ISMS Copilot Interessierte Parteien

Im Rahmen unserer Verpflichtungen gemäß ISO 27001 und ISO 42001 identifizieren und analysieren wir interessierte Parteien – Stakeholder, die unsere Informationssicherheitspraktiken beeinflussen oder von ihnen betroffen sind. Das Verständnis dieser Stakeholder prägt den Anwendungsbereich unseres ISMS, unsere Sicherheitsziele und die Priorisierung unserer Kontrollmaßnahmen.

Unsere wichtigsten interessierten Parteien

Kunden

Sie sind unser wichtigster Stakeholder. Ihre Anforderungen bestimmen unsere Sicherheitsprioritäten:

• Datenisolation: Die Trennung der Workspaces stellt sicher, dass Ihre Daten niemals mit denen anderer Kunden vermischt werden.

• Datenschutz: DSGVO-Konformität, EU-Infrastruktur, keinerlei Nutzung Ihrer Daten für das Training von KI-Modellen.

• Kontrolle: Durch den Benutzer verwaltete Datenaufbewahrung (0 Tage bis 7 Jahre), Export- und Löschrechte.

• Transparenz: Trust Center Dokumentation, rechtzeitige Benachrichtigung bei Datenschutzverletzungen.

• Compliance-Unterstützung: Fahrplan für SOC 2 und ISO 27001 Zertifizierungen für Enterprise-Anforderungen.

Aufsichtsbehörden

Wir halten uns an die DSGVO (CNIL, EU-Datenschutzbehörden) und relevante Datenschutzgesetze. Dies prägt unsere Privacy-by-Design-Architektur, die Implementierung von Betroffenenrechten und unsere Kapazitäten zur Reaktion auf Vorfälle.

Drittanbieter

Kritische Unterauftragsverarbeiter (Supabase, Vercel, OpenAI, Grok, Mistral, ConvertAPI) werden einer Sicherheitsüberprüfung unterzogen. Wir streben Zero-Data-Retention-Vereinbarungen mit KI-Anbietern an, sofern dies möglich ist, und nutzen Standardvertragsklauseln für internationale Datentransfers.

Interne Teams

Unsere Entwicklungs-, Customer-Success- und Führungsteams gewährleisten Sicherheit durch obligatorische MFA, Semgrep-Code-Scanning, Trennung von Umgebungen und die Verpflichtung, innerhalb von 24 Stunden auf Sicherheitsberichte zu reagieren.

Zertifizierungsstellen & Auditoren

Zukünftige SOC 2- und ISO 27001-Auditoren benötigen eine vollständige ISMS-Dokumentation, Nachweise über die Wirksamkeit der Kontrollen und kontinuierliche Verbesserungsprozesse. Wir bauen eine ausgereifte Dokumentation und interne Audit-Programme auf, um die Zertifizierung zu unterstützen.

Versicherungen & Rechtliche Parteien

Cyber-Versicherungsanbieter und vertragliche Verpflichtungen beeinflussen unsere Kontrollimplementierungen (MFA, Backups, Incident Response) und treiben formale Anforderungen an SLAs und Auftragsverarbeitungsverträge voran.

Kunden der Kunden (Indirekte Begünstigte)

Wenn Compliance-Berater und Auditoren den ISMS Copilot nutzen, sind deren Kunden indirekte Stakeholder. Die Workspace-Isolation (A.5.15, A.8.3) stellt sicher, dass keine Kreuzkontamination zwischen den Kunden der Berater stattfindet. Die benutzergesteuerte Aufbewahrung (A.5.33) ermöglicht es Beratern, die Aufbewahrungsanforderungen ihrer Kunden zu erfüllen. Leitfäden zur PII-Minimierung (A.5.34) und geplante automatisierte Erkennung helfen, Mitarbeiterdaten der Endkunden zu schützen. Die Nicht-Verwendung von Benutzerdaten für KI-Training (A.7.2) verhindert den Abfluss von Kundendaten über Workspaces hinweg.

Normungsgremien und Urheberrechtsinhaber

Herausgeber von Frameworks (ISO, IEC, NIST, CIS, AICPA) fordern den Schutz des geistigen Eigentums. Unsere Trainingsdaten schließen urheberrechtlich geschützte Normtexte aus (A.5.32). Stattdessen nutzen wir öffentlich zugängliche Leitfäden und proprietäre Beratungserfahrung. System-Prompts verhindern die wortgetreue Wiedergabe von Kontrolltexten. Generierte Ausgaben verweisen auf Frameworks mit Namen und Version, verbunden mit dem Hinweis, offizielle Normen für Audit-Nachweise heranzuziehen.

Wir leben, was wir predigen

Als Compliance-KI-Plattform demonstriert die Ausrichtung unseres eigenen ISMS an ISO 27001 und ISO 42001 unser Engagement für die Standards, bei deren Umsetzung wir Ihnen helfen. Die Analyse der interessierten Parteien (ISO 27001:2022 Klausel 4.2) ist die Grundlage für diese Ausrichtung.