Trust & Security

    Auftragsverarbeiter-Kontrollen für die LandingRed-Plattform. Procurement-, Rechts- und Compliance-Teams können ihre Pre-NDA-Checkliste hier beantworten, ohne den Support kontaktieren zu müssen.

    Zuletzt überprüft: 2026-06-02

    Auftragsverarbeitungsvertrag (DPA)

    Eine DSGVO-Art.-28-konforme DPA-Vorlage v1.0 ist auf Anfrage verfügbar (privacy@landingred.com). Anhang A erfasst den kundenspezifischen Umfang; Anhang B beschreibt die unten aufgeführten technischen und organisatorischen Maßnahmen; Anhang C listet die aktuellen Unterauftragsverarbeiter auf. Italienischsprachige Fassung verfügbar.

    Unterauftragsverarbeiter

    30-tägige Vorankündigung vor jeder Änderung, in DPA §6.3 zugesichert. Tenants können innerhalb der Frist Widerspruch erheben; ungelöste Widersprüche führen zur Beendigung der betroffenen Verarbeitung.

    UnterauftragsverarbeiterZweckStandortÜbermittlungsmechanismus
    Hetzner Online GmbHPrimary hosting (EU)Germany / FinlandGDPR-native (intra-EEA)
    Anthropic, PBCLLM provider (own-key tier)United StatesSCCs Module 2
    OpenAI, OpC, LLCLLM provider (own-key tier)United StatesSCCs Module 2
    Brevo SASTransactional emailFranceGDPR-native (intra-EEA)
    Functional Software, Inc. (Sentry)Error trackingUnited StatesSCCs Module 2

    Technische und organisatorische Maßnahmen (Art. 32)

    Konkrete Kontrollen zur Umsetzung von DSGVO Art. 32 + ISO 27001 Anhang A. Jede Zeile verweist auf eine echte Code-Referenz; Auditoren können dies über den extern geteilten Audit-Log-Export validieren.

    • Encryption at rest
      AES-256 (Hetzner infra) + per-field Fernet for sensitive secrets (core/encryption.py)
    • Encryption in transit
      TLS 1.2+ on all endpoints; HSTS pre-load eligible
    • Authentication
      PBKDF2/Argon2 password hashing + TOTP MFA (django_otp) + SAML SSO (Enterprise)
    • Authorization
      Row-level tenant isolation via TenantAwareManager (1,318 LoC of dedicated isolation tests)
    • Audit trail
      Append-only AuditLog with DB-level immutability (10-year retention floor for AI-Act-scoped rows)
    • Backups
      Daily pg_dump + 7-day rolling on-host retention + pre-deploy snapshots
    • Incident response
      Documented runbook (docs/deploy-recovery.md) + 72h breach-notification commitment in DPA §6.6

    Anbieter-Zertifizierungen

    Bereitschaftsmatrizen für ISO 27001, SOC 2 und ISO 42001 werden intern gepflegt; Zertifizierungsprojekte folgen der veröffentlichten Roadmap. Attestierungsschreiben unter NDA verfügbar.

    • ISO 27001:2022
      Readiness matrix maintained; certification roadmap on file
    • SOC 2 Type II
      Readiness matrix maintained; Type I assessment scheduled
    • ISO 42001:2023 (AI Management System)
      Readiness matrix (38 Annex A controls + 7 clauses); first-mover certification track

    Schwachstellen-Offenlegung

    Wir folgen RFC 9116. Der maschinenlesbare Kontakt und die Verschlüsselungs-Metadaten sind unter /.well-known/security.txt verfügbar. Koordinierte Offenlegung: Meldungen an security@landingred.com; wir bestätigen innerhalb von 24 Stunden.

    Kontakt

    Für Procurement-Fragen, DPAs oder Sicherheitsanfragen: privacy@landingred.com. Für die Meldung von Schwachstellen siehe den eigenen Abschnitt unten sowie unseren RFC-9116-Endpunkt /.well-known/security.txt.