Sicherheit, Datenschutz & Compliance-Center
OpenDPP ist darauf ausgelegt, sich an den Prinzipien von ISO 27001 & SOC 2 auszurichten. Durch den Betrieb auf branchenführenden EU-Cloud-Hosts und die Anwendung strenger Datenschutzrichtlinien wird jeder Digitale Produktpass (DPP) sicher gespeichert, versiegelt und signiert, um Sie bei der Erfüllung Ihrer EU-regulatorischen Pflichten zu unterstützen.
Zertifizierte EU-Infrastrukturanbieter
OpenDPP läuft auf zertifizierten Anbietern digitaler Infrastruktur innerhalb des Europäischen Wirtschaftsraums. Die folgenden Zertifizierungen werden von diesen Anbietern (Google Cloud, Neon) gehalten; OpenDPP erbt deren Sicherheits- und Datenresidenz-Kontrollen. OpenDPP selbst ist darauf ausgelegt, sich an den Prinzipien von ISO 27001 & SOC 2 auszurichten, wobei eine formelle Zertifizierung auf unserer Roadmap steht.
Google Cloud Platform
Compute- & Anwendungsebene in europe-west1 (Belgien). Aktive Compute-Knoten befinden sich innerhalb der EU-Grenzen und erben die physische Sicherheit von Google Cloud, biometrische Zugangsbeschränkungen und Schutzmaßnahmen für den Hardware-Lebenszyklus. Google Cloud hält Zertifizierungen nach ISO 27001, SOC 2 Type II und SOC 3 und unterstützt eine GDPR-konforme EU-Datenresidenz.
Neon PostgreSQL
Datenbank- & Speicherebene in eu-central-1 (Frankfurt). Registerdaten sind logisch isoliert, im Ruhezustand mit AES-256-Schlüsseln und bei der Übertragung über TLS 1.3 verschlüsselt. Neon hält Zertifizierungen nach ISO 27001:2022, ISO 27701:2019 und SOC 2 Type II und unterstützt eine GDPR-konforme EU-Datenresidenz (AWS-gehostet).
EU-Souveränitätsgrenzen
Die Anwendungs- und Datenbankebene von OpenDPP — Anwendungsknoten, API-Gateways, Datenbank-Engines und Backup-Systeme — läuft innerhalb der Europäischen Union (Belgien und Deutschland), sodass Ihre Passdaten EU-gehostet bleiben. Einige Funktionen stützen sich auf Drittanbieter als Unterauftragsverarbeiter (z. B. Stripe für die Abrechnung, Firebase / Google für die Authentifizierung, Iubenda und Google Analytics), die begrenzte Daten unter ihren eigenen Bedingungen verarbeiten können.
Ende-zu-Ende-Verschlüsselung
Kreislaufdaten, Herstellermetadaten und Verifizierungsereignisse werden bei der Übertragung mit modernen kryptografischen TLS-1.3-Suiten und im Ruhezustand mit branchenüblicher AES-256-Verschlüsselung verschlüsselt.
Prüfen Sie die Compliance-Nachweise der Anbieter direkt: Google Cloud Compliance Portal · Neon Trust Center
GDPR & Einwilligungsverwaltung
OpenDPP setzt die Datenschutzrechte der Nutzer nach der EU-Datenschutz-Grundverordnung (GDPR) und der ePrivacy-Richtlinie durch.
Aktives Skript-Blocking
Wir integrieren ein konformes Iubenda-Cookie-Banner, das automatisches Cookie- und Skript-Blocking durchführt. Tracking-Skripte (einschließlich Google Analytics) werden dynamisch zurückgehalten und erst ausgeführt, nachdem der Besucher eine ausdrückliche, granulare Einwilligung erteilt hat.
Datenschutzfreundlicher Kern als Standardeinstellung
Auf den JSON-LD-Datenebenen, die maschinellen Crawlern und EU-Zollüberwachungs-Bots bereitgestellt werden, werden keine Tracker geladen, wodurch ein sauberer, datensparsamer Compliance-Resolver erhalten bleibt.
Anonymisierung von Zugriffsprotokollen
Während OpenDPP Abfrageereignisse im AccessAuditLog protokolliert, um die Pass-Integrität zu auditieren, verhindert es durch strenge IP-Anonymisierung die Ansammlung personenbezogener Daten (PII).
- IPv4-Maskierung (Subnetz-Nullsetzung)Die Host-Kennung wird durch Nullsetzen des letzten Oktetts entfernt — 192.168.1.123 wird als 192.168.1.0 erfasst — sodass sie nicht zu einer Einzelperson zurückverfolgbar ist.
- IPv6-Kürzung (/48-Maskierung)IPv6-Verbindungen werden mit einer /48-Subnetzmaske gekürzt, wobei allgemeine regionale Metadaten zur Einhaltung gesetzlicher Vorgaben erhalten bleiben, während eindeutige Geräte- und Schnittstellenkennungen bereinigt werden.
Enterprise-SSO & granulare Zugriffskontrolle
OpenDPP ist für Unternehmensumgebungen konzipiert. Eine feingranulare, sichere Zugriffskontrollebene integriert sich in gängige Unternehmens-Verzeichnissysteme und hält dabei die Lieferantenvorgänge isoliert.
- Enterprise Single Sign-On (SSO). Verbinden Sie bestehende Unternehmens-Identitätsanbieter (IdPs) wie Okta, Keycloak, Ping Identity oder Azure AD. Wir verifizieren Signaturen auf OIDC-Tokens dynamisch über JWKS-Endpunkte für eine zustandslose, kryptografisch sichere Verifizierung.
- Granulare berechtigungsbasierte Zugriffskontrolle (PBAC). OpenDPP vermeidet breite, unsichere Rollen und führt bei jeder Endpunkt-Abfrage eine präzise Berechtigungsprüfung durch, mit Unterstützung von 8 spezialisierten Rollen — darunter eigene Compliance Officers (eIDAS-Schlüsseloperationen) und Surveillance Officers (schreibgeschützte Verifizierungs-Audits).
- Zeilenbasierte Lieferantenisolierung (Schutz vor Wettbewerber-Ausspähung). Facility Agents, die externe Lieferanten vertreten, sind auf ihre zugewiesenen Wirtschaftsakteur-Kennungen beschränkt. Der Knoten blockiert programmatisch übergreifende Anfragen zwischen Wirtschaftsakteuren am API-Gateway und verhindert so Industriespionage oder Lecks wettbewerbsrelevanter Daten.
NIS2-Richtlinie & Lieferketten-Integrität
Die EU-NIS2-Richtlinie (Network and Information Systems Directive 2) legt entscheidenden Wert auf die Sicherheit und Resilienz digitaler Lieferketten. OpenDPP ist darauf ausgelegt, sich an diesen Anforderungen durch strukturierte Infrastrukturkontrollen auszurichten.
UNTP-Lieferketten-Rückverfolgbarkeitsverifizierung
OpenDPP unterstützt an NIS2 Article 21 ausgerichtete Kontrollen zur Lieferketten-Integrität, indem es Besitzübergänge und Transaktionsereignisse kryptografisch verifiziert. Erfasste Ereignisse werden in signierte W3C Verifiable Credentials gemäß dem UN Transparency Protocol (UNTP) eingebettet, wobei Herausgeber-DIDs aufgelöst und sichere eIDAS-Zertifikatsketten geprüft werden.
Durch den Aufbau auf Google Cloud und Neon Postgres läuft OpenDPP auf einer Infrastruktur, die gängige Anforderungen an das Lieferkettenrisiko erfüllt. Beide Anbieter sind weithin vertraute digitale Dienste — lokalisiert in der EU (GCP Europa / AWS Europa) mit GDPR-konformen Datenresidenz-Kontrollen.
— Aufgebaut auf zertifizierter EU-InfrastrukturDas Modell der geteilten Verantwortung
Robuste Sicherheit erfordert eine kollaborative Aufgabenteilung zwischen unseren zugrunde liegenden Infrastruktur-Hosts und den Anwendungsebenen von OpenDPP.
Infrastruktur-Hosts
GCP & Neon. Physische Sicherheit (biometrische Zugänge, Überwachung, Wachpersonal rund um die Uhr, Perimeterzäune), Hardware- und Hypervisor-Isolierung sowie leistungsstarker DDoS-Schutz mit Edge-Ratenbegrenzung und Backbone-Filtern.
Kryptografisches eIDAS-Signieren
OpenDPP-Anwendungsebene. Sichere Verwahrung asymmetrischer ECC-Signaturschlüssel, mandantenspezifisch in PostgreSQL verschlüsselt (die VaultKey-Tabelle) und über GCM Additional Authenticated Data an jeden Mandanten gebunden.
OIDC-SSO & granulare PBAC
OpenDPP-Anwendungsebene. Enterprise-SSO über JWKS-Verifizierung, Zuordnung von 8 standardmäßigen Plattformrollen zu feingranularen Berechtigungsbereichen und Durchsetzung strikter zeilenbasierter Lieferantengrenzen für Facility Agents.
Eingabevalidierung & Schema-Abgleich
OpenDPP-Anwendungsebene. Automatische Verifizierung von JSON-LD-Strukturen zur Verhinderung von Payload-Injektionen und zur Wahrung der Register-Konformität.
Für EU-Compliance gebaut, durch Design abgesichert.
Sehen Sie, wie OpenDPP signierte, EU-gehostete Digitale Produktpässe ausstellt, denen Ihre Prüfer vertrauen können.
Demo buchenOpenDPP ist darauf ausgelegt, sich an die Prinzipien von ISO 27001, SOC 2 und NIS2 anzulehnen, und läuft auf nach ISO 27001 / SOC 2 Type II zertifizierter Infrastruktur (Google Cloud + Neon); die formale Zertifizierung von OpenDPP selbst steht auf unserer Roadmap. Es integriert DSGVO-Datenschutzkontrollen wie ein explizites Consent-Management über Iubenda-Cookie-Banner und automatisierte IP-Adressanonymisierung in Zugriffsprotokollen.
OpenDPP-Sicherheit & DSGVO-Konformität · Zuletzt überprüft