Compliance
Compliance
Einleitung
ayedo ist spezialisiert auf maßgeschneiderte Container-Lösungen und den Betrieb komplexer Anwendungen, damit geschäftskritische Software jederzeit zuverlässig läuft. Informationssicherheit und Qualität sind dabei fest in der Unternehmenskultur verankert. Wir haben ein integriertes Managementsystem (IMS) etabliert und erfolgreich zertifizieren lassen, das die Anforderungen der ISO/IEC 27001:2022 (Informationssicherheits-Management) und ISO 9001:2015 (Qualitätsmanagement) erfüllt. Sicherheit ist für uns keine Floskel, sondern ein Kernbestandteil unserer DNA. Dieses Dokument fasst die technische Infrastruktur, Sicherheitsmaßnahmen und Compliance-Aspekte unserer Plattform zusammen – mit dem Ziel, IT- und Compliance-Verantwortlichen einen umfassenden Überblick darüber zu geben, “was sie bei uns bekommen.”
Technische Plattform: Managed Kubernetes und Managed Apps
Alle unsere Dienste basieren auf unserer Managed Kubernetes Plattform. Das bedeutet, dass Kunden entweder komplette Kubernetes-Cluster von ayedo betrieben bekommen (Managed Kubernetes) oder Anwendungen innerhalb dieser Cluster von uns als Managed Apps betreut werden.
Managed Kubernetes von ayedo ist eine vollumfänglich betreute Kubernetes-Umgebung, die auf europäischer Infrastruktur betrieben wird und nach ISO/IEC 27001:2022 zertifiziert ist. Im Unterschied zu vielen Public-Cloud-Angeboten bieten wir nicht nur den reinen Clusterbetrieb, sondern ein Service-Paket speziell für hochverfügbaren SaaS-Betrieb inklusive persönlichem Support durch unser Plattform-Team. Der Kunde kann sich auf die Entwicklung konzentrieren, wir übernehmen Betrieb, Updates, Security und Monitoring. Wir stellen sicher, dass die Kubernetes-Versionen immer aktuell gehalten werden und die Umgebung stabil und sicher läuft.
Managed Apps sind unser Verständnis von Plattform-as-a-Service: ayedo übernimmt Deployment, Überwachung, Absicherung und Wartung Ihrer Anwendungen innerhalb des Kubernetes-Clusters. Der Kunde kann entweder aus einem Katalog von fertigen Managed Apps wählen oder eine eigene Applikation mitbringen. Wir containerisieren („paketieren“) auf Wunsch die Anwendung und rollen diese in Ihrem Cluster aus, richten die nötige Plattform-Infrastruktur ein und betreiben die App anschließend zuverlässig. Dabei kümmern wir uns um 24/7 Monitoring, Backups und Alerts sowie kontinuierliche Optimierungen. Besonderen Wert legen wir auf individuelle Anforderungen: wir unterstützen auch bei speziellen Bedürfnissen hinsichtlich Sicherheit, Konfiguration oder Identity-Management Ihrer Anwendung.
Infrastruktur und Hosting-Optionen
Unsere Managed Kubernetes-Cluster und -Apps können auf verschiedenen Infrastruktur-Optionen betrieben werden, je nach Compliance- und Performance-Anforderungen des Kunden. Grundsätzlich betreiben wir alle Systeme ausschließlich in hochsicheren Rechenzentren in Deutschland bzw. der EU, die nach ISO 27001 zertifiziert sind. Folgende Hosting-Modelle stehen zur Verfügung:
ayedo Private Cloud (Bare Metal in SAAR1)
Auf Wunsch betreiben wir Ihre Kubernetes-Umgebung in einer Private Cloud auf dedizierter ayedo-Hardware. Diese Server stehen im Rechenzentrum SAAR1 im Saarland, einem hochverfügbaren Tier III-Rechenzentrum mit strengen Sicherheitsstandards (zertifiziert u.a. nach ISO/IEC 27001). In diesem Modell sind ein oder mehrere Kubernetes-Cluster sowie alle Plattform-Komponenten (z.B. Identity-Management, Storage, CI/CD-Tools) virtuell isoliert nur für Sie verfügbar. Durch die dedizierte Infrastruktur und Datenspeicherung in Ihrer Private Cloud ist sichergestellt, dass Workloads und Daten vollständig von anderen Kunden getrennt sind. Das SAAR1-Rechenzentrum unserer Colocation-Partner bietet dabei u.a. eine redundante Stromversorgung (>99,99% Verfügbarkeit), Brandfrüherkennung und Löschanlagen, mehrfach redundante Glasfaser-Anbindung sowie 24/7 Videoüberwachung und mehrstufige Zugangskontrollen vor Ort. Physischer Zugriff auf die Hardware ist streng reglementiert und nur autorisiertem Personal möglich – ein wichtiger Aspekt zur Wahrung von Datenschutz und Informationssicherheit.
Public Cloud auf Hetzner
Alternativ bieten wir Managed Kubernetes auf Ressourcen der Hetzner Cloud oder Hetzner Dedicated Root Servern an. Hetzner ist ein renommierter deutscher Infrastruktur-Provider, dessen Rechenzentren in Nürnberg, Falkenstein (DE) und Helsinki (FI) nach DIN ISO/IEC 27001 zertifiziert sind. Damit ist gewährleistet, dass Infrastruktur, Betrieb und Support bei Hetzner nach einem geprüften Informationssicherheits-Managementsystem ablaufen. Die Datenhaltung erfolgt auf Wunsch ausschließlich in Deutschland – Hetzner betreibt mehrere Standorte innerhalb der Bundesrepublik. Durch die ISO-27001-Zertifizierung verpflichtet sich Hetzner, Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten strikt zu schützen und sein ISMS kontinuierlich zu verbessern (regelmäßige Audits inklusive). Für unsere Kunden ergibt sich so eine kosteneffiziente Cloud-Lösung auf deutscher Infrastruktur, kombiniert mit dem vollen Management-Service von ayedo (Updates, Überwachung, Support etc.). Natürlich ist auch diese Option DSGVO-konform, da keine Daten in unsichere Drittstaaten abfließen.
Public Cloud auf IONOS
Auf Anforderung unterstützen wir ebenfalls den Betrieb auf IONOS Cloud (einem Cloud-Anbieter aus Deutschland, ehemals 1&1). IONOS ist besonders im Enterprise- und Public-Sector-Umfeld bekannt für hohe Compliance-Standards: Sie sind als erster Cloud-Provider nach dem BSI C5-Katalog zertifiziert und verfügen über ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) geprüftes Sicherheitsniveau. Konkret hat IONOS sowohl das BSI C5-Testat (Cloud Computing Compliance Criteria Catalogue) als auch eine BSI IT-Grundschutz Zertifizierung vorzuweisen, daneben selbstverständlich ISO/IEC 27001. Die IONOS-Rechenzentren (z.B. in Frankfurt am Main und Berlin) erfüllen höchste Sicherheitsanforderungen und laufen zu 100% mit Ökostrom. Diese Option eignet sich insbesondere für Kunden, die auf offiziell geprüfte Cloud-Compliance (C5) Wert legen – z.B. im öffentlichen Sektor oder regulierten Branchen. Auch bei IONOS bleiben die Daten innerhalb Deutschlands; das Angebot ist voll DSGVO-konform und bietet maximale Transparenz in Bezug auf Sicherheit und Datenschutz.
Zertifizierungen und Audits
Unsere Sicherheits- und Qualitätsversprechen sind durch unabhängige Stellen geprüft und bestätigt worden. Eine Übersicht der wichtigsten Zertifizierungen und Bescheinigungen:
- ISO/IEC 27001:2022 – Informationssicherheits-Managementsystem: ayedo ist seit 2024 nach der aktuellsten ISO 27001 zertifiziert. Die Zertifizierung wurde durch GUTcert durchgeführt und bescheinigt uns ein wirksames ISMS für den Geltungsbereich „Entwicklung, Betrieb und Hosting von Container-Lösungen“. Damit wird extern validiert, dass wir Vertraulichkeit, Integrität und Verfügbarkeit sensibler Informationen systematisch schützen. Unser ISMS umfasst Risikoanalysen, Sicherheitsrichtlinien, organisatorische Maßnahmen und regelmäßige Audits zur kontinuierlichen Verbesserung. Die Zertifizierung nach ISO 27001 garantiert unseren Kunden geprüfte Cybersecurity nach internationalem Standard, was Vertrauen schafft und hilft, Compliance-Anforderungen (z.B. aus dem IT-Sicherheitsgesetz oder branchenspezifischen Standards) zu erfüllen. Das gültige Zertifikat stellen wir auf Anfrage gern zur Verfügung.
- ISO 9001:2015 – Qualitätsmanagementsystem: Gleichzeitig haben wir unser Managementsystem um Aspekte des Qualitätsmanagements erweitert und ebenfalls nach ISO 9001 zertifizieren lassen. Die Integration von ISMS und QMS bedeutet, dass Sicherheit und Qualität bei uns Hand in Hand gehen. Wir verfolgen definierte Prozesse zur Leistungsqualität, Fehlervermeidung und Kundenzufriedenheit. Das zertifiziertes QMS bestätigt, dass wir fähig sind, Services konsistent auf hohem Niveau bereitzustellen und sich kontinuierlich zu verbessern (z.B. durch Kundenfeedback, interne Audits und Management-Reviews). Für unsere Kunden – oft selbst ISO-zertifiziert – ist dies ein wichtiger Indikator, dass wir nachweislich verlässliche und dokumentierte Abläufe haben.
Rechenzentrums-Zertifizierungen unserer Partner
Unsere Infrastrukturpartner verfügen über weitergehende Zertifikate, die die physische Sicherheit und Verfügbarkeit untermauern.
Netbuild GmbH (SAAR1)
Das Rechenzentrum SAAR1 (unser Haupt-Standort für Bare-Metal-Hosting) ist von der Netbuild GmbH betrieben und erfüllt den ANSI/TIA-942 Standard Tier III für Hochverfügbarkeit. Zudem ist es vom TÜV Saarland nach “tekit” auf Sicherheitsstufe 3 geprüft und ebenfalls ISO/IEC 27001-zertifiziert. Zu den Maßnahmen vor Ort gehören unter anderem redundante USV und Dieselgeneratoren (Notstrom), Brandfrühesterkennung mit Novec-Löschanlage, biometrische Zugangskontrollen, Videoüberwachung und 24/7 Wachdienst.
Hetzner Online GmbH
Auch Hetzner Online ist ISO/IEC 27001 zertifiziert (durch FOX Certification) und zwar für alle drei Rechenzentrumsstandorte in Deutschland und Finnland. Der Geltungsbereich des Hetzner-ISMS umfasst Infrastruktur, Rechenzentrumsbetrieb und Kundensupport, d.h. Sicherheitsprozesse greifen auf allen Ebenen des Betriebs. Hetzner veröffentlicht sein Zertifikat und erlaubt Kunden ausdrücklich, auf diese Zertifizierung im eigenen Compliance-Kontext hinzuweisen.
IONOS Cloud
IONOS Cloud als dritter wichtiger Infrastrukturpartner trägt folgende Gütesiegel:
- BSI C5-Testat (Cloud Security Controls),
- BSI Grundschutz-Zertifikat (auf Basis IT-Grundschutz-Katalog)
- ISO/IEC 27001.
Damit deckt IONOS sowohl international anerkannte Standards, als auch spezifische deutsche Behördenanforderungen ab. Unternehmen, die sich für ayedo auf IONOS-Infrastruktur entscheiden, profitieren somit von einer nachweislich audit-sicheren Cloud-Umgebung. IONOS betont zudem die vollständige DSGVO-Konformität seiner Dienste und die ausschließliche Speicherung in EU-Rechenzentren.
Technische und organisatorische Sicherheitsmaßnahmen (TOMs)
Um ein hohes Sicherheitsniveau in Betrieb und Entwicklung zu gewährleisten, setzt ayedo eine Vielzahl von technischen und organisatorischen Maßnahmen (TOM) um. Im Folgenden sind die wichtigsten Sicherheitsmaßnahmen unserer Plattform zusammengefasst:
Abgeschottete Infrastruktur & Mandantentrennung
Jedes Kunden-Deployment ist logisch voneinander isoliert. In unserer Multi-Tenant-Kubernetes-Umgebung sorgen Mechanismen wie Kubernetes-Namespaces und Role-Based Access Control für Trennung, bei größeren Umgebungen richten wir dedizierte Cluster oder sogar dedizierte Hardware für den Kunden ein. Durch den Einsatz des eBPF-basierten CNI-Plugins Cilium implementieren wir feingranulare Netzwerk-Segmentierung und Policy Enforcement zwischen Services. So sind z.B. Services verschiedener Kunden oder verschiedener Anwendungen strikt gegeneinander abgeschottet. Die Private-Cloud-Option bietet darüber hinaus eine komplette physische Trennung der Infrastruktur. Tenant-Isolation und sichere Mandantentrennung wurden auch beim Design unserer ayedo Cloud Platform berücksichtigt.
Netzwerk- und Zugriffssicherheit
Alle Server und Cluster sind durch eine Host-Firewall abgesichert – es gelten standardmäßig restriktive Eingangsregeln (z.B. nur freigegebene Ports/IPs) und zusätzliche Firewall-Regeln können kundenspezifisch gesetzt werden. Für den Zugriff auf Verwaltungsschnittstellen der Kubernetes-Cluster (Control Plane/API) setzen wir auf sichere Authentifizierungsmechanismen; Verwaltungstools funktionieren nur über verschlüsselte Kanäle und mit entsprechenden Berechtigungen. Innerhalb des Clusters werden Netzwerkzugriffe über Kubernetes Network Policies und Cilium auf das Nötigste begrenzt (Zero-Trust-Prinzip “deny by default”).
Ingress
Für eingehenden Traffic zu Anwendungen verwenden wir einen gehärteten Ingress Controller, der Sicherheitsfeatures wie Web Application Firewall (WAF) und Rate Limiting unterstützt. DDoS-Schutz kann je nach Infrastruktur ebenfalls aktiviert werden (z.B. bietet unser RZ-Partner Upstream-DDoS-Protection).
Identitäts- und Rechtemanagement
Die ayedo-Plattform verfügt über ein integriertes Identity Management auf Basis von Open-Source-Lösungen (Keycloak oder Authentik). Dadurch können Benutzer, Rollen und Zugriffsrechte zentral verwaltet werden. Kunden erhalten bei Bedarf eine eigene Instanz dieser IAM-Lösung in ihrer Private Cloud, was insbesondere für regulierte Umgebungen die Grundlage für Audit-Sicherheit und Nachvollziehbarkeit schafft. Unsere Lösung unterstützt Single Sign-On und die Integration mit bestehenden Verzeichnisdiensten (z.B. Microsoft Active Directory). Somit lassen sich vorhandene Nutzer- und Berechtigungsstrukturen ins Kubernetes-Ökosystem übernehmen. Das Prinzip der minimalen Berechtigung (Least Privilege) wird konsequent angewandt – jeder Nutzer erhält nur die Zugriffe, die er für seine Aufgabe benötigt. Durch dieses rollenbasierte Berechtigungsmanagement und mögliche AD-Anbindung ermöglichen wir Unternehmen den Aufbau einer Zero-Trust-Architektur über alle Komponenten hinweg.
Datenverschlüsselung
Sämtliche externen Schnittstellen und Endpunkte von Anwendungen werden ausnahmslos TLS-verschlüsselt bereitgestellt. Wir setzen hierfür automatisiertes Zertifikats-Management (z.B. Let’s Encrypt via Cert-Manager) ein, sodass für jede bereitgestellte Applikation automatisch gültige TLS-Zertifikate ausgestellt und erneuert werden. Dadurch ist die Datenübertragung zwischen Endnutzern und Ihrer Anwendung immer gesichert (HTTPS). Auch interne Kommunikationswege in der Plattform sind, wo immer möglich, kryptographisch abgesichert – z.B. Kommunikation zwischen Microservices innerhalb des Clusters über mTLS bei Einsatz von Service Mesh oder verschlüsselte Verbindungen zu Datenbanken. Auf Storage-Ebene bieten unsere Lösungen – je nach Bedarf – ebenfalls Verschlüsselung: Managed Datenbanken wie MongoDB, PostgreSQL etc. lassen sich so konfigurieren, dass gespeicherte Daten verschlüsselt abgelegt werden. In den darunterliegenden Cloud-Infrastrukturen (z.B. IONOS, Hetzner) stehen ebenfalls Mechanismen zur Volume-Verschlüsselung zur Verfügung, die wir bei sensiblen Daten einsetzen können. Somit sind Daten at rest und in transit geschützt.
Monitoring, Logging & Incident Response
Die ayedo Cloud Platform beinhaltet von Haus aus eine umfassende Observability-Stack. Metriken und Logs aller Workloads werden automatisch erfasst und in zentralen Tools gespeichert. Zum Einsatz kommen etablierte Lösungen wie Prometheus/VictoriaMetrics für Metriken, Loki/VictoriaLogs für Logdaten und Grafana für Dashboards. Kunden und unsere Techniker können dadurch in Echtzeit den Zustand aller Systeme überwachen.
Alarmierung
Wir haben ein 24/7 Monitoring mit konfigurierten Alerts – bei Überschreiten von Schwellwerten oder Auftreten von Fehlern werden umgehend unsere on-call DevOps-Engineers benachrichtigt. So können wir proaktiv auf Probleme reagieren, oft bevor der Kunde überhaupt etwas bemerkt. Im Falle von Störungen greifen definierte Incident-Response-Prozesse: Analyse der Ursache, schnelle Gegenmaßnahmen (Skalierung, Neustart, Fallback usw.) und transparente Kommunikation an den Kunden. Schwerwiegende Vorfälle werden intern nachbearbeitet (Post-Mortem-Analyse), um aus ihnen zu lernen. Alle Logs und Zugriffe werden für Auditzwecke revisionssicher vorgehalten.
Backup & Recovery
Für alle Managed Services (egal ob Kubernetes-Cluster oder Applikationen) stellt ayedo eine Backup-Lösung bereit. Standardmäßig führen wir täglich zwischen 0:00 und 7:00 Uhr ein automatisiertes Voll-Backup aller relevanten Daten durch. Diese Backups werden mindestens 14 Tage lang aufbewahrt und können im Bedarfsfall vom ayedo-Team schnell wieder eingespielt werden. Die Backup-Daten werden in getrennten Storage-Systemen gesichert. Bei Bedarf können auch längere Aufbewahrungsfristen oder gesonderte Backup-Intervalle mit dem Kunden vereinbart werden. Durch regelmäßige Probe-Restores stellen wir sicher, dass die Wiederherstellung im Ernstfall funktioniert. Neben Datenbank- und Dateisystem-Backups können auch komplette Cluster-Snapshots erzeugt werden, um im Desaster-Fall ein gesamtes Kubernetes-Setup wiederherzustellen. Im Zusammenspiel mit unserer Hochverfügbarkeitsarchitektur (siehe unten) ergibt sich so ein sehr robustes Disaster-Recovery-Konzept.
Hochverfügbarkeit und Ausfallsicherheit
Unsere Plattform wurde auf Redundanz und minimale Ausfallzeiten ausgelegt.
- Kubernetes Control Plane: Diese wird bei unseren größeren Clustern hochverfügbar und geo-redundant bereitgestellt – d.h. es existieren mehrere Master-Komponenten, verteilt auf bis zu 3 Verfügbarkeitszonen in Europa. Fällt ein Control-Plane-Knoten oder sogar ein ganzes Rechenzentrum aus, übernehmen die anderen automatisch.
- Worker-Nodes: Workloads werden über mehrere Hosts verteilt; durch automatisches Scheduling und (wo unterstützt) über mehrere AZs kann ein Hardware-Ausfall kompensiert werden, ohne dass die Anwendung downtime hat.
- Load Balancing: Für externe Services setzen wir geo-redundantes Loadbalancing ein – beispielsweise können wir über Anycast oder DNS-basierte Lastverteilung Traffic auf mehrere Rechenzentrumsstandorte verteilen. Dies erhöht nicht nur die Performance (kürzere Wege zum Nutzer), sondern stellt auch sicher, dass bei Ausfall eines Standorts der Traffic automatisch zum anderen umgeleitet wird.
- Datenbanken und Storage: Wir bieten hochverfügbare Storage-Lösungen (z.B. verteilte Ceph-Storage oder Cloud-Volumes mit automatischer Spiegelung), sodass Daten redundant vorhanden sind. Unsere CI/CD- und DevOps-Services (Container Registry, Git, etc.) können ebenfalls in redundanter Ausführung bereitgestellt werden, insbesondere in Private-Cloud-Szenarien, damit zentrale Dienste nicht zum Single Point of Failure werden. Insgesamt können wir, je nach gebuchtem Paket, eine sehr hohe Service-Verfügbarkeit gewährleisten (siehe SLA unten), technisch untermauert durch Redundanz auf allen Ebenen.
Patch-Management und Wartung
Security Patches und Updates werden von uns zeitnah eingespielt, um bekannte Schwachstellen schnell zu schließen. In unserem Managed Service Verständnis übernehmen unsere Administratoren sowohl regelmäßige geplante Updates (z.B. neue Kubernetes-Versionen, Betriebssystem-Updates der Nodes) als auch kurzfristige sicherheitsrelevante Updates außerhalb des normalen Wartungsfensters, falls nötig. Wir monitoren aktiv gängige Security-Advisories (z.B. CVEs) für die eingesetzte Software und reagieren unmittelbar bei kritischen Lücken. Updates erfolgen entweder automatisiert (wo möglich) oder manuell durch unser Team – immer kontrolliert und auf einer Staging-Umgebung getestet, um Stabilität zu gewährleisten. Während geplanter Wartungsarbeiten informieren wir unsere Kunden rechtzeitig. Viele Updates können jedoch ohne Downtime durchgeführt werden (Rolling Updates von Container-Workloads). Dank unseres 24/7 Bereitschafts-Teams kann auch außerhalb üblicher Zeiten (z.B. nachts oder am Wochenende) ein dringender Patch implementiert werden, sollte eine akute Bedrohung auftreten. Dies erhöht die Sicherheit Ihrer Systeme beträchtlich, da die Angriffsfläche durch bekannte Exploits minimal gehalten wird.
Datenschutz-Compliance
Neben technischen Sicherheitsmaßnahmen achtet ayedo strikt auf die Einhaltung der Datenschutzgrundverordnung (DSGVO) und weiterer Datenschutzgesetze. Alle Kundendaten werden innerhalb der EU gespeichert und verarbeitet. Wir schließen mit unseren Kunden Auftragsverarbeitungsverträge (AVV) gemäß Art. 28 DSGVO, in denen die technischen und organisatorischen Maßnahmen detailliert dokumentiert sind und die Pflichten beider Seiten festgelegt werden. Darin sind auch die TOM unserer Unterauftragsverarbeiter (z.B. Rechenzentrumsbetreiber wie Hetzner oder IONOS) beigefügt, da Transparenz für unsere Kunden oberste Priorität hat. Unsere Datenschutzerklärung erläutert zudem, wie wir mit personenbezogenen Daten umgehen, und unsere Mitarbeiter sind auf Vertraulichkeit verpflichtet. Durch die ISO-27001-Zertifizierung wird auch bestätigt, dass wir Datenschutzrisiken angemessen behandeln und regelmäßig evaluieren. Für besonders sensitive Daten können zusätzliche Schutzmaßnahmen vereinbart werden (z.B. Verschlüsselung durch den Kunden selbst, dedizierte Hardware ohne Multi-Tenancy etc.). Kurzum: ayedo bietet eine sichere und DSGVO-konforme Cloud-Umgebung, in der Ihre Daten ebenso gut geschützt sind wie in einer klassischen Eigenrechenzentrums-Lösung – jedoch mit den Vorteilen der Cloud (Skalierbarkeit, Flexibilität) und unserem Expertenbetrieb.
Organisatorische Maßnahmen & interne Sicherheit
Intern hat ayedo klare Prozesse und Verantwortlichkeiten für die Sicherheit etabliert. Es existiert ein benannter Informationssicherheitsbeauftragter (ISB), der die Einhaltung und Weiterentwicklung der Security-Policies überwacht, sowie ein Qualitätsmanagement-Beauftragter (QMB) für Prozessqualität. Mitarbeiter werden regelmäßig zu Themen der Informationssicherheit und des Datenschutzes geschult. Der Zugriff auf Kundensysteme durch unser Personal erfolgt nach dem Principle of least privilege und nur nach notwendigen Gesichtspunkten; Administrationszugriffe sind auf wenige berechtigte Fachkräfte beschränkt, die sich stark authentisieren (z.B. SSO und MFA-Pflicht) und deren Zugriffe protokolliert werden. Wir verfügen über ein internes Wiki und ein zentrales Wissensmanagement, um Lessons Learned sowie Sicherheitsvorgaben aktuell zu halten. Änderungen an der Infrastruktur unterliegen einem definierten Change-Management-Prozess, inklusive Freigaben und ggf. Kundenabstimmung. Zudem führen wir regelmäßige interne und externe Audits unseres IMS durch und nehmen jährliche Management-Bewertungen unserer Sicherheits- und Qualitätsziele vor. Dies alles stellt sicher, dass das Sicherheitsniveau nicht nur erreicht, sondern kontinuierlich verbessert wird. Externe Penetrationstests und Notfallübungen runden unser organisatorisches Sicherheitskonzept ab.
(Anmerkung: Dieser Abschnitt bietet einen Überblick über die wichtigsten Maßnahmen. In unseren ausführlichen Unterlagen – etwa dem Technisch-organisatorische Maßnahmen (TOM)-Anhang zum AV-Vertrag – sind weitere Details aufgeführt, wie z.B. Passwort-Policies, Patch-Management-Prozesse, Notfallpläne, etc. Diese Dokumente stellen wir interessierten Kunden auf Anfrage gerne zur Verfügung.)
Service Levels, Verträge und weitere Compliance-Aspekte
Neben der technischen Sicherheit legt ayedo Wert auf transparente vertragliche Regelungen und zuverlässigen Service, damit Sie jederzeit Vertrauen in den Betrieb Ihrer Anwendungen haben. Wichtige Punkte dazu sind:
Service Level Agreement (SLA)
Unsere Garantien bezüglich Reaktionszeit und Verfügbarkeit sind im SLA formal festgehalten. Wir garantieren eine Grundverfügbarkeit unserer Systeme von 99,5% im Jahresmittel (Netzwerk- und Hardwareverfügbarkeit der Cloud-Infrastruktur). Diese Verfügbarkeitszusage gilt für alle Kernkomponenten, die in unserem Verantwortungsbereich liegen. Sollte die tatsächliche Verfügbarkeit unter den garantierten Wert fallen, sieht das SLA Gutschriften für den Kunden vor – pro 1% Unterschreitung werden z.B. 5% des monatlichen Entgelts erstattet (mit einer Kappungsgrenze von 25% p.a.). Damit sind finanzielle Compensation-Mechanismen definiert, die unsere Commitment untermauern. Das SLA definiert außerdem Reaktionszeiten für Support-Anfragen: während der Geschäftszeiten reagieren wir innerhalb kurzer Fristen, bei kritischen Störungen (z.B. Ausfall eines produktiven Systems) auch außerhalb der Kernzeiten sehr schnell. Wir bieten mehrstufige Support-Levels (Basic vs. Priority Support), wobei im höchsten Level ein 24/7 Bereitschaftsdienst garantiert ist. Kunden können uns über verschiedene Kanäle erreichen – Ticket-System, E-Mail und für Notfälle auch telefonisch – und wir stellen sicher, dass immer ein qualifizierter Engineer verfügbar ist, der sich des Problems annimmt. Unser persönlicher Kundenservice wird von vielen Kunden geschätzt: wir kommunizieren klar, auf Deutsch oder Englisch, und beziehen den Kunden auf Wunsch aktiv in Entscheidungen mit ein. Das SLA-Dokument kann in voller Länge auf unserer Website eingesehen werden.
Allgemeine Geschäftsbedingungen (AGB)
In unseren AGB sind die rechtlichen Rahmenbedingungen der Zusammenarbeit festgelegt. Wichtig zu wissen: Wir richten uns ausschließlich an gewerbliche Kunden (B2B), das heißt, sämtliche Leistungen werden auf professioneller Basis mit Unternehmen, Behörden oder Organisationen vereinbart. Die AGB regeln u.a. den Leistungsumfang, Haftungsfragen, Pflichten des Kunden und von ayedo, Vertragslaufzeiten und Kündigungsfristen. So ist zum Beispiel festgelegt, dass ayedo berechtigt ist, zur Leistungserbringung Subunternehmer (wie Rechenzentrums-Provider) einzusetzen, wobei ayedo weiterhin für deren Leistung einsteht. Unsere Haftung ist, wie branchenüblich, auf vorsätzliches und grob fahrlässiges Verhalten begrenzt und wir empfehlen Kunden, wichtige Daten zusätzlich zu sichern (wobei wir selbst ein robustes Backup anbieten, siehe oben). Die AGB sowie das SLA werden dem Kunden bei Vertragsabschluss ausgehändigt und sind integraler Bestandteil des Vertrages. Wir haben versucht, diese Dokumente so verständlich und fair wie möglich zu gestalten.
Datenschutz und Auftragsverarbeitung
Wie bereits im TOM-Abschnitt erwähnt, schließen wir mit unseren Kunden einen Vertrag zur Auftragsverarbeitung (AVV), wann immer wir im Auftrag personenbezogene Daten verarbeiten. Darin werden alle gemäß Art. 28 DSGVO erforderlichen Punkte geregelt: Gegenstand und Dauer der Verarbeitung, Art der personenbezogenen Daten, Pflichten von ayedo als Auftragsverarbeiter, Weisungsrecht des Kunden, Unterauftragsverhältnisse etc. Ein wesentlicher Bestandteil sind die oben skizzierten Technisch-organisatorischen Maßnahmen, die fester Vertragsbestandteil sind. Wir legen offen, welche Subunternehmer (z.B. Hetzner Online GmbH, IONOS SE, Loopback UG) ggf. beteiligt sind und stellen sicher, dass auch mit diesen entsprechende AVV/Sub-AVVs bestehen. Der Kunde hat das Recht, unsere Einhaltung der vereinbarten Maßnahmen zu überprüfen oder durch Prüfer überprüfen zu lassen (Audit-Recht), was wir durch unsere ISO-Zertifizierung in der Praxis erleichtern, da viele Compliance-Prüfer diese Zertifikate als Nachweise akzeptieren. ayedo selbst unterliegt als deutsches Unternehmen natürlich ebenfalls der DSGVO und dem BDSG. Wir haben einen internen Datenschutzbeauftragten benannt, welcher die Einhaltung der Vorschriften überwacht. Zudem sind wir Mitglied in Initiativen zur Datensouveränität und engagieren uns für maximal transparente Cloud-Lösungen. Unsere Datenschutzerklärung finden Sie auf unserer Webseite; dort wird erläutert, welche Daten wir verarbeiten und welche Rechte Betroffene haben.
Weitere Compliance-Themen
ayedo unterstützt auf Nachfrage branchenspezifische Compliance-Vorgaben. Beispielsweise können wir unseren Kunden helfen, Penetrationstests in ihrer Umgebung durchzuführen, und wir reagieren konstruktiv auf Sicherheits-Tests von Kundenseite. Für Kunden aus dem Finanzsektor (BaFin-reguliert) oder Gesundheitswesen können wir zusätzliche Dokumentationen liefern, etwa Notfallhandbücher, Risikoanalysen oder Mapping unserer Controls auf gängige Frameworks (z.B. DORA), soweit erforderlich. Wir verfügen intern über ein Compliance-Team, das sich mit den Anforderungen von Regulierungen (KRITIS, TISAX, PCI-DSS für Zahlungsdaten, etc.) auseinandersetzt und Lösungen dafür erarbeitet, wie unsere Plattform diesen gerecht wird. So streben wir perspektivisch auch eigene BSI C5- und weitere Zertifizierungen an, um unsere Eignung für hochsensible Anwendungsfälle weiter zu untermauern. Bereits jetzt erlaubt jedoch die Kombination aus unseren ISO-Zertifizierungen, den zertifizierten Rechenzentren und unseren dokumentierten Sicherheitsmaßnahmen, dass Kunden ihre Compliance-Anforderungen mit ayedo erfüllen können. Gerne stellen wir Ihnen bei Bedarf alle relevanten Nachweise und Dokumente zusammen. Sprechen Sie uns einfach an, falls bestimmte Unterlagen oder Auskünfte in Ihrem spezifischen Fall benötigt werden.