Voice2Evolve® logo

Sicherheitsprüfung für Einkaufssoftware

Vertrauen & Sicherheit

EU-gehostete Software für Lieferantenverhandlungstraining mit Mandantentrennung, veröffentlichten Unterauftragnehmern, AVV, dokumentierten Sicherheitskontrollen und einem klaren Prüfpfad für Einkauf, Datenschutz und IT.

Diese Seite zeigt, wie Voice2Evolve Sprachsitzungen, Transkripte, Organisationskontext und den Einführungsprozess vor dem Einsatz in Einkaufsteams schützt.

Trainings- und Organisationsdaten in der EU gespeichert

AVV und Unterauftragnehmer-Liste verfügbar

Mandantentrennung über Middleware, Authentifizierungsansprüche und Datenbankrichtlinien

Sprachsitzungen während der Übertragung über WebRTC/DTLS-SRTP geschützt

Sprachaufnahmen werden nicht dauerhaft gespeichert

Prüfunterlagen und Fragebogenantworten auf Anfrage verfügbar

Kurzlebige Tokens, Rate Limits und rollenbasierte Zugriffssteuerung

Voice2Evolve verarbeitet sensible Daten: Live-Sprachaudio während Sitzungen, Gesprächstranskripte und Unternehmenskontext. Datenschutz ist bei uns kein nachträglicher Gedanke, sondern fester Bestandteil der Architektur.

Auf dieser Seite erfahren Sie, welche Schutzmaßnahmen umgesetzt sind. Formelle Vereinbarungen und technische Details finden Sie in den Dokumenten am Seitenende.

Datenstandort & Verschlüsselung

Trainings- und Organisationsdaten werden in der EU gespeichert, derzeit über Supabase in der Region Stockholm. Daten werden im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2+) verschlüsselt. Sprach-Audio wird in der Echtzeitübertragung über WebRTC/DTLS-SRTP geschützt.

Zusätzlich schützt Verschlüsselung auf Anwendungsebene (AES-256-GCM) sensible Felder wie hochgeladene Dokumente, API-Schlüssel und organisationsbezogene Konfigurationsdaten. Die Schlüsselverwaltung erfolgt über ein mehrstufiges Vault-System. Weitere Dienstleister und relevante Datenkategorien sind in der Unterauftragnehmer-Liste dokumentiert.

Organisationstrennung

Voice2Evolve ist mehrmandantenfähig. Jede Abfrage, jeder API-Aufruf und jeder Speichervorgang ist auf Ihre Organisation beschränkt. Die Trennung wird auf Datenbankebene durch Richtlinien für die Zeilenebene durchgesetzt, nicht nur durch Anwendungslogik.

Der Organisationskontext wird auf drei unabhängigen Ebenen geprüft: Middleware, Authentifizierungstoken und Datenbankrichtlinien. Erst wenn alle drei übereinstimmen, werden Daten zurückgegeben. Es gibt keine gemeinsame Datenoberfläche zwischen Organisationen.

Umgang mit Sprach- & KI-Daten

Sprach-Audio wird für die Live-Sitzung in Echtzeit verarbeitet. Voice2Evolve speichert Sprachaufnahmen nach der Sitzung nicht dauerhaft.

Transkripte und Analysen werden der jeweiligen Organisation zugeordnet und gemäß der konfigurierten Aufbewahrungsfrist gespeichert. Nach Ablauf werden sie gelöscht.

Wir nutzen API-Endpunkte, bei denen Eingaben und Ausgaben nicht zum Training der KI-Modelle verwendet werden. Details zu Anbietern, Datenkategorien und Aufbewahrung sind in der Unterauftragnehmer-Liste und den Prüfunterlagen dokumentiert.

Unsere Grundsätze zum Einsatz von KI-Analysen und zu den Grenzen der Plattform finden Sie auf der Seite Verantwortungsvolle KI.

Authentifizierung & Zugriffssteuerung

Die Anmeldung erfolgt über sichere HttpOnly-Cookies mit SameSite-Schutz. Ein rollenbasiertes Berechtigungsmodell trennt Nutzer-, Editor-, Organisationsadmin- und Superadmin-Rechte. Alle Administrationsbereiche erfordern eine explizite Rollenprüfung.

API-Endpunkte sind pro Route durchsatzbegrenzt. Anonymer Zugriff ist nur nach erfolgreicher CAPTCHA-Prüfung möglich. Alle Token sind kurzlebig und kryptographisch signiert.

Anwendungssicherheit

Sicherheit ist fester Bestandteil des Entwicklungsprozesses. Unsere Maßnahmen umfassen:

  • Eingabevalidierung an jedem API-Endpunkt (Zod-Schema-Prüfung)
  • Inhalts-Sicherheitsrichtlinie mit anfragespezifischer Nonce
  • Strukturiertes Logging mit automatischer Schwärzung personenbezogener Daten
  • Automatisierte Prüfung von Abhängigkeiten und Schwachstellenwarnungen
  • Code-Prüfung mit automatisierten Sicherheitswerkzeugen und manueller Verifikation
  • Unveränderliche Audit-Logs für administrative und finanzielle Vorgänge

Compliance & Rahmenwerke

Voice2Evolve orientiert sich beim Aufbau seines Informationssicherheits-Managementsystems (ISMS) an ISO-27001- und SOC-2-Prinzipien. Formelle Zertifizierungen sind noch nicht abgeschlossen. Dokumentierte Kontrollen, Prozesse und Prüfpfade werden fortlaufend ausgebaut und für Beschaffungs- und Review-Prozesse bereitgestellt.

Voice2Evolve ist auf DSGVO-konforme Verarbeitung ausgelegt: AVV, Unterauftragnehmer-Transparenz, Lösch- und Auskunftsprozesse, dokumentierte Aufbewahrung und technische Zugriffskontrollen sind vorgesehen. Eine Datenschutz-Folgenabschätzung deckt die Verarbeitung von Sprachsitzungen ab. Die Anforderungen der GoBD an die digitale Buchführung erfüllen wir über die Lexware-Anbindung.

Dienstleistermanagement

Jeder Drittanbieter wird vor dem Einsatz auf Sicherheitsniveau, Datenverarbeitungspraxis und verfügbare Compliance-Nachweise geprüft. Mit jedem Anbieter, der personenbezogene Daten verarbeitet, besteht ein AVV. Die jeweiligen Nachweise und Zertifizierungen sind in der Unterauftragnehmer-Liste dokumentiert.

Eine vollständige Unterauftragnehmer-Liste wird veröffentlicht und laufend gepflegt. Änderungen kommunizieren wir mit 30 Tagen Vorlaufzeit gemäß unserem AVV.

Reaktion auf Sicherheitsvorfälle

Ein dokumentierter Incident-Response-Prozess deckt Erkennung, Eindämmung, Beseitigung und Wiederherstellung ab. Kritische Sicherheitsereignisse werden priorisiert bearbeitet. Datenschutzverletzungen werden gemäß DSGVO Art. 33 bewertet und, sofern meldepflichtig, innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet.

Jeder Vorfall wird mit Ursachenanalyse und Maßnahmenplan dokumentiert. Die Erkenntnisse fließen direkt in die Weiterentwicklung unserer Schutzmaßnahmen ein.

Prüfunterlagen

Für Einkauf, Datenschutz, IT und Compliance stehen folgende Unterlagen bereit:

Auftragsverarbeitungsvertrag (AVV)Unterauftragnehmer-ListeDatenschutzerklärungVerantwortungsvoller KI-Einsatz

Was wir in der Lieferantenprüfung bereitstellen

Einkauf, IT, Informationssicherheit und Datenschutz brauchen vor der Einführung meist dasselbe Belegpaket. Wir stellen es direkt bereit.

  • Auftragsverarbeitungsvertrag und Unterauftragnehmer-Liste
  • Datenschutzerklärung und Position zum verantwortungsvollen KI-Einsatz
  • Sicherheitswhitepaper und beantwortete Fragebögen auf Anfrage
  • Klare Erklärung zu Aufbewahrung, Hosting, Zugriffssteuerung und Mandantentrennung

Benötigen Sie das Prüfunterlagenpaket für Einkauf, IT oder Compliance?

Wir stellen Sicherheitswhitepaper, Antworten auf Einkaufsfragebögen und direkte Auskünfte für Einkaufs-, Datenschutz- und Sicherheitsprüfungen bereit.

Prüfunterlagen anfordern