Voice2Evolve® logoVoice2Evolve®

Vertrauen & Sicherheit

So schützt Voice2Evolve deine Daten, Sitzungen und deine Organisation.

Voice2Evolve verarbeitet sensible Daten: Sprachaufnahmen, Gesprächstranskripte und Unternehmenskontext. Datenschutz ist bei uns kein nachträglicher Gedanke, sondern fester Bestandteil der Architektur.

Auf dieser Seite erfährst du, welche Schutzmaßnahmen wir umgesetzt haben. Formelle Vereinbarungen und technische Details findest du in den Dokumenten am Seitenende.

Datenstandort & Verschlüsselung

Deine Daten werden ausschließlich in der EU gespeichert (Supabase, Region Stockholm). Sämtliche Daten sind im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.2+) verschlüsselt. Sprach-Audio wird Ende-zu-Ende per DTLS-SRTP zwischen Browser und KI-Anbieter geschützt.

Zusätzlich schützt eine Verschlüsselung auf Anwendungsebene (AES-256-GCM) sensible Felder wie hochgeladene Dokumente, API-Schlüssel und Kandidatenprofile. Die Schlüsselverwaltung erfolgt über ein mehrstufiges Vault-System mit organisationsindividueller Konfiguration.

Organisationstrennung

Voice2Evolve ist mehrmandantenfähig. Jede Abfrage, jeder API-Aufruf und jeder Speichervorgang ist auf deine Organisation beschränkt. Die Trennung wird auf Datenbankebene durch Row-Level-Security-Richtlinien durchgesetzt, nicht nur durch Anwendungslogik.

Der Organisationskontext wird auf drei unabhängigen Ebenen geprüft: Middleware, Authentifizierungstoken und Datenbankrichtlinien. Erst wenn alle drei übereinstimmen, werden Daten zurückgegeben. Es gibt keine gemeinsame Datenoberfläche zwischen Organisationen.

Authentifizierung & Zugriffskontrolle

Die Anmeldung erfolgt über sichere HttpOnly-Cookies mit SameSite-Schutz. Ein rollenbasiertes Berechtigungsmodell trennt Nutzer-, Editor-, Organisationsadmin- und Superadmin-Rechte. Alle Administrationsbereiche erfordern eine explizite Rollenprüfung.

API-Endpunkte sind pro Route durchsatzbegrenzt. Anonymer Zugriff ist nur nach erfolgreicher CAPTCHA-Prüfung möglich. Alle Token sind kurzlebig und kryptographisch signiert.

Umgang mit KI- & Sprachdaten

Sprach-Audio wird in Echtzeit verarbeitet und nach der Sitzung nicht bei unseren KI-Anbietern gespeichert. Wir nutzen API-Endpunkte, bei denen Sitzungsdaten nicht zum Modelltraining verwendet werden.

Transkripte werden in der Datenbank deiner Organisation gespeichert, deiner Organisation zugeordnet und unterliegen der von dir konfigurierten Aufbewahrungsfrist. Nach Ablauf werden Transkripte und Analysen automatisch gelöscht.

Unsere ethischen Grundsätze zum Einsatz von KI-Analysen und was die Plattform nie entscheiden wird, findest du auf der Seite Verantwortungsvolle KI.

Anwendungssicherheit

Sicherheit ist fester Bestandteil des Entwicklungsprozesses. Unsere Maßnahmen umfassen:

  • Eingabevalidierung an jedem API-Endpunkt (Zod-Schema-Prüfung)
  • Content Security Policy mit anfragespezifischer Nonce
  • Strukturiertes Logging mit automatischer Schwärzung personenbezogener Daten
  • Automatisierte Prüfung von Abhängigkeiten und Schwachstellenwarnungen
  • Code-Review und Dependency-Scanning mit automatisierten Security-Tools sowie manueller Prüfung
  • Unveränderliche Audit-Logs für administrative und finanzielle Vorgänge

Compliance & Rahmenwerke

Voice2Evolve orientiert sich beim Aufbau seines Informationssicherheits-Managementsystems (ISMS) an ISO 27001- und SOC-2-Prinzipien. Formelle Zertifizierungen sind aktuell nicht abgeschlossen. Alle Dienstleister werden vor Einsatz auf Sicherheits- und Datenschutzanforderungen geprüft und haben einen Auftragsverarbeitungsvertrag (AVV) unterzeichnet.

Die Plattform ist DSGVO-konform: Auskunfts-, Portabilitäts- und Löschanfragen werden vollständig unterstützt. Eine Datenschutz-Folgenabschätzung (DSFA) deckt die Verarbeitung von Sprachsitzungen ab. Die Anforderungen der GoBD an die digitale Buchführung erfüllen wir über die Lexware-Anbindung.

Dienstleistermanagement

Jeder Drittanbieter wird vor dem Einsatz auf Sicherheitsniveau, Datenverarbeitungspraxis und Compliance-Zertifizierungen geprüft. Alle kritischen Anbieter sind nach SOC 2 Type II zertifiziert. Mit jedem Anbieter, der personenbezogene Daten verarbeitet, besteht ein AVV.

Eine vollständige Unterauftragnehmer-Liste wird veröffentlicht und laufend gepflegt. Änderungen kommunizieren wir mit 30 Tagen Vorlaufzeit gemäß unserem AVV.

Reaktion auf Sicherheitsvorfälle

Ein dokumentierter Incident-Response-Prozess deckt Erkennung, Eindämmung, Beseitigung und Wiederherstellung ab. Ziel ist eine schnelle Reaktion auf kritische Vorfälle, in der Regel innerhalb weniger Stunden. Datenschutzverletzungen melden wir innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde (DSGVO Art. 33).

Jeder Vorfall wird mit Ursachenanalyse und Maßnahmenplan dokumentiert. Die Erkenntnisse fließen direkt in die Weiterentwicklung unserer Schutzmaßnahmen ein.

Dokumentation

Für Beschaffung, Compliance-Prüfungen oder technische Rückfragen stehen folgende Dokumente bereit:

Auftragsverarbeitungsvertrag (AVV)Unterauftragnehmer-ListeDatenschutzerklärungVerantwortungsvoller KI-Einsatz

Du brauchst mehr Details für eine Sicherheitsprüfung?

Gerne stellen wir dir unser Sicherheits-Whitepaper und vorausgefüllte Sicherheitsfragebögen zur Verfügung, ob für die Beschaffung, eine interne Prüfung oder eine Lieferantenbewertung.

Sicherheitspaket anfordern