmen löscht oder entfernt Kundendaten mit vertraulichen Informationen aus der Anwendungsumgebung gemäß bewährten Praktiken, wenn Kunden den Service verlassen.
Betroffenenrechte Auskunftsrecht
Das Unternehmen implementiert Verfahren zur Bereitstellung von Auskünften über Datenverarbeitungen gemäß Art. 15 DSGVO.
Berichtigungsrecht
Das Unternehmen stellt Mechanismen zur unverzüglichen Berichtigung unrichtiger Daten gemäß Art. 16 DSGVO bereit.
Löschungsrecht
Das Unternehmen implementiert Verfahren zur Löschung personenbezogener Daten gemäß Art. 17 DSGVO (Recht auf Vergessenwerden).
Widerspruchsrecht
Das Unternehmen berücksichtigt Widersprüche gegen Datenverarbeitungen gemäß Art. 21 DSGVO und stellt entsprechende Verfahren bereit.
Einschränkung der Verarbeitung
Das Unternehmen implementiert technische Maßnahmen zur Einschränkung der Verarbeitung gemäß Art. 18 DSGVO.
Dienstleister
Amazon Web Services (AWS)
•
Cloud & LLM Hosting
Google Cloud
•
LLM Hosting
Microsoft Azure
•
LLM Hosting