Sicherheitsfragebogen, vorab ausgefüllt
Zur besseren Verständlichkeit übersetzt. Rechtlich verbindlich ist die englische Fassung.
Die meisten Anbieter-Reviews stellen dieselben Fragen. Hier sind sie, vorab beantwortet über die CAIQ-Lite-Domänen und auf die VSA-Core-Bereiche gemappt — ehrlich: ja heißt heute betrieben und auf einer Trust-Seite ausgewiesen; teilweise benennt die Lücke; geplant hat ein Datum und sonst nichts.
| Domäne | Frage | Antwort | Detail |
|---|---|---|---|
| A&ACompliance | Halten Sie unabhängige Sicherheitszertifizierungen (SOC 2, ISO 27001)? | Geplant | Noch nicht — und das sagen wir klar. SOC 2 Type I ist für Q3 2026 angesetzt (die Evidenzsammlung via Vanta beginnt mit dem kommerziellen Start), Type II etwa neun Monate später, ISO 27001 parallel. Bis dahin beschreiben diese Seite und die Sicherheitsseite die Kontrollen, die wir tatsächlich betreiben. |
| AISApplication security | Ist Sicherheit in die Anwendung und ihren Lebenszyklus eingebaut? | Ja | Eingaben werden an der Grenze schema-validiert, jeder Datenbankzugriff ist parametrisiert, strenge Security-Header und CSP liegen auf jeder Oberfläche, und hohe oder kritische Abhängigkeits-Advisories lassen den Build scheitern. |
| BCRResilience | Können Sie sich von einem Infrastrukturausfall erholen? | Teilweise | Serverless-Architektur auf gemanagten Multi-AZ-Diensten, verschlüsselte Backups mit Point-in-Time-Recovery und ein schriftliches Disaster-Recovery-Runbook; ein formal geprobter Business-Continuity-Plan steht noch aus. |
| CEKEncryption | Sind Kundendaten unterwegs und im Ruhezustand verschlüsselt? | Ja | Mindestens TLS 1.3 unterwegs mit HSTS; AES-256 im Ruhezustand auf jedem Speicher mit gemanagter Schlüsselrotation; Secrets liegen in einem gemanagten Secrets-Dienst, nie im Code. |
| DCSPhysical security | Wo läuft die Produktion, und wer kontrolliert den physischen Zugang? | Ja | AWS eu-central-1 (Frankfurt), in einem dedizierten, vollständig isolierten Konto. Die physische Sicherheit wird von den auditierten AWS-Rechenzentren geerbt. |
| DSPData protection | Wie werden Kundendaten geschützt und aus dem Modelltraining herausgehalten? | Ja | API-Datenverkehr zu Modellanbietern ist gemäß den API-Bedingungen des jeweiligen Anbieters vom Training ausgeschlossen, und Zero-Data-Retention-Vereinbarungen mit Anthropic und OpenAI werden derzeit finalisiert; wir trainieren nie mit Kundendaten; Retrieval-Embeddings bleiben in der EU-Region; ein DPA mit SCCs wird angeboten und der DSAR-Prozess ist veröffentlicht. |
| GRCSecurity policy | Betreiben Sie ein Security-Governance-Programm? | Teilweise | Sicherheitsrichtlinien werden als durchgesetzte Engineering-Regeln gepflegt, mit dem Code versioniert und bei jeder Änderung geprüft; ein zertifiziertes ISMS (ISO 27001) steht auf der veröffentlichten Roadmap. |
| HRSPersonnel | Gibt es Personal-Sicherheitskontrollen (Überprüfung, On-/Offboarding)? | Teilweise | Syncanix ist heute gründergeführt: Die einzige Person mit Produktionszugriff ist der verantwortliche Betreiber. Formale Überprüfungs- und Onboarding-Richtlinien kommen mit den ersten Einstellungen — und diese Antwort ändert sich dann. |
| IAMAccess control | Wie wird der Zugriff auf Systeme und Daten kontrolliert? | Ja | Durchgängig geringstes Privileg: SSO-gestützte Identität mit verifizierten Tokens bei jeder Anfrage, explizit geschriebene Richtlinien je Ressource, keine langlebigen Zugriffsschlüssel und auditierte Rollenänderungen. |
| IPYPortability | Können Kunden ihre Daten exportieren und gehen? | Ja | Der Capability-Katalog ist ein portables Artefakt, Kundendaten sind exportierbar, und eine Kündigung sperrt Daten nie ein. |
| IVSInfrastructure | Wie wird die Produktionsinfrastruktur abgesichert? | Ja | Alles ist Infrastructure-as-Code mit geprüften Diffs vor jedem Deploy, ein isoliertes VPC, keine mit einem anderen Produkt geteilten Ressourcen und ein vollständig getaggtes Inventar. |
| LOGLogging & monitoring | Werden Systeme überwacht und Logs geschützt? | Ja | Strukturierte Logs tragen Tenant- und Request-Korrelation auf jeder Zeile, Secrets und PII sind per Redaktionsrichtlinie ausgeschlossen, die Aufbewahrung ist begrenzt und audit-relevante Ereignisse lösen Alarme aus. |
| SEFIncident response | Gibt es einen Incident-Response-Prozess mit Kundenbenachrichtigung? | Ja | Ein dokumentiertes Incident-Response-Runbook; Meldungen werden binnen 24 Stunden bestätigt und binnen 72 triagiert; bestätigte Verletzungen mit Kundenauswirkung werden binnen 24 Stunden nach Bestätigung gemeldet. |
| STASupply chain | Wie managen Sie Lieferkettenrisiken? | Ja | Die Subprozessoren-Liste ist öffentlich mit 30 Tagen Ankündigungsfrist, Abhängigkeits-Advisories blockieren die CI, und jede neue Bibliothek durchläuft eine dokumentierte Adoptions-Checkliste. |
| TVMVulnerability management | Wie werden Schwachstellen gefunden und behoben? | Teilweise | Automatisches Dependency-Scanning blockiert jeden Build, und ein öffentliches Disclosure-Programm mit Good-Faith-Schutz ist aktiv; ein externer Penetrationstest ist zusammen mit SOC 2 geplant — beauftragt wurde noch keiner. |
| UEMEndpoint management | Werden die Geräte mit Produktionszugriff verwaltet? | Teilweise | Der Produktionszugriff ist auf benannte Betreiber-Identitäten unter den obigen Zugriffskontrollen beschränkt; formales Endpoint-Management (MDM) kommt mit den ersten Einstellungen. |
Brauchen Sie die Antworten in Ihrem eigenen Bogen (vollständiger CAIQ, VSA oder Ihr internes Format)? Schicken Sie ihn — wir füllen ihn aus: admin@syncanix.com.
Zuletzt geprüft: 2026-06-10. Antworten ändern sich, wenn sich die Kontrollen ändern — nie umgekehrt.