Zuletzt überprüft: April 2026
Hosting & Infrastruktur
- RechenzentrumEU (Details auf Anfrage — Anbieter gemäß Unterauftragsverarbeiter-Liste im AVV)
- DatenstandortAusschließlich innerhalb der Europäischen Union
- Zertifizierungen HosterISO 27001, DSGVO-konform
- Physische SicherheitZutrittskontrolle, Videoüberwachung, 24/7-Security
Verschlüsselung
- In TransitTLS 1.3 — erzwungen für alle Verbindungen (HSTS aktiv)
- At RestAES-256 — Festplatten- und Backup-Verschlüsselung
- PasswörterSpeicherung ausschließlich als Bcrypt-Hash mit zufälligem Salt
Zugriffsschutz & Authentifizierung
- 2-Faktor-Authentifizierung (2FA/MFA) verfügbar für alle Cockpit-Logins (TOTP via Authenticator-App)
- Rollen- und Berechtigungskonzept: Mitarbeiter, Admin, Superadmin — jeder Zugriff nach dem Prinzip der minimalen Rechte
- Session-Management: Automatischer Logout nach Inaktivität, sichere Session-Tokens (HttpOnly, SameSite=Strict)
- Passwort-Policy: Mindestlänge 12 Zeichen, Kombinationen aus Buchstaben, Zahlen und Sonderzeichen erzwungen
- Brute-Force-Schutz: Rate-Limiting und automatische Sperrung bei verdächtigen Login-Versuchen
Backups & Wiederherstellung
| Maßnahme | Frequenz | Retention |
|---|---|---|
| Inkrementelles Backup | Täglich | 30 Tage |
| Vollständiges Backup | Wöchentlich | 12 Monate |
| Off-Site-Backup (EU) | Täglich | 90 Tage |
- Recovery Point Objective (RPO): 24 Stunden
- Recovery Time Objective (RTO): max. 8 Stunden bei Total-Ausfall
- Disaster-Recovery-Tests: mindestens jährlich
Audit-Log & Revisionssicherheit
Alle sicherheits- und buchhaltungsrelevanten Vorgänge (Login, Änderung von Zeitbuchungen, Erstellung von Lieferscheinen, Berechtigungsänderungen) werden in einem manipulationssicheren Audit-Log protokolliert. Das Log ist über das Cockpit für berechtigte Admins einsehbar.
DSGVO & Datenschutz
- Auftragsverarbeitungsvertrag nach Art. 28 DSGVO: siehe AVV
- Verfahrensverzeichnis vorhanden
- Datenschutzerklärung: siehe Datenschutz
- Verletzungen des Schutzes personenbezogener Daten werden innerhalb von 24 Stunden gemeldet
- Datenexport jederzeit möglich (CSV/Excel)
- Vollständige Löschung nach 30 Tagen ab Vertragsende (vorbehaltlich gesetzlicher Aufbewahrungsfristen)
Schwachstellen-Meldung (Responsible Disclosure)
Wir nehmen Sicherheitshinweise ernst. Wenn Sie eine Schwachstelle entdecken, melden Sie diese bitte an security@operisdesk.app. Details und unser PGP-Key sind in unserer security.txt (RFC 9116) hinterlegt.
Status & Verfügbarkeit
Aktuelle Systemverfügbarkeit und Incident-Historie: status.operisdesk.app (in Vorbereitung).
Verfügbarkeitszusagen: siehe SLA.