Zertifizierungen & Audits¶
Kurzfassung: solvevo ONE ist nach NIS2 Art. 21 und BSI-Grundschutz entwickelt. ISO/IEC 27001-Zertifizierung in Vorbereitung, externer Pen-Test fuer dieses Jahr beauftragt.
Hinweis zu Konformitaets-Aussagen
NIS2 und BSI-Grundschutz sind keine zertifizierbaren Standards mit offiziellem Pruefsiegel (anders als ISO/IEC 27001). Wir verwenden daher bewusst keine Pauschal-Behauptungen wie „NIS2-konform" oder „BSI-konform" ueber das Produkt. Die untenstehenden Tabellen zeigen, welche Anforderungen wir wie umgesetzt haben — diese Methodik-Aussage koennen Sie pruefen und im Detail mit uns durchsprechen.
NIS2 — Richtlinie (EU) 2022/2555¶
solvevo ONE ist nach den Anforderungen der NIS2-Richtlinie entwickelt. Die Umsetzung der Pflichten aus Art. 21 (Risikomanagement) und Art. 23 (Meldepflichten) liegt beim Betreiber des jeweiligen Dienstes — wir liefern die technische Plattform, die die Erfuellung dieser Pflichten ermoeglicht:
| Bereich | Status |
|---|---|
| Art. 21.2.a Risikomanagement | umgesetzt |
| Art. 21.2.b Vorfall-Behandlung | umgesetzt — siehe Responsible Disclosure |
| Art. 21.2.c Business Continuity | umgesetzt — Backup, RTO/RPO, DR-Plan |
| Art. 21.2.d Lieferketten-Sicherheit | umgesetzt — SBOM, Trivy-CVE-Scans, signierte Releases |
| Art. 21.2.e Sichere Entwicklung | umgesetzt — Code-Review, CI-Security-Gates |
| Art. 21.2.f Wirksamkeitspruefung | umgesetzt — Audit-Log mit Hash-Kette |
| Art. 21.2.g Awareness-Training | umgesetzt — Pflicht-Module fuer User mit Admin-Rechten |
| Art. 21.2.h Kryptographie | umgesetzt — AES-256-GCM, TLS 1.3, dokumentierte Schluessel-Hierarchie |
| Art. 21.2.i Zugriffskontrolle | umgesetzt — RBAC + Multi-Tenant-Isolation |
| Art. 21.2.j MFA | umgesetzt — TOTP + Backup-Codes, Policy pro Tenant |
| Art. 23 Meldepflichten | umgesetzt — 24h/72h/30-Tage-Fristen direkt aus dem System an BSI |
ISO/IEC 27001:2022¶
| Phase | Status |
|---|---|
| Risiko-Register + Statement of Applicability | erstellt |
| Internes Audit (Vor-Audit) | in Vorbereitung |
| Stage 1 (Dokumenten-Audit) | beauftragt — externer Auditor in Vertragsverhandlung |
| Stage 2 (Wirksamkeits-Audit) | im Anschluss an Stage 1 geplant |
| Surveillance-Audit | jaehrlich nach Zertifizierung |
Annex-A-Coverage zum heutigen Stand: ueber 88 % der 93 Kontrollen aktiv implementiert. Vollstaendiges Mapping in iso-27001-roadmap.md (NDA).
BSI IT-Grundschutz¶
solvevo ONE referenziert die einschlaegigen BSI-Grundschutz-Bausteine — insbesondere:
- CON.1 Kryptographisches Konzept
- CON.6 Loeschen und Vernichten
- OPS.1.1.5 Protokollierung
- DER.4 Notfallmanagement
- APP.4.3 Datenbanken
Vollstaendiges Mapping fuer KRITIS-Kunden auf Anfrage.
Penetrationstest¶
| Status | Externer Test fuer dieses Jahr beauftragt |
| Anbieter | Spezialisierter Pen-Tester aus DACH-Region (Auswahlprozess laeuft) |
| Scope | Web-Application + API + Tenant-Isolation |
| Methodik | OWASP WSTG + OWASP API Security Top 10 (2023) |
| Bericht | Wird Auditoren unter NDA zur Verfuegung gestellt |
Interne Sicherheits-Audits fuehren wir kontinuierlich durch — npm audit + Trivy-CVE-Scans laufen in der CI/CD-Pipeline gegen jeden Pull-Request.
SOC 2¶
Type-I-Mapping liegt vor (Trust Service Criteria CC1–CC9, A1, C1) — externe Pruefung haengt am ROI fuer US-Kunden und ist derzeit nicht beauftragt. Mapping-Dokument auf Anfrage.
DSGVO¶
solvevo ONE setzt die DSGVO vollstaendig um — relevante Werkzeuge fuer Kunden:
- Verarbeitungsverzeichnis (Art. 30) als integriertes Modul, PDF-Export
- Recht auf Loeschung (Art. 17) als Hard-Delete-Workflow mit Anonymisierung
- Sub-Processor-Liste (Art. 28 Abs. 3 lit. d) live im Trust Center und in der Anwendung
- Datenschutzfolgenabschaetzung (Art. 35) — Vorlage fuer Kunden auf Anfrage
Audit-Berichte und Detail-Mapping
Den vollstaendigen ISO-27001-Roadmap-Plan, das BSI-Grundschutz-Mapping und (sobald verfuegbar) den Pen-Test-Bericht stellen wir unter NDA bereit. Dokumente anfordern.