Informationssicherheits- richtlinie
Wie Zynvio die ihm anvertrauten Informationen schützt: Grundsätze und Kontrollen im Einklang mit ISO/IEC 27001 und ISO/IEC 27701 sowie die technischen und organisatorischen Maßnahmen nach Artikel 32 der DSGVO.
Version 1.1 — Letzte Aktualisierung: 11. Juli 2026 · PIXELARIS S.L.
Verschlüsselung bei Übertragung und Speicherung
Kommunikation über TLS/SSL geschützt, gespeicherte Daten mit AES-256 verschlüsselt. Passwörter mit Hash-Funktionen mit Salt.
Granulare Zugriffskontrolle
Prinzip der minimalen Rechtevergabe, rollenbasierte Kontrolle und granulare Berechtigungen auf der gesamten Plattform.
Mandantentrennung
Multi-Tenant-Architektur mit logischer Trennung der Daten jedes Unternehmens.
Audit und Nachvollziehbarkeit
Audit-Protokoll mit Nachvollziehbarkeit der Vorgänge: wer hat was wann getan.
Datensicherungen
Regelmäßige Backups für die Verfügbarkeit und Wiederherstellung der Informationen.
Hosting in der EU
In der Europäischen Union gehostete Infrastruktur mit Dienstleistern, die angemessene Garantien bieten.
Normativer Rahmen und Referenzen
Zynvio wendet die Grundsätze und Kontrollen dieser Normen und Verordnungen als Arbeitsrahmen an. Diese Richtlinie stellt keine Zertifizierungserklärung nach ISO/IEC 27001 oder ISO/IEC 27701 dar.
Vollständiger Text der Richtlinie
1. Zweck und Geltungsbereich
Diese Informationssicherheitsrichtlinie beschreibt die Grundsätze und Maßnahmen, mit denen Zynvio, eine von PIXELARIS S.L. betriebene Plattform, die von ihr verarbeiteten Informationen schützt, einschließlich der Informationen ihrer Kunden und Nutzer. Diese Richtlinie gilt für:
- Die Zynvio-Plattform (app.zynvio.com) und die Unternehmenswebsite.
- Alle Mitarbeitenden mit Zugriff auf Systeme oder Informationen.
- Die Entwicklungs-, Betriebs- und Supportprozesse des Dienstes.
2. Sicherheitsziele
Das Sicherheitsmanagementsystem soll vier Eigenschaften der Informationen gewährleisten:
- Vertraulichkeit: Auf Informationen greift nur zu, wer dazu berechtigt ist.
- Integrität: Informationen sind korrekt und vollständig, und jede Änderung ist erkennbar.
- Verfügbarkeit: Informationen und Dienst sind verfügbar, wenn sie benötigt werden, gestützt durch Backups für die Wiederherstellung.
- Nachvollziehbarkeit: Vorgänge werden protokolliert, sodass nachvollziehbar ist, wer was wann getan hat.
3. Referenzrahmen
Unser Informationssicherheits-Managementsystem basiert auf den Grundsätzen und Kontrollen der Norm ISO/IEC 27001, und das Management personenbezogener Informationen orientiert sich an den Leitlinien der ISO/IEC 27701 (Erweiterung für das Datenschutzmanagement). Darüber hinaus setzen wir die technischen und organisatorischen Maßnahmen um, die Artikel 32 der Verordnung (EU) 2016/679 (DSGVO) und das spanische LOPDGDD verlangen.
Diese Richtlinie ist eine Erklärung von Sicherheitsgrundsätzen und -praktiken; sie stellt keine Zertifizierungserklärung nach diesen Normen dar.
4. Governance und Verpflichtung der Geschäftsleitung
Die Geschäftsleitung von PIXELARIS S.L. bekennt sich zur Informationssicherheit und ist verantwortlich für:
- Die Genehmigung dieser Richtlinie und ihre regelmäßige Überprüfung.
- Die Zuweisung der Verantwortlichkeiten im Bereich Sicherheit.
- Die Bereitstellung der für die Einhaltung erforderlichen Ressourcen.
- Die Förderung der kontinuierlichen Verbesserung des Managementsystems.
5. Risikomanagement
Wir bewerten regelmäßig die Risiken für die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen sowie die Wirksamkeit der umgesetzten Sicherheitsmaßnahmen. Die Maßnahmen werden angepasst, wenn sich Risiken, Technologien oder der Kontext des Dienstes ändern.
6. Zugriffskontrolle
Der Zugriff auf Informationen wird nach den folgenden Grundsätzen verwaltet:
- Prinzip der minimalen Rechtevergabe beim Datenzugriff.
- Rollenbasierte Zugriffskontrolle und granulare Berechtigungen.
- Logische Datentrennung zwischen Unternehmen (Multi-Tenant-Architektur).
- Kryptografisch generierte Sitzungstoken.
7. Verschlüsselung und Datenschutz
Wir setzen Verschlüsselung ein, um Informationen in allen Zuständen zu schützen:
- Verschlüsselung der Daten bei der Übertragung mittels TLS/SSL.
- Verschlüsselung der Daten im Ruhezustand mittels AES-256.
- Speicherung von Passwörtern mittels Hash-Funktionen mit Salt.
- Verschlüsselter Schutz elektronischer Zertifikate und sensibler Zugangsdaten.
8. Sicherheit in Entwicklung und Betrieb
Entwicklung und Betrieb der Plattform beinhalten Sicherheitsmaßnahmen bereits im Design:
- Verhinderung von SQL-Injection durch parametrisierte Abfragen.
- Validierung und Bereinigung hochgeladener Dateien.
- Schutz vor automatisierten Angriffen.
- Audit-Protokollierung mit Nachvollziehbarkeit der Vorgänge.
9. Integrität der Rechnungsaufzeichnungen (VERI*FACTU)
Als Fakturierungssystem im VERI*FACTU-Modus gewährleistet Zynvio die Integrität, Aufbewahrung, Nachvollziehbarkeit und Unveränderbarkeit der Rechnungsaufzeichnungen:
- Jede Aufzeichnung trägt einen SHA-256-Fingerabdruck, der mit dem der vorherigen Aufzeichnung verkettet ist und eine überprüfbare Kette bildet.
- Die Aufzeichnungen werden fortlaufend an die spanische Steuerbehörde (AEAT) übermittelt.
- Jede Rechnung enthält einen überprüfbaren QR-Code.
- Keine Aufzeichnung kann geändert oder gelöscht werden, ohne dass das System dies erkennt; Korrekturen erfolgen durch neue Aufzeichnungen, die die Originale erhalten.
10. Datensicherungen und Kontinuität
Wir führen regelmäßige Datensicherungen durch, um die Verfügbarkeit und Wiederherstellung der Informationen im Falle von Vorfällen zu gewährleisten.
11. Vorfallmanagement und Meldung von Datenschutzverletzungen
Wir verfügen über Verfahren zum Management von Sicherheitsvorfällen. Stellt ein Vorfall eine Verletzung des Schutzes personenbezogener Daten dar, handeln wir gemäß den Artikeln 33 und 34 der DSGVO und unserer Datenschutzerklärung:
- Als Verantwortlicher: Meldung an die spanische Aufsichtsbehörde (AEPD) innerhalb von höchstens 72 Stunden, wenn ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, und bei hohem Risiko direkte Benachrichtigung der Betroffenen.
- Als Auftragsverarbeiter: Meldung an den Kunden (Verantwortlichen) ohne unangemessene Verzögerung, unter Bereitstellung der Informationen, die er zur Erfüllung seiner eigenen Meldepflichten benötigt.
12. Datenschutz durch Technikgestaltung
Im Einklang mit ISO/IEC 27701 ist das Management personenbezogener Informationen nach den Grundsätzen des Datenschutzes durch Technikgestaltung und durch Voreinstellungen in das Sicherheitssystem integriert:
- Getrennte Rollen als Verantwortlicher und Auftragsverarbeiter, wie in der Datenschutzerklärung beschrieben.
- Auftragsverarbeitungsvertrag (AVV/DPA) mit den Kunden der Plattform.
- Verwaltung von Unterauftragsverarbeitern mit gleichwertigen Garantien.
- Datenminimierung und Zweckbindung.
13. Personal
Alle Mitarbeitenden unterliegen Vertraulichkeitspflichten, greifen nach dem Prinzip der minimalen Rechtevergabe auf Informationen zu und wenden diese Richtlinie bei der Ausübung ihrer Tätigkeit an.
14. Dienstleister und Hosting
Dienstleister, die an der Erbringung des Dienstes beteiligt sind, werden unter der Voraussetzung angemessener Sicherheits- und Datenschutzgarantien ausgewählt. Die Infrastruktur von Zynvio wird in der Europäischen Union gehostet.
15. Überprüfung und kontinuierliche Verbesserung
Diese Richtlinie wird regelmäßig überprüft und aktualisiert, wenn sich Risiken, Technologien oder geltende rechtliche Anforderungen ändern. Die auf dieser Seite veröffentlichte Version ist die gültige Fassung.
16. Kontakt und Meldung von Schwachstellen
Wenn Sie eine Schwachstelle oder ein Sicherheitsproblem im Zusammenhang mit Zynvio entdecken oder Fragen zu dieser Richtlinie haben, schreiben Sie uns an: