Sicherheit & Trust

Regulierte Banken fordern das. Wir haben dafür gebaut

SOC 2 Type I zertifiziert. Deutsches Hosting. Zero-Trust-Architektur. Ihre Daten trainieren niemals unsere Modelle — nicht als Richtlinie, sondern als technische und vertragliche Garantie.

Trust Center öffnen ↗ Sicherheitsbriefing anfragen
SOC 2 Type I
GDPR / DSGVO
DORA
EU-KI-Gesetz
Deutschland-Hosting
MaRisk / BAIT
Trust Center ↗
Ihre Daten trainieren niemals unsere Modelle.
Nicht als Versprechen in einem Blog-Beitrag — als technische Einschränkung und Klausel in Ihrem Vertrag. Kundendaten werden niemals zum Trainieren, Feinabstimmen oder Evaluieren von ACCELERAID-Modellen genutzt.
Vollständig isoliert. Keine gemeinsame Infrastruktur.
Isolierte Datenspeicher pro Kunde. Kein geteiltes Computing für sensible Workloads. Mandantenübergreifender Zugriff ist architektonisch ausgeschlossen — nicht nur verboten.
Vollständiger Audit-Trail. Kein Add-on.
Jeder Datenzugriff, jede Modellinferenz, Agentenaktion und Konfigurationsänderung mit vollständiger Herkunft protokolliert. Unveränderlich, BaFin-bereit, exportierbar. In jedem Deployment enthalten — nicht gesperrt, nicht separat verkauft.
Architektur

Wie wir Ihre Daten schützen — Schicht für Schicht

Schicht 1 — Zugangskontrolle

Niemand hat dauerhaften Zugang zur Produktion. Niemals

Zero-Trust bedeutet, dass jede Anfrage individuell authentifiziert und autorisiert wird. Rollenbasierte Zugriffskontrollen. Prinzip der minimalen Rechte. Just-In-Time (JIT) Privileged Access — erhöhte Berechtigungen existieren nur für die Dauer einer bestimmten Aufgabe und erlöschen danach automatisch.

Multi-Faktor-Authentifizierung obligatorisch. SSO/SAML unterstützt. IAM über sichere TLS-Sessions. Kein dauerhafter Admin-Zugang zu Datenbanken oder Produktionssystemen.

Zugangskontrollmodell
Zero-Trust
Kein implizites Vertrauen. Jede Anfrage einzeln authentifiziert.
Just-In-Time-Zugang
Erhöhte Berechtigungen erlöschen sofort nach der Nutzung.
Minimale Rechte
Jede Rolle hat nur den minimal notwendigen Zugang. Nichts mehr.
MFA erzwungen
Obligatorisch für alle Konten. Keine Ausnahmen.
Schicht 2 — Daten
Verschlüsselung
TLS
TLS 1.3 bei Übertragung
Alle Daten bei Übertragung verschlüsselt.
AES
AES-256 at rest
Separate Schlüssel pro Kunde. BYOK verfügbar.
PII
PII-Firewall auf Feldebene
Schwärzung bevor ein Modell Daten berührt.
DE
Frankfurt, Germany
Azure Germany North / Google Cloud eu-west3. Daten verlassen die EU nie.
Schicht 2 — Datensicherheit

Überall verschlüsselt. Isoliert nach Design

TLS 1.3 bei Übertragung. AES-256 at rest. Separate encryption keys per customer — key access is restricted and logged. Bring Your Own Key (BYOK) available for highest-sensitivity deployments.

PII wird auf Feldebene gefiltert und geschwärzt, bevor Daten ein Modell erreichen. Pseudonymisierung und Datensparsamkeit als Standard angewendet. Die Daten jedes Kunden sind vollständig isoliert — nicht nur logisch getrennt, sondern architektonisch abgeschottet.

Schicht 3 — KI
Schicht 3 — KI-Governance

KI, die erklärbar, prüfbar und kontrollierbar ist

Jede KI-gesteuerte Entscheidung enthält eine nachvollziehbare Erklärung mit Feature-Importance — anfechtbar gemäß DSGVO Art. 22. Modell-Outputs sind ab Tag eins BaFin- und EZB-bereit. Keine Blackboxen.

Geo-Beschränkungen stellen sicher, dass Modellanfragen und -antworten in konformen Rechtsgebieten verbleiben. Sensitive Data Scanner erkennt PII in Modell-Prompts und wendet automatische Schwärzung oder Warnungen vor der Inferenz an.

Ihre Daten trainieren niemals unsere Modelle — weder in der Entwicklung noch in der Produktion, niemals. Dies ist eine Vertragsklausel in Ihrem AVV, gestützt durch technische Kontrollen, die es unmöglich machen, nicht nur verboten.

KI-Governance-Kontrollen
Erklärbarkeit als Standard
Feature-Importance für jede Vorhersage. DSGVO Art. 22 konform.
EU-KI-Gesetz conformity assessment
Durchgeführt für jedes Hochrisiko-KI-Modul.
KI-Risikobewertung
Dokumentierte Methodik pro Modul. Auf Anfrage erhältlich.
Modellregister
Vollständige Versionshistorie, Herkunft und Governance-Docs auf Abruf.
Sicherheitskontrollen

Fünf Domänen. Unabhängig geprüft

Im SOC-2-Type-I-Bericht abgedeckt. Vollständige Dokumentation im Trust Center.

Infrastruktur
  • Verschlüsselungsschlüssel beschränkt & protokolliert
  • MFA erzwungen, alle Konten
  • Produktionszugang beschränkt
  • Netzwerk- & Firewall-Kontrollen
  • DDoS-Schutz
  • BC/DR jährlich getestet
Produkt
  • Sicherer SDLC
  • Drittanbieter-Penetrationstest
  • Responsible Disclosure
  • Patch-Management automatisiert
  • SSO/SAML unterstützt
  • Incident-Response-Plan
Organisation
  • NDA — alle Mitarbeiter & Auftragnehmer
  • Sicherheitsbewusstseinstraining
  • Code of Conduct durchgesetzt
  • Risikomanagementprogramm
  • Anti-Malware & Endpoint-Verschlüsselung
  • Mobile-Device-Management
Daten & Datenschutz
  • AVV vor Verarbeitung unterzeichnet
  • Daten bei Vertragsende gelöscht
  • Datenklassifizierungsrichtlinie
  • SCCs für internationale Übertragungen
  • Betroffenenrechts-Workflows
  • Aufbewahrungsverfahren
KI-Governance
  • KI-Richtlinie & Framework
  • Risikobewertung pro Modul
  • Erklärbarkeit & Bias-Monitoring
  • EU-KI-Gesetz assessment
  • Kein-Training-Vertragsklausel
  • Modellregister & lineage
Regulatorische Compliance

Jedes Framework, das für eine europäische Bank wichtig ist

Nicht nur DSGVO. Der vollständige Regulierungsrahmen — eingebaut, nicht nachträglich hinzugefügt.

GDPR / DSGVO
Privacy by Design. PII-Filterung, Einwilligungsmanagement, Betroffenenrechte (Art. 15–22). Jede KI-Ausgabe erklärbar gemäß Art. 22. Technische und organisatorische Maßnahmen geprüft.
DORA
IKT-Risikomanagement-Dokumentation, Incident-Reporting-Workflows, Drittanbieter-IKT-Governance, Resilienz-Tests. AVV enthält DORA-konforme Bestimmungen für IKT-Drittanbieter.
EU-KI-Gesetz
Konformitätsbewertung pro KI-Modul. Risikokategorisierung, menschliche Aufsicht, Bias-Monitoring und Modelldokumentation für Hochrisiko-KI-Systemanforderungen.
MaRisk / BAIT
Daten-Governance, Modellrisikoverwaltung, IT-Auslagerungs-Compliance. Unterstützt BaFin AT 7.2 (IT-Infrastruktur) und AT 9 (Auslagerung) Prüfungsanforderungen.
BCBS 239 / FINREP / COREP
Regulatorische Reporting-Ausgaben vorgefertigt. Datenherkunft und Aggregationsregeln nach BCBS-239-Grundsätzen. Vollständige Risikodatenaggregations-Dokumentation enthalten.
SOC 2 Type I
Unabhängig geprüft für Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Keine Ausnahmen im aktuellen Prüfzyklus. Vollständiger Bericht über Trust Center unter NDA.
Deployment

Ihre Infrastruktur. Ihre Regeln

ACCELERAID läuft in Ihrer Umgebung — nicht umgekehrt.

Option 01
Private Cloud
Single-Tenant auf Azure Germany North oder Google Cloud Frankfurt. Vollständig isolierte Infrastruktur — keine gemeinsamen Ressourcen. BYOK verfügbar. Datenhaltung vertraglich im AVV garantiert.
Option 02
On-Premises
Vollständiges Deployment im eigenen Rechenzentrum. Keine ausgehenden Verbindungen erforderlich. CDP, KI-Modelle, Reporting, Orchestrierung — alles läuft innerhalb Ihres Perimeters. Bevorzugt für höchste Datensouveränitätsanforderungen.
Option 03
Hybrid
Azure, AWS oder GCP mit europäischer Region. BYOK. Standardvertragsklauseln für alle internationalen Übertragungen. Flexible Architektur — Compute in der Cloud, sensible Daten On-Premises.
Enterprise-Sicherheitsprüfungen

Unsere Bankkunden
bestehen BaFin-Audits mit uns.
Wir sind bereit für Ihres

17 Jahre in regulierten europäischen Finanzdienstleistungen bedeuten, dass wir jeden Sicherheitsfragebogen, jede Beschaffungs-Checkliste und jeden IT-Sicherheitsprüfungsprozess kennen. Das Trust Center hat alles, was Ihr Team für die Bewertung benötigt — ohne monatelange Rückfragen.

SOC-2-Type-I-Bericht (unter NDA)
Penetrationstest-Bestätigungsschreiben
Auftragsverarbeitungsvertrag (AVV / DPA)
Sicherheitsrichtlinien-Dokumentation
Unterauftragsverarbeiterliste

Bewährte Erfolgsbilanz

17+
Jahre in regulierten Märkten
250+
Enterprise-Deployments
0
SOC-2-Ausnahmen

ACCELERAID wird von einem Team mit 17+ Jahren Erfahrung im regulierten europäischen Finanzdienstleistungsbereich gebaut. Unsere Bankkunden haben BaFin-, EZB- und interne Sicherheitsprüfungen mit ACCELERAID erfolgreich bestanden — alle erforderlichen Dokumente sind ab dem ersten Tag verfügbar.

Bereit, Ihre Sicherheitsprüfung zu starten?

Alles, was Ihr Team braucht,
ist im Trust Center

SOC 2 Type I · Penetrationstest-Schreiben · AVV · Richtlinien · Unterauftragsverarbeiterliste
Powered by SecFix. Available on request.

Trust Center öffnen ↗ Sicherheitsexperten kontaktieren
FAQ

Die am häufigsten gestellten Fragen

Trainiert ACCELERAID Modelle mit meinen Daten?
Niemals. Kundendaten werden niemals zum Trainieren, Feinabstimmen oder Evaluieren von ACCELERAID-Modellen genutzt. Dies ist eine Vertragsklausel in Ihrem AVV — und eine technische Einschränkung, nicht nur eine Richtlinie. Ihre Daten werden ausschließlich zum Betrieb Ihrer Plattform-Instanz genutzt.
Wo genau werden meine Daten gespeichert?
Standardmäßig in Deutschland — Azure Germany North oder Google Cloud europe-west3 (Frankfurt). On-Premises und Hybrid-Optionen verfügbar. Datenhaltung vertraglich im AVV garantiert. Daten verlassen die EU nie ohne ausdrückliche Anweisung. Standardvertragsklauseln für alle internationalen Übertragungen enthalten.
Welche Zertifizierungen hält ACCELERAID?
SOC 2 Type I (unabhängig geprüft, keine Ausnahmen im aktuellen Zyklus). Der vollständige SOC-2-Bericht ist unter NDA über das Trust Center verfügbar. Zusätzliche Compliance: DSGVO, DORA, EU-KI-Gesetz, MaRisk/BAIT, BCBS 239.
Können wir eine Lieferanten-Sicherheitsprüfung durchführen?
Wie handhabt ACCELERAID DSGVO Art. 22 für KI-Entscheidungen?
Jede KI-gesteuerte Entscheidung enthält eine dokumentierte Erklärung mit Feature-Importance — erklärbar und anfechtbar. Dies ist in die Plattformarchitektur eingebaut — keine nachträgliche Reporting-Schicht. PII-Filterung, Einwilligungsmanagement, Betroffenenrechts-Workflows und Datensparsamkeit sind Standard. Technisch und organisatorisch im SOC-2-Type-I geprüft.
Ist ACCELERAID DORA-konform?
Ja. IKT-Risikomanagement-Dokumentation, Incident-Klassifizierung und -Reporting, Drittanbieter-IKT-Governance, Unterstützung für operationelle Resilienz-Tests — alles abgedeckt. Der AVV enthält DORA-konforme Vertragsklauseln für IKT-Drittanbieter gemäß Art. 30.
Kann ACCELERAID vollständig On-Premises deployed werden?
Ja. Vollständiges On-Premises-Deployment im eigenen Rechenzentrum. Keine ausgehenden Datenverbindungen erforderlich. Die gesamte Plattform — CDP, Vorhersagemodelle, KI-Agenten, Reporting, Kampagnen-Orchestrierung — läuft innerhalb Ihres Sicherheitsperimeters. Dies ist die Standardwahl für Institute mit den strengsten Datensouveränitätsanforderungen.
Was passiert mit unseren Daten bei Vertragsende?
Sicher und unwiderruflich gelöscht, gemäß den im AVV festgelegten Aufbewahrungsfristen. Auf Anfrage wird eine Datenlöschungsbestätigung ausgestellt. ACCELERAID behält nach Ende der Vertragsbeziehung keine Kundendaten.
Führen Sie Penetrationstests durch?
Ja — regelmäßige Drittanbieter-Penetrationstests durch unabhängige Sicherheitsspezialisten. Das Bestätigungsschreiben ist über das Trust Center verfügbar. Wir betreiben auch ein Responsible-Disclosure-Programm für Sicherheitsforscher.