Sicherheit und Datenschutz
Wie wir mit Ihren Daten umgehen.
Wir sind ein kleines Team, das ein CRM für andere kleine Teams entwickelt. Sie müssen sich nicht einfach auf unser Wort verlassen, was die Angaben auf dieser Seite betrifft – jede der folgenden Aussagen lässt sich im Produkt, im AVV (Auftragsverarbeitungsvertrag) oder durch direkte Rückfrage bei uns überprüfen.
Verschlüsselung im Ruhezustand
Jedes Kontaktfeld wird im Ruhezustand mit AES-256-GCM verschlüsselt. Jeder Mandant verfügt über einen eigenen Verschlüsselungsschlüssel. Die Daten eines Arbeitsbereichs können nicht mit dem Schlüssel eines anderen Arbeitsbereichs entschlüsselt werden – weder von uns noch von einem Angreifer, dem es gelingt, die Datenbank auszulesen.
Die Schlüssel werden in einem Schlüsselverwaltungsdienst verwaltet und nicht zusammen mit den Daten gespeichert. Wenn Sie kündigen, kann Ihr Mandantenschlüssel deaktiviert werden, und der verbleibende Chiffretext wird unlesbar.
Isolierung von Mietern
Die mandantenübergreifende Isolation auf Zeilenebene wird in der Datenbank und nicht im Anwendungscode durchgesetzt. Jede Abfrage ist auf der Postgres-Ebene auf Ihre Mandanten-ID beschränkt. Mandantenübergreifende Lesezugriffe sind kein Feature-Flag – sie sind auf Datenbankebene technisch unmöglich.
Protokollierung von Prüfvorgängen
Jede Änderung wird zusammen mit dem Ausführenden, dem betroffenen Datensatz, den bisherigen und neuen Werten sowie dem Zeitstempel protokolliert. Workspace-Administratoren können den vollständigen Prüfpfad jederzeit exportieren. Die Protokolle sind nur für den Nachtrag zugänglich.
Authentifizierung
Plattformadministratoren authentifizieren sich über WebAuthn bzw. Passkeys – keine gemeinsam genutzten Passwörter, keine SMS-basierte Zwei-Faktor-Authentifizierung. Workspace-Benutzer melden sich mit E-Mail-Adresse und Passkey oder Passwort an; Passwortkonten verwenden Argon2id mit benutzerspezifischen Salts.
Anwendungsbereich der KI
Nexus, unser KI-Assistent, verfügt über mehr als 60 Tools, die mit Ihrem Arbeitsbereichsschema verknüpft sind. Er hat keinen Zugriff auf andere Mandanten, und ohne eine ausdrückliche, bereichsbezogene Integration kann er keine ausgehenden Aufrufe an externe Dienste in Ihrem Namen tätigen.
Standardmäßig erfolgt die KI-Inferenz auf AWS Bedrock in der EU, in einer Zero-Retention-Konfiguration: Eingaben und Ausgaben werden nicht protokolliert und nicht zum Trainieren von Modellen verwendet.
Recht & Compliance
DSGVO-konform. Wir verfügen über einen AVV (Auftragsverarbeitungsvertrag), den Ihr Ansprechpartner im Rechtsbereich sofort abrufen kann – lesen Sie den AVV.
Anträge auf das Recht auf Vergessenwerden werden produktintern bearbeitet: Ein Administrator kann einen Kontakt löschen, und das Prüfprotokoll zeichnet die Löschung auf. Auskunftsersuchen von betroffenen Personen werden über [email protected] bearbeitet.
Siehe auch: unsere Datenschutzerklärung, Nutzungsbedingungen und Liste der Unterauftragsverarbeiter.
Was wir noch nicht haben
Wir sind nicht nach SOC 2 Typ II oder ISO 27001 zertifiziert.
Diese Zertifizierungen sind in unserer Roadmap vorgesehen, aber wir geben nicht vor, dass wir sie bereits besitzen. Sollte Ihr Beschaffungsteam eine dieser Zertifizierungen bereits heute benötigen, ist FlowGrid derzeit noch nicht die richtige Lösung für Sie, und wir werden nicht so tun, als wäre dies der Fall.
Wir streben weder HIPAA noch BAA an. FlowGrid ist nicht für Arbeitsabläufe im Gesundheitswesen konzipiert; wenn Ihr Anwendungsfall den Umgang mit geschützten Gesundheitsdaten erfordert, sind wir nicht das richtige Tool für Sie.
Falls Sie uns ohnehin prüfen möchten, sind folgende Informationen für Sie am nützlichsten: der oben genannte AVV, diese Seite, ein direkter Kontakt zum Team sowie Lesezugriff auf das Live-Produkt, damit Ihr Sicherheitsprüfer es sich genauer ansehen kann.
Haben Sie eine Frage, die auf dieser Seite nicht beantwortet wurde?
Schreiben Sie uns eine E-Mail. Ein Mitarbeiter aus unserem Team wird Ihnen antworten – kein automatisches Ticket-System.
[email protected]