Bespokely

Sicherheits- und Technische & Organisatorische Maßnahmen

Letzte Aktualisierung: 20. Mai 2026
Version: 1.0
Permanenter Link zu dieser Version: bespokely.io/legal/security/v1.0

Diese Seite beschreibt die technischen und organisatorischen Maßnahmen ("TOMs"), die Bespokely Inc. ("Bespokely") implementiert, um personenbezogene Daten, die in ihren Produkten verarbeitet werden, zu schützen, um den Anforderungen des Art. 32 DSGVO und gleichwertigen Verpflichtungen nach anderen Datenschutzgesetzen nachzukommen.

Diese Seite gilt für alle Produkte, die von Bespokely Inc. betrieben werden. Wenn ein Produkt wesentlich von der Plattform-Baseline abweicht, wird dies in §13 Produktspezifische Hinweise hervorgehoben.

§1 Informationssicherheits-Governance

  • Ein dokumentiertes Informationssicherheitsprogramm, das mindestens jährlich überprüft wird.
  • Sicherheitsverantwortung auf der Ebene des Gründers (Edgardo Romo, verantwortlicher Geschäftsführer).
  • Sicherheitsrichtlinien, die Folgendes abdecken: Zugriffskontrolle, akzeptable Nutzung, Vorfallreaktion, Lieferantenmanagement, Änderungsmanagement, Geschäftskontinuität.
  • Alle Mitarbeiter erkennen die Sicherheitsrichtlinie bei der Einstellung und bei jeder wesentlichen Aktualisierung an.

§2 Zugriffskontrolle

§2.1 Identität und Authentifizierung

  • Individuelle benannte Konten für jeden Bespokely-Betreiber. Keine gemeinsamen Anmeldeinformationen.
  • Obligatorische Multi-Faktor-Authentifizierung (mindestens TOTP) für alle administrativen Zugriffe auf Produktionssysteme.
  • Single Sign-On über den Bespokely-Identitätsanbieter für jeden Betreiber mit Produktionszugang.
  • Endbenutzer authentifizieren sich über das Authentifizierungssystem des jeweiligen Produkts (Supabase Auth) mit bcrypt-hashierten Passwörtern und optionalem TOTP.

§2.2 Autorisierung und geringste Privilegien

  • Prinzip des Bedarfs: Der Zugang zu Kundendaten wird nur den Betreibern gewährt, die ihn für eine spezifische Aufgabe benötigen.
  • Rollenbasierte Zugriffskontrolle auf Anwendungsebene.
  • Row-Level Security (RLS)-Richtlinien auf allen Datenbanktabellen, die personenbezogene Daten enthalten.
  • Der Supabase service_role-Schlüssel wird nur in serverseitigen Umgebungsvariablen gehalten; er wird niemals in clientseitigen Bundles offengelegt.

§2.3 Joiner/Mover/Leaver-Prozess

  • Bereitstellung per Ticket gegen den Identitätsanbieter.
  • Vierteljährliche Zugriffsüberprüfung durch den Sicherheitsverantwortlichen; ausgeschiedene Mitarbeiter werden innerhalb von 24 Stunden nach dem Offboarding entfernt.

§3 Datenverschlüsselung

§3.1 Im Ruhezustand

  • AES-256-Verschlüsselung für alle Kundendaten, die in PostgreSQL, Objektspeicher (Supabase Storage) und Backups gespeichert sind.
  • Datenbank-Backups werden mit vom Anbieter verwalteten Schlüsseln verschlüsselt; Schlüsselrotation gemäß der Richtlinie des Anbieters.
  • Sensible Geheimnisse (API-Schlüssel, OAuth-Token, Zahlungsreferenzen) werden in speziellen Geheimnis-Managern oder auf Spaltenebene mit pgsodium / pgcrypto verschlüsselt.

§3.2 Während der Übertragung

  • TLS 1.2 mindestens; TLS 1.3 bevorzugt. Unsichere Protokolle sind deaktiviert.
  • HSTS ist auf allen kundenorientierten Domains aktiviert.
  • Datenbankverbindungen verwenden SSL mit sslmode=require mindestens (verify-full bevorzugt für Server-zu-Datenbank-Verbindungen).
  • Interne Service-zu-Service-Anrufe verwenden TLS, das am empfangenden Dienst terminiert wird.

§4 Netzwerk- und Infrastruktursicherheit

  • Alle Infrastrukturen laufen auf verwalteten Anbietern (Vercel, Supabase) mit deren zugrunde liegendem Compliance-Status (Vercel und Supabase verlassen sich auf AWS-Infrastruktur für die EU-Region — AWS hält ISO 27001, SOC 2 Typ II und andere Zertifizierungen).
  • DDoS-Schutz am Rand über Vercel.
  • Netzwerksegmentierung zwischen Produktions-, Staging- und Entwicklungsumgebungen. Keine gemeinsamen Datenbanken über Umgebungen hinweg.
  • Datenisolierung pro Mandant: ein Supabase-Projekt pro Kunde für Kunden-Datenlasten.

§5 Anwendungssicherheit und Softwareentwicklungslebenszyklus

  • Alle Codeänderungen durchlaufen eine Pull-Request-Überprüfung.
  • Statische Analysen (Linter, Typprüfer, Abhängigkeitsprüfung) werden bei jeder Änderung durchgeführt.
  • Abhängigkeiten werden über Lockfiles verfolgt; Updates werden mindestens monatlich überprüft.
  • Produktionsbereitstellungen sind unveränderlich und versionsgebunden; Rollbacks sind mit einem Klick möglich.
  • Geheimnisse werden niemals in die Quellkontrolle eingegeben; Pre-Commit-Geheimnis-Scanning ist aktiviert.
  • Webanfälligkeiten werden durch schichtenbasierte Schutzmaßnahmen (CSRF-Token, Ausgabe-Codierung, parametrisierte Abfragen) und plattformbasierte Schutzmaßnahmen (Vercel WAF, CSP-Header) gemindert.

§6 Protokollierung, Überwachung und Audit

  • Das Audit-Protokoll auf Anwendungsebene zeichnet jede Mutation personenbezogener Daten auf: Akteur, Zeitstempel, Datensatz-ID, Aktion. Die Audit-Protokoll-Payloads beziehen sich nur auf Datensatz-IDs — sie enthalten nicht die personenbezogenen Daten selbst.
  • Das Datenbank-Audit-Protokoll ist auf Supabase-Ebene aktiviert; Abfragen von Betreibern gegen Tabellen mit personenbezogenen Daten werden protokolliert.
  • Vercel-Laufzeitprotokolle erfassen anforderungsbezogene Daten (IP-Adresse gekürzt, Zeitstempel, Pfad, Status). Aufbewahrung: 30 Tage.
  • Sentry erfasst Anwendungsfehler mit aktivierter PII-Bereinigung (E-Mail- und Freitextfelder werden vor der Übertragung redigiert).
  • Audit-Protokolle werden 3 Jahre lang aufbewahrt, um die Anforderungen des Art. 7 DSGVO zur Nachweisführung der Einwilligung und für betriebliche forensische Bedürfnisse zu erfüllen.

§7 Vorfallserkennung und -reaktion

  • 24×7-Alarmierung bei Verfügbarkeits- und Sicherheitszeichen (gescheiterte Authentifizierungs-Spitzen, ungewöhnliche Datenexportvolumina, Fehler-Spitzen).
  • Dokumentierter Vorfallreaktionsplan mit Schweregradklassifizierung.
  • Benachrichtigung des Kunden: Bei einem bestätigten Sicherheitsvorfall, der personenbezogene Daten eines Kunden betrifft, benachrichtigt Bespokely den Kunden (Verantwortlichen) ohne unangemessene Verzögerung und in jedem Fall innerhalb von 24 Stunden nach Bestätigung. Dies ist schneller als das 72-Stunden-Fenster für Verantwortliche gegenüber der DPA gemäß Art. 33 DSGVO, um den Verantwortlichen Vorlaufzeit zu geben.
  • Nach dem Vorfall: schriftliche Nachbesprechung innerhalb von 14 Tagen, einschließlich der Maßnahmen zur Behebung und Aktualisierungen der Sicherheitsdokumentation, falls zutreffend.

§8 Backup und Geschäftskontinuität

  • Verschlüsselte tägliche Backups aller Kundendatenbanken.
  • Backup-Aufbewahrung: 7 Tage, mit Wiederherstellung zu einem bestimmten Zeitpunkt innerhalb dieses Zeitraums.
  • Backups werden in derselben EU-Region wie die primären Daten gespeichert (Frankfurt für Produkte in der EU-Region).
  • Vierteljährliche Wiederherstellungstests für mindestens eine Produktionsdatenbank zur Validierung der Wiederherstellbarkeit.
  • Dokumentierter Notfallwiederherstellungsplan mit Ziel-RTO ≤ 4 Stunden und RPO ≤ 24 Stunden für regionale Ausfälle; länger für regionalweite Ausfälle.

§9 Personalsicherheit

  • Hintergrundüberprüfungen für alle Betreiber mit Produktionszugang, vorbehaltlich des geltenden Rechts.
  • Vertraulichkeitsverpflichtungen in jedem Arbeits- und Vertragsverhältnis.
  • Jährliches Schulungstraining zur Sicherheitsbewusstseinsbildung, einschließlich Phishing-Simulation.
  • Bring-your-own-device ist nur für den Nicht-Produktionszugang erlaubt; Produktionszugang nur von verwalteten Geräten.

§10 Lieferanten- und Unterauftragnehmermanagement

  • Jeder Unterauftragnehmer unter einem schriftlichen Datenverarbeitungsvertrag, der, wo anwendbar, Standardvertragsklauseln enthält.
  • Jährliche Überprüfung der Sicherheitslage und DPF-/Zertifizierungsstatus jedes Unterauftragnehmers.
  • Öffentliche Liste der Unterauftragnehmer wird unter bespokely.io/legal/sub-processors geführt, die 30 Tage im Voraus über Änderungen gemäß der DPA des Kunden aktualisiert wird.
  • Kunden behalten sich das Recht vor, gegen einen neuen Unterauftragnehmer Einspruch zu erheben.

§11 Datenstandort und Souveränität

  • Kundendaten für Produkte, die EU-Kunden bedienen, werden in AWS eu-central-1 (Frankfurt, Deutschland) gehostet.
  • Keine Multi-Region-Replikation von Kundendaten außerhalb der EU.
  • LLM-Inferenz-Unterauftragnehmer (OpenAI, Anthropic) arbeiten in den USA und verarbeiten dort Eingaben unter DPF / SCCs; wir konfigurieren diese Anbieter so, dass sie, wo die Option besteht, auf das Training mit Kundeninhalten verzichten.
  • Die an LLMs gesendeten Kundendaten werden minimiert und können auf Anwendungsebene redigiert werden, wo der Anwendungsfall dies zulässt.

§12 Anfragen von betroffenen Personen und Unterstützung für Verantwortliche

  • Wir unterstützen Kunden (Verantwortliche) bei der Erfüllung von Anfragen betroffener Personen gemäß Art. 12–22 DSGVO innerhalb des im DPA des Kunden definierten SLA (typischerweise: Antwort an den Verantwortlichen innerhalb von 14 Tagen nach Erhalt einer weitergeleiteten Anfrage).
  • Wir stellen den Verantwortlichen die erforderlichen Werkzeuge zur Verfügung, um: Kundendaten zu exportieren, Datensätze auf Anfrage zu löschen und Datensätze zu pseudonymisieren, wenn eine Löschung aufgrund der gesetzlichen Aufbewahrungspflichten des Verantwortlichen noch nicht möglich ist.

§13 Produktspezifische Hinweise

Produkt Hinweise spezifisch zu TOMs
Bespokely Website Standard-Baseline gilt. Native Analytik nur. Keine Drittanbieter-Tracking-Prozessoren.
Bespokely Client Portal Standard-Baseline plus: Dokumentenspeicherung nutzt Supabase Storage mit serverseitiger Verschlüsselung; E-Signatur-Audit-Trails werden in append-only Weise gespeichert; Hashes von signierten Dokumenten werden mit Zeitstempeln in der Datenbank notariell beglaubigt.
Bespokely AI Assistant Standard-Baseline plus: Auswahl des LLM-Anbieters pro Bereitstellung ist in der Auftragsbestätigung dokumentiert; Gesprächsprotokolle werden gemäß der konfigurierten Aufbewahrungsfrist des Kunden (Standard 90 Tage) aufbewahrt; LLM-Eingaben werden, wo möglich, von identifizierenden Kundendaten redigiert.
Bespokely AI (Hospitality) Standard-Baseline plus: Integrationen mit Hotel-PMS oder Buchungssystemen sind pro Bereitstellung festgelegt und in der Auftragsbestätigung detailliert.

§14 Zertifizierungen und Bestätigungen

Die folgenden Zertifizierungen sind vorhanden oder in Planung. Wo Bespokely selbst noch nicht zertifiziert ist, verlassen wir uns auf die Zertifizierungen der zugrunde liegenden Infrastruktur-Anbieter.

  • AWS (zugrunde liegende Infrastruktur für Vercel und Supabase EU-Region): ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, PCI DSS Level 1, C5 (Deutschland).
  • Vercel: SOC 2 Typ II, ISO 27001.
  • Supabase: SOC 2 Typ II.
  • Bespokely Inc. (direkt): SOC 2 Typ II — in Planung für 2026.

§15 Aktualisierungen dieser Seite

Wesentliche Aktualisierungen werden versioniert (v1.0, v1.1 usw.) und aktiven Kunden mindestens 30 Tage vor Inkrafttreten per E-Mail mitgeteilt, es sei denn, eine Aktualisierung verschärft (anstatt zu lockern) eine Maßnahme, in diesem Fall tritt sie sofort in Kraft und wird innerhalb von 30 Tagen nach Veröffentlichung mitgeteilt.

Version Gültig ab Zusammenfassung
1.0 2026-05-20 Erstveröffentlichung der plattformweiten TOMs, die alle Produkte abdecken, die von Bespokely Inc. betrieben werden.

Frühere Versionen sind unter bespokely.io/legal/security/v[VERSION] aufbewahrt.

Kontakt für Sicherheitsfragen:
Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, USA · privacy@bespokely.io · +1 (512) 348-6588