🚗 KDFahrzeugpflege

Technisch-organisatorische Maßnahmen

gemäß Art. 32 DSGVO

Stand: 16.06.2026

Diese TOMs beschreiben die technischen und organisatorischen Sicherheitsmaßnahmen, die der Anbieter zum Schutz der im Rahmen des Auftragsverarbeitungsvertrags (AVV) verarbeiteten personenbezogenen Daten getroffen hat. Sie beziehen sich auf zwei Systemkomponenten: (A) IONOS-Hosting und (B) Zahlungsabwicklung/Kassenserver.
Teil A

Hosting – IONOS SE

IONOS SE, Elgendorfer Str. 57, 56410 Montabaur · Rechenzentrum: Deutschland · ISO/IEC 27001 zertifiziert

1. Zutrittskontrolle

  • Physisch gesicherter Rechenzentrumszugang (24/7 Videoüberwachung)
  • Zugangskontrolle per Chipkarte und PIN für autorisiertes Personal
  • Besucherprotokoll und Begleitung durch autorisiertes Personal
  • Alarmanlage und Sicherheitsdienst
  • Redundante Einbruchmeldeanlagen

2. Zugangskontrolle

  • Passwortgeschützter Zugang zur Administrationsoberfläche
  • Zwei-Faktor-Authentifizierung für administrative Zugänge
  • Automatische Sperrung nach Fehlversuchen
  • Passwort-Richtlinie: Mindeststärke, Ablauf, kein Passwort-Sharing
  • VPN-Pflicht für Remote-Administration

3. Zugriffskontrolle (Berechtigungskonzept)

  • Rollenbasiertes Zugriffssystem (Admin / Pfleger / Viewer)
  • Mandantentrennung: Daten eines Unternehmens sind für andere nicht zugänglich
  • Least-Privilege-Prinzip bei Datenbankzugriffen
  • Alle Zugriffsrechte werden protokolliert
  • Regelmäßige Überprüfung und Aktualisierung der Berechtigungen

4. Weitergabekontrolle

  • Übertragung ausschließlich über TLS 1.2 / TLS 1.3 (HTTPS)
  • Kein unverschlüsselter Datentransfer
  • SFTP für Dateiübertragungen im Administrationsbetrieb
  • E-Mail-Versand über gesicherte SMTP-Verbindung (TLS)

5. Eingabekontrolle

  • Vollständige Protokollierung aller Datenänderungen (Ersteller, Zeitstempel)
  • Laravel-Audit-Trail für kritische Datenoperationen
  • Keine direkte Datenbankmanipulation ohne Applikationsschicht

6. Auftragskontrolle

  • Schriftlicher Auftragsverarbeitungsvertrag mit IONOS (AVV) gemäß Art. 28 DSGVO
  • Verarbeitung nur nach dokumentierter Weisung des Verantwortlichen
  • IONOS verarbeitet keine Kundendaten über den Hosting-Betrieb hinaus

7. Verfügbarkeitskontrolle

  • Tägliche automatische Datensicherungen (Backups)
  • Aufbewahrung von Backups: 30 Tage, georedundant
  • Getestete Wiederherstellungsprozesse (Restore-Tests quartalsweise)
  • USV-Absicherung und Notstromaggregate im Rechenzentrum
  • Redundante Netzwerkanbindung (Multi-Provider)
  • DDoS-Schutz durch IONOS-Infrastruktur

8. Trennungsgebot

  • Mandantenfähige Datenbankarchitektur mit strikter company_id-Trennung
  • Produktions-, Test- und Entwicklungsumgebungen sind getrennt
  • Keine Testdaten in der Produktionsumgebung

9. Pseudonymisierung und Verschlüsselung

  • Passwörter werden mit bcrypt gehasht (niemals im Klartext gespeichert)
  • Datenbankzugang ausschließlich über TLS-verschlüsselte Verbindungen
  • Festplattenverschlüsselung auf Serverebene (AES-256)
  • API-Token werden als Hashes gespeichert (Laravel Sanctum)
Teil B

Zahlungsabwicklung / Kassenserver

Die Zahlungsabwicklung für Abonnements erfolgt über einen zertifizierten Zahlungsdienstleister (Kassenserver). Dieser ist PCI-DSS-konform und verarbeitet Zahlungsdaten in einer isolierten, gehärteten Umgebung.

1. PCI-DSS-Konformität

  • Zertifizierung nach PCI DSS (Payment Card Industry Data Security Standard)
  • Kein Speichern von vollständigen Kartennummern oder CVV auf eigenen Systemen
  • Tokenisierung von Zahlungsdaten
  • Regelmäßige Sicherheitsscans und Penetrationstests

2. Datenisolation

  • Zahlungsdaten werden ausschließlich im System des Zahlungsdienstleisters gespeichert
  • Keine Weitergabe von Zahlungsdaten an die Applikation KDFahrzeugpflege
  • Strikte Netzwerktrennung zwischen Zahlungsinfrastruktur und Applikationsservern

3. Verschlüsselung und Übertragungssicherheit

  • Zahlungsseiten ausschließlich über HTTPS (TLS 1.3)
  • End-to-End-Verschlüsselung für alle Zahlungstransaktionen
  • Zertifikate durch anerkannte Certificate Authority (CA)

4. Zugangskontrolle und Authentifizierung

  • API-Kommunikation ausschließlich über signierte Requests (HMAC)
  • IP-Whitelisting für Kassensystem-API-Endpunkte
  • Zwei-Faktor-Authentifizierung für Kassensystem-Backend

5. Protokollierung und Monitoring

  • Vollständige Transaktionsprotokolle (nicht personenbezogen in der Hauptanwendung)
  • Echtzeit-Monitoring auf verdächtige Transaktionsaktivitäten
  • Automatische Benachrichtigung bei Anomalien
Diese TOMs können sich durch technische Weiterentwicklungen ändern. Der Anbieter wird stets ein dem Risiko angemessenes Schutzniveau sicherstellen und über wesentliche Änderungen informieren. Aktuelle TOMs sind jederzeit unter https://kdfahrzeugpflege.de/tom abrufbar.
← Startseite→ AVV ansehen