Sicherheit & Compliance
Wie wir mit Ihren Daten umgehen.
Als Auftragnehmer, der Produktionsinfrastruktur berührt, schulden wir Ihnen Klarheit darüber, was wir tun, was wir nicht tun, und wie wir Vorfälle behandeln.
Datenhaltung
Standardmäßig verarbeiten wir keine Kundenproduktiondaten auf FluentOrbit-Infrastruktur. Wir arbeiten remote auf Ihrer Infrastruktur oder auf einem dedizierten Sandbox-System. Ausnahmen werden schriftlich vereinbart.
DSGVO / BDSG
Rechtsgrundlage für die Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie lit. f (berechtigtes Interesse). Kein Daten-Export in Drittstaaten ohne Einwilligung.
Auftragsverarbeitung (AV-Vertrag)
Sobald wir als Auftragsverarbeiter tätig werden, schließen wir einen AV-Vertrag nach Art. 28 DSGVO. Vorlage auf Anfrage.
AVV anfordernBSI IT-Grundschutz
Wir orientieren uns an BSI IT-Grundschutz-Bausteinen für die von uns betreuten Schichten (SYS.1.6 Container, APP.4.4 Kubernetes, OPS.1.1.3 Patch Management). Wir beanspruchen keine Grundschutz-Zertifizierung.
NIS2 & DORA
Für Kunden aus kritischen Infrastrukturen (Energie, Finanzen, Gesundheit) kennen wir die operativen Anforderungen aus NIS2 und DORA, insbesondere zu Incident Reporting, BCM und ICT-Risikomanagement.
ISO 27001 Controls
Wir betreiben intern Controls, die ISO 27001 Annex A entsprechen (Access Management, Change Management, Incident Response, Backup). Wir sind nicht ISO 27001 zertifiziert.
SBOM & Supply Chain
Jede Plattform, die wir ausliefern, enthält ein Software Bill of Materials (SBOM). Wir verwenden nur Open-Source-Komponenten aus verifizierbaren Quellen.
Restore-Drills
Restore-Drills sind kein Bonus, sie sind fester Bestandteil jedes Engagements. Ergebnis: ein Nachweis-Paket mit gemessenen RTO/RPO und Datum.
Responsible Disclosure
Sicherheitslücken bitte vertraulich melden. Wir bestätigen innerhalb von 48 Stunden.