Zum Inhalt springen
ITTCON
Anrufen · +49 173 3724083Angebot in 48 h erhaltenKontakt

Wissen

Sicherheit & Standards

Welche Daten wir verarbeiten, wie Zugriffe gesteuert werden und wie wir Anforderungen aus Datenschutz, Nachweisführung und Compliance im Blick behalten – ohne „Excel + E-Mail“ als Single Point of Failure.

Kurzantwort: ITTCON arbeitet mit europäischem Hosting-Kontext, rollenbasierten Zugriffen, verschlüsselter Übertragung, Backups und klarer Dokumentationslogik. Für Procurement, IT, Compliance und Audit liefern wir die passende Einordnung – öffentlich bewusst high-level, projektbezogen bei Bedarf tiefer.

Stand: Formale Unterlagen wie AVV/TOMs, Datenflüsse und Sub-Prozessoren projektbezogen bereitstellbar.

DE/EU-Hosting

Kernsysteme im europäischen Kontext – mit projektbezogener Datenverarbeitung und sauberer Einordnung für interne Freigaben.

Zugriffe & Nachvollziehbarkeit

Rollen, Owner, Versionen und Freigaben sorgen dafür, dass Sicherheits- und Projektstände nachvollziehbar bleiben.

Backups & Übergaben

Regelmäßige Backups, definierter Restore-Pfad und klare Endstände für Export, Übergabe und Archivierung.

Wofür diese Seite gedacht ist

Diese Seite soll eine verständliche, belastbare Einstiegsübersicht sein. Sie ist geeignet für Vendor-Checks, erste Procurement-Fragen, interne IT- oder Compliance-Abstimmungen und die Vorbereitung projektbezogener Unterlagen.

Security One-Pager als PDFOne-Pager online ansehenUnterlagen anfragen

Prinzipien (DACH-tauglich, pragmatisch)

  • Datenminimierung: so viel wie nötig, so wenig wie möglich.
  • Zweckbindung: Projekt- und Nachweiszweck statt Sammeln auf Vorrat.
  • Nachvollziehbarkeit: Owner, Versionen, Freigaben und Übergaben.
  • Trennung: Website-Tracking getrennt von Projektdaten.
  • Transparenz: Unterlagen für IT und Compliance projektbezogen, prüfbar und ohne Buzzwords.

Technische Standards (Kurzfassung)

Wir veröffentlichen bewusst keine internen Konfigurationsdetails wie Ports, Pfade, exakte Backup-Zeitpläne oder ähnliche Betriebsdetails. Öffentlich zeigen wir das Prinzip und den Prozess – und liefern vertiefende Unterlagen nur dort, wo sie wirklich gebraucht werden.

  • Transportverschlüsselung: Zugriff über HTTPS/TLS.
  • Zugriffskontrolle: rollenbasiert (Need-to-know), klare Owner, Versionen und Freigaben.
  • Schutz im Betrieb: Schutzmaßnahmen gegen Missbrauch, Monitoring relevanter Dienste und nachvollziehbare Betriebsabläufe.
  • Backups & Wiederherstellung: regelmäßige Backups, getrennte Kopien und definierter Restore-Pfad; Restore-Tests je nach Kritikalität möglich.
  • Patch- und Vulnerability-Management: Sicherheitsupdates und Abhängigkeiten werden regelmäßig gepflegt; kritische Themen priorisiert.
  • Unterlagen: AVV/DPA, TOMs, Datenkategorien, Retention, Löschung, Sub-Prozessoren und Datenflüsse – im Projektkontext bereitstellbar.

Hinweis: Diese Seite ist eine verständliche Übersicht – keine Rechtsberatung. Verbindliche Regelungen treffen wir projektbezogen vertraglich.

Zugriffe & Rollen

Rollenbasierte Zugriffe stellen sicher, dass nur berechtigte Personen projektsensitive Inhalte sehen oder bearbeiten können. Freigaben und Versionen helfen, Entscheidungen nachvollziehbar zu halten – auch wenn Teams wechseln.

Für administrative und kritische Zugänge ist Mehrfaktor-Authentifizierung ein gängiger Standard. Den Umfang stimmen wir passend zu Risiko-Setup und Kundenpolicy ab.

Hosting & Datenstandort

Unsere Systeme sind in Deutschland gehostet, die Datenverarbeitung erfolgt im europäischen Kontext. Wenn ihr formale Anforderungen aus Vergabe, Bank oder Konzernpolicy habt, etwa AVV/TOMs oder Datenflussdarstellungen, klären wir das projektbezogen sauber ab.

Website-Tracking vs. Projektdaten

Für Reichweite und Performance der Website nutzen wir Analytics und Tags. Das ist technisch getrennt von Projektdaten und Projektdokumenten. Tracking wird über Consent gesteuert.

Für Details verweisen wir auf den Datenschutz.

Umgang mit Sicherheitsvorfällen

Sicherheit heißt auch: Prozess statt Bauchgefühl. Falls es zu einem Sicherheitsvorfall kommt, arbeiten wir mit einem klaren Ablauf aus Einordnung, Eindämmung, abgestimmter Kommunikation und dokumentierten Maßnahmen.

Aufbewahrung, Export & Löschung

Projekte brauchen oft einen klaren Endstand: Exportpaket, Index und Übergabenotiz. Danach definieren wir den Umgang mit Daten – Löschung oder archivierter Read-only-Stand – abhängig von Audit-, Abnahme- und Policy-Vorgaben.

Transparenz & Unterlagen (für IT, Compliance, Procurement)

Wenn ihr für interne Freigaben Unterlagen braucht, liefern wir das im Projektkontext in der passenden Tiefe – prüfbar, verständlich und ohne Overclaiming.

  • AVV/DPA inklusive TOMs, wenn ITTCON Auftragsverarbeiter ist
  • Datenkategorien, Zwecke, Rollen und Verantwortlichkeiten
  • Retention, Löschung und Übergabe- beziehungsweise Export-Logik
  • Sub-Prozessoren und Datenflüsse, sauber getrennt nach Website und Projektdaten

Security One-Pager (PDF)

Für Procurement, IT und Compliance gibt es eine kompakte High-Level-Übersicht mit Datenstandort, Prinzipien, Backup- und Restore-Logik, Incident-Prozess und Verweisen zu Unterlagen. Bewusst ohne interne Konfigurationsdetails.

PDF öffnenPDF herunterladenOnline ansehen

Der One-Pager ist bewusst high-level. Konkrete Nachweise wie Policy-Details, Restore-Nachweise oder tiefergehende Security-Unterlagen teilen wir bei Bedarf kontrolliert und projektbezogen.

FAQ kurz beantwortet

Die wichtigsten Fragen — kompakt, prüfbar und ohne Buzz.

Unsere Kernsysteme sind in Deutschland (Nürnberg) gehostet. Die Datenverarbeitung erfolgt innerhalb Europas. Wenn du für Vergaben, Banken oder interne Standards eine formale Einordnung brauchst, stimmen wir das im Projektkontext sauber ab.

Ja. Zugriffe auf den Webauftritt erfolgen verschlüsselt über HTTPS/TLS. Das schützt die Übertragung vor Mitlesen und Manipulation unterwegs. Für Anforderungen an Security-Header oder Transport-Policies stimmen wir das bei Bedarf passend zum Setup ab.

Wir verarbeiten nur projektbezogene Daten, die für Angebot, Beschaffung, Terminierung, Nachweise und Kommunikation erforderlich sind – zum Beispiel Produkt- und Spezifikationsdaten, Liefer- und Nachweisdokumente, Ansprechpartner, Freigaben und Versionsstände. Ziel ist Datenminimierung: so viel wie nötig, so wenig wie möglich.

Zugriffe erfolgen rollenbasiert („Need-to-know“). Sensible Informationen sind nur für berechtigte Personen sichtbar; Freigaben, Versionen und Übergaben sorgen für Nachvollziehbarkeit. Damit bleibt klar, wer welchen Stand wann freigegeben hat.

Für administrative und sicherheitsrelevante Plattform-Zugänge ist Mehrfaktor-Authentifizierung (MFA/2FA) ein gängiger Standard. Den Umfang stimmen wir passend zum Risiko-Setup und euren Policies ab – damit Sicherheit und Betrieb zusammenpassen.

Wir arbeiten mit regelmäßigen Backups und getrennten Kopien, um das Risiko von Datenverlust zu reduzieren. Wichtig ist nicht nur „Backup vorhanden“, sondern ein definierter Wiederherstellungspfad (Restore). Bei projektkritischen Setups kann ein Restore-Test als Teil der Betriebsroutine vereinbart werden.

Cloudflare nutzen wir primär für Performance und Edge-Auslieferung. Je nach Bereich lassen sich zusätzliche Schutzmaßnahmen wie Rate-Limiting oder Regelsets sauber trennen, etwa zwischen öffentlichem Webauftritt und sensibleren Bereichen. Wir vermeiden bewusst öffentliche Detailangaben zu internen Konfigurationen.

Wir verwenden Google Analytics (GA4) und Google Tags zur Messung von Reichweite und Website-Performance. Tracking ist technisch getrennt von Content- und Projektinformationen und wird über Consent gesteuert. Wenn ihr Anforderungen an interne Policies oder Tag-Governance habt, berücksichtigen wir das im Setup.

Wir strukturieren Nachweise als Dossiers und verknüpfen sie entlang der Lieferkette, sodass Evidenzen konsistent, versioniert und prüfbar vorliegen. Damit entsteht Audit-Readiness nicht am Ende, sondern wird von Anfang an mitgeführt.

Ja. Wenn wir im Projektkontext personenbezogene Daten im Auftrag verarbeiten, stellen wir die notwendigen Unterlagen bereit, also AVV oder DPA inklusive TOMs. Wir halten das bewusst pragmatisch: klare Zwecke, klare Datenkategorien, klare Zuständigkeiten.

Projektdaten und projektsensitive Dokumente sind im Kern-Setup EU-basiert. Dienste für Website-Auslieferung, Performance und Reichweitenmessung betreffen den Webauftritt. Wenn du für interne Policies eine genaue Einordnung brauchst, klären wir das projektbezogen transparent.

Nach Projektende definieren wir den Umgang mit Daten: Export und Übergabe, anschließende Löschung oder ein archivierter, zugriffsbeschränkter Read-only-Stand – abhängig von Audit-, Abnahme- oder Policy-Anforderungen.

Nächster Schritt

Wenn du ein konkretes Projekt hast, schick kurz Use Case, Zieltermin und Nachweisstand. Wenn du nur Standards oder Policies klären willst, sag uns, welche Unterlagen eure IT oder Compliance braucht.

KontaktAuditpfade im HolzbauDocs-Pack

Fragen zu EUDR/EUTR & Nachweisen?

Wir helfen, Anforderungen früh sauber aufzusetzen – damit Reviews und Freigaben nicht blockieren.

Gespräch anfragenGespräch anfragen
  • Scope/Produkt/Warengruppe
  • Region/Lieferort
  • Zieltermin/Deadline
  • Dokumentenstand (optional)