Zum Inhalt springen

3 Monate gratis · Neukunden

Tarife ansehen
Compliance & Sicherheit

Informationssicherheits- richtlinie

Wie Zynvio die ihm anvertrauten Informationen schützt: Grundsätze und Kontrollen im Einklang mit ISO/IEC 27001 und ISO/IEC 27701 sowie die technischen und organisatorischen Maßnahmen nach Artikel 32 der DSGVO.

Version 1.1 — Letzte Aktualisierung: 11. Juli 2026 · PIXELARIS S.L.

Verschlüsselung bei Übertragung und Speicherung

Kommunikation über TLS/SSL geschützt, gespeicherte Daten mit AES-256 verschlüsselt. Passwörter mit Hash-Funktionen mit Salt.

Granulare Zugriffskontrolle

Prinzip der minimalen Rechtevergabe, rollenbasierte Kontrolle und granulare Berechtigungen auf der gesamten Plattform.

Mandantentrennung

Multi-Tenant-Architektur mit logischer Trennung der Daten jedes Unternehmens.

Audit und Nachvollziehbarkeit

Audit-Protokoll mit Nachvollziehbarkeit der Vorgänge: wer hat was wann getan.

Datensicherungen

Regelmäßige Backups für die Verfügbarkeit und Wiederherstellung der Informationen.

Hosting in der EU

In der Europäischen Union gehostete Infrastruktur mit Dienstleistern, die angemessene Garantien bieten.

Normativer Rahmen und Referenzen

ISO/IEC 27001
ISO/IEC 27701
DSGVO
LOPDGDD
LSSI-CE
VERI*FACTU

Zynvio wendet die Grundsätze und Kontrollen dieser Normen und Verordnungen als Arbeitsrahmen an. Diese Richtlinie stellt keine Zertifizierungserklärung nach ISO/IEC 27001 oder ISO/IEC 27701 dar.

Vollständiger Text der Richtlinie

1. Zweck und Geltungsbereich

Diese Informationssicherheitsrichtlinie beschreibt die Grundsätze und Maßnahmen, mit denen Zynvio, eine von PIXELARIS S.L. betriebene Plattform, die von ihr verarbeiteten Informationen schützt, einschließlich der Informationen ihrer Kunden und Nutzer. Diese Richtlinie gilt für:

  • Die Zynvio-Plattform (app.zynvio.com) und die Unternehmenswebsite.
  • Alle Mitarbeitenden mit Zugriff auf Systeme oder Informationen.
  • Die Entwicklungs-, Betriebs- und Supportprozesse des Dienstes.

2. Sicherheitsziele

Das Sicherheitsmanagementsystem soll vier Eigenschaften der Informationen gewährleisten:

  • Vertraulichkeit: Auf Informationen greift nur zu, wer dazu berechtigt ist.
  • Integrität: Informationen sind korrekt und vollständig, und jede Änderung ist erkennbar.
  • Verfügbarkeit: Informationen und Dienst sind verfügbar, wenn sie benötigt werden, gestützt durch Backups für die Wiederherstellung.
  • Nachvollziehbarkeit: Vorgänge werden protokolliert, sodass nachvollziehbar ist, wer was wann getan hat.

3. Referenzrahmen

Unser Informationssicherheits-Managementsystem basiert auf den Grundsätzen und Kontrollen der Norm ISO/IEC 27001, und das Management personenbezogener Informationen orientiert sich an den Leitlinien der ISO/IEC 27701 (Erweiterung für das Datenschutzmanagement). Darüber hinaus setzen wir die technischen und organisatorischen Maßnahmen um, die Artikel 32 der Verordnung (EU) 2016/679 (DSGVO) und das spanische LOPDGDD verlangen.

Diese Richtlinie ist eine Erklärung von Sicherheitsgrundsätzen und -praktiken; sie stellt keine Zertifizierungserklärung nach diesen Normen dar.

4. Governance und Verpflichtung der Geschäftsleitung

Die Geschäftsleitung von PIXELARIS S.L. bekennt sich zur Informationssicherheit und ist verantwortlich für:

  • Die Genehmigung dieser Richtlinie und ihre regelmäßige Überprüfung.
  • Die Zuweisung der Verantwortlichkeiten im Bereich Sicherheit.
  • Die Bereitstellung der für die Einhaltung erforderlichen Ressourcen.
  • Die Förderung der kontinuierlichen Verbesserung des Managementsystems.

5. Risikomanagement

Wir bewerten regelmäßig die Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen sowie die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen. Die Maßnahmen werden angepasst, wenn sich Risiken, Technologien oder der Kontext des Dienstes ändern.

6. Zugriffskontrolle

Der Zugriff auf Informationen wird nach den folgenden Grundsätzen verwaltet:

  • Prinzip der minimalen Rechtevergabe beim Datenzugriff.
  • Rollenbasierte Zugriffskontrolle und granulare Berechtigungen.
  • Logische Datentrennung zwischen Unternehmen (Multi-Tenant-Architektur).
  • Kryptografisch generierte Sitzungstoken.

7. Verschlüsselung und Datenschutz

Wir setzen Verschlüsselung ein, um Informationen in allen Zuständen zu schützen:

  • Verschlüsselung der Daten bei der Übertragung mittels TLS/SSL.
  • Verschlüsselung der Daten im Ruhezustand mittels AES-256.
  • Speicherung von Passwörtern mittels Hash-Funktionen mit Salt.
  • Verschlüsselter Schutz elektronischer Zertifikate und sensibler Zugangsdaten.

8. Sicherheit in Entwicklung und Betrieb

Entwicklung und Betrieb der Plattform beinhalten Sicherheitsmaßnahmen bereits im Design:

  • Verhinderung von SQL-Injection durch parametrisierte Abfragen.
  • Validierung und Bereinigung hochgeladener Dateien.
  • Schutz vor automatisierten Angriffen.
  • Audit-Protokollierung mit Nachvollziehbarkeit der Vorgänge.

9. Integrität der Rechnungsaufzeichnungen (VERI*FACTU)

Als Fakturierungssystem im VERI*FACTU-Modus gewährleistet Zynvio die Integrität, Aufbewahrung, Nachvollziehbarkeit und Unveränderbarkeit der Rechnungsaufzeichnungen:

  • Jede Aufzeichnung trägt einen SHA-256-Fingerabdruck, der mit dem der vorherigen Aufzeichnung verkettet ist und eine überprüfbare Kette bildet.
  • Die Aufzeichnungen werden fortlaufend an die spanische Steuerbehörde (AEAT) übermittelt.
  • Jede Rechnung enthält einen überprüfbaren QR-Code.
  • Keine Aufzeichnung kann geändert oder gelöscht werden, ohne dass das System dies erkennt; Korrekturen erfolgen durch neue Aufzeichnungen, die die Originale erhalten.

10. Datensicherungen und Kontinuität

Wir führen regelmäßige Datensicherungen durch, um die Verfügbarkeit und Wiederherstellung der Informationen im Falle von Vorfällen zu gewährleisten.

11. Vorfallmanagement und Meldung von Datenschutzverletzungen

Wir verfügen über Verfahren zum Management von Sicherheitsvorfällen. Stellt ein Vorfall eine Verletzung des Schutzes personenbezogener Daten dar, handeln wir gemäß den Artikeln 33 und 34 der DSGVO und unserer Datenschutzerklärung:

  • Als Verantwortlicher: Meldung an die spanische Aufsichtsbehörde (AEPD) innerhalb von höchstens 72 Stunden, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, und bei hohem Risiko direkte Benachrichtigung der Betroffenen.
  • Als Auftragsverarbeiter: Meldung an den Kunden (Verantwortlichen) ohne unangemessene Verzögerung, unter Bereitstellung der Informationen, die er zur Erfüllung seiner eigenen Meldepflichten benötigt.

12. Datenschutz durch Technikgestaltung

Im Einklang mit ISO/IEC 27701 ist das Management personenbezogener Informationen nach den Grundsätzen des Datenschutzes durch Technikgestaltung und durch Voreinstellungen in das Sicherheitssystem integriert:

  • Getrennte Rollen als Verantwortlicher und Auftragsverarbeiter, wie in der Datenschutzerklärung beschrieben.
  • Auftragsverarbeitungsvertrag (AVV/DPA) mit den Kunden der Plattform.
  • Verwaltung von Unterauftragsverarbeitern mit gleichwertigen Garantien.
  • Datenminimierung und Zweckbindung.

13. Personal

Alle Mitarbeitenden unterliegen Vertraulichkeitspflichten, greifen nach dem Prinzip der minimalen Rechtevergabe auf Informationen zu und wenden diese Richtlinie bei der Ausübung ihrer Tätigkeit an.

14. Dienstleister und Hosting

Dienstleister, die an der Erbringung des Dienstes beteiligt sind, werden unter der Voraussetzung angemessener Sicherheits- und Datenschutzgarantien ausgewählt. Die Infrastruktur von Zynvio wird in der Europäischen Union gehostet.

15. Überprüfung und kontinuierliche Verbesserung

Diese Richtlinie wird regelmäßig überprüft und aktualisiert, wenn sich Risiken, Technologien oder geltende rechtliche Anforderungen ändern. Die auf dieser Seite veröffentlichte Version ist die gültige Fassung.

16. Kontakt und Meldung von Schwachstellen

Wenn Sie eine Schwachstelle oder ein Sicherheitsproblem im Zusammenhang mit Zynvio entdecken oder Fragen zu dieser Richtlinie haben, schreiben Sie uns an:

privacy@zynvio.comWir schätzen die verantwortungsvolle Meldung von Schwachstellen und prüfen alle eingehenden Mitteilungen.