Anlage B – Technische und organisatorische Maßnahmen

Gültig ab: 30. März 2026

Die nachfolgenden Maßnahmen beschreiben das aktuelle Sicherheitsniveau von Sapericus. Sapericus ist berechtigt, diese Maßnahmen von Zeit zu Zeit zu aktualisieren, sofern das Gesamtschutzniveau nicht wesentlich abgesenkt wird.

1. Zutrittskontrolle

Sapericus betreibt keine eigenen Rechenzentren. Die physische Infrastruktur wird durch zertifizierte Cloud-Anbieter (siehe Anlage C) bereitgestellt, die über eigene Zutrittskontrollmaßnahmen verfügen.
Arbeitsplätze der Mitarbeiter von Sapericus sind durch verschlossene Räumlichkeiten geschützt.

2. Zugangskontrolle

Authentifizierung über individuelle Benutzerkonten mit starken Passwörtern
Multi-Faktor-Authentifizierung (MFA) für alle administrativen Zugänge
Automatische Sperrung nach fehlgeschlagenen Anmeldeversuchen
Verschlüsselung aller Daten bei der Übertragung (TLS 1.2+)

3. Zugriffskontrolle

Rollenbasiertes Berechtigungskonzept (Principle of Least Privilege)
Regelmäßige Überprüfung der Zugriffsrechte
Protokollierung administrativer Zugriffe
Trennung von Produktions- und Entwicklungsumgebungen

4. Weitergabekontrolle

Verschlüsselung personenbezogener Daten bei Übertragung (TLS 1.2+)
Verschlüsselung ruhender Daten (AES-256)
Keine Weitergabe an Dritte außerhalb der in Anlage C genannten Unterauftragsverarbeiter

5. Eingabekontrolle

Protokollierung von Datenänderungen in Audit-Logs
Nachvollziehbarkeit von Eingaben über Zeitstempel und Benutzerkennung

6. Auftragskontrolle

Vertragliche Regelungen mit Unterauftragsverarbeitern gemäß Art. 28 DSGVO
Regelmäßige Überprüfung der Unterauftragsverarbeiter
Weisungsgebundene Verarbeitung durch dokumentierte Anweisungen

7. Verfügbarkeitskontrolle

Redundante Infrastruktur über Cloud-Anbieter
Regelmäßige Datensicherungen (Backups)
Disaster-Recovery-Konzept
Monitoring und Alerting der Systeme

8. Trennungskontrolle

Logische Mandantentrennung
Getrennte Datenbanken oder Schemata je Auftraggeber
Trennung von Test- und Produktivdaten