Skip to content
Sicherheit

Sicherheit

Wie die Alpha Analytics s.r.o. die der Plattform Carsdata.com anvertrauten Daten schützt – unsere Kontrollen, unser Hosting und unsere Praktiken.

Zuletzt aktualisiert9. Juni 2026

Unser Sicherheitsansatz

Carsdata fungiert als Dateninfrastruktur für den europäischen Automobilmarkt, und die Vertraulichkeit, Integrität und Verfügbarkeit der uns anvertrauten Daten ist für diese Rolle von grundlegender Bedeutung. Wir verfolgen einen Ansatz der mehrstufigen Verteidigung (Defence-in-Depth): Sicherheit ist in die Art und Weise eingebaut, wie wir die Plattform konzipieren, entwickeln und betreiben, statt nachträglich hinzugefügt zu werden. Diese Seite fasst die technischen und organisatorischen Maßnahmen zusammen, die wir aufrechterhalten. Sie wird zu Transparenzzwecken bereitgestellt und ist nicht Bestandteil eines Vertrags; konkrete Verpflichtungen sind im einschlägigen Dienstleistungsvertrag und im Auftragsverarbeitungsvertrag festgelegt.

Governance und Compliance

Unser Sicherheitsprogramm ist um die Kontrollen und Trust Services Criteria herum gestaltet, die in international anerkannten Rahmenwerken festgelegt sind – einschließlich ISO/IEC 27001 und SOC 2 –, und wir bewerten und verbessern unsere Praktiken fortlaufend daran. Wir verarbeiten personenbezogene Daten im Einklang mit der DSGVO, und unsere Verarbeitung im Auftrag von Kunden unterliegt unserem Auftragsverarbeitungsvertrag.

Die Verantwortung für die Sicherheit liegt auf Managementebene und wird durch dokumentierte Richtlinien gestützt, die die zulässige Nutzung, die Zugangskontrolle, die Datenklassifizierung, das Änderungsmanagement, das Lieferantenmanagement und die Reaktion auf Vorfälle abdecken. Die Richtlinien werden in regelmäßigen Abständen sowie nach jeder wesentlichen Änderung unserer Umgebung überprüft.

Daten-Hosting und Infrastruktur

Die Plattform läuft auf der Infrastruktur etablierter Cloud-Anbieter, die zertifizierte, physisch gesicherte Rechenzentren betreiben. Personenbezogene Daten werden vorrangig innerhalb der Europäischen Union / des Europäischen Wirtschaftsraums gehostet. Unsere Infrastruktur ist logisch getrennt, über belastbare Verfügbarkeitszonen hinweg bereitgestellt und wird mittels Infrastructure-as-Code verwaltet, sodass die Umgebungen konsistent, überprüfbar und reproduzierbar sind.

Verschlüsselung

Daten während der Übertragung werden über öffentliche Netzwerke mittels TLS verschlüsselt. Ruhende Daten werden mit starken, branchenüblichen Algorithmen verschlüsselt. Verschlüsselungsschlüssel werden über die Schlüsselverwaltungsdienste unserer Cloud-Anbieter verwaltet, wobei der Zugang auf autorisierte Systeme und autorisiertes Personal beschränkt ist.

Zugangskontrolle

Der Zugang zu Systemen und Daten folgt den Grundsätzen der geringsten Rechte (Least Privilege) und der Kenntnis nur bei Bedarf (Need-to-know). Der administrative Zugang erfordert eine Multi-Faktor-Authentifizierung, wird auf Rollenbasis gewährt, protokolliert und in regelmäßigen Abständen überprüft sowie umgehend entzogen, wenn er nicht mehr erforderlich ist. Sofern unterstützt, kann der Kundenzugang zur Plattform über Single Sign-On (SSO) föderiert werden.

Netzwerk- und Anwendungssicherheit

Unser Netzwerk ist durch Firewalls, Sicherheitsgruppen und Segmentierung geschützt, die den Datenverkehr auf das Erforderliche beschränken. Anwendungen werden durch sicheres Design, Eingabevalidierung und gehärtete Konfigurationen gegen gängige Web-Schwachstellen geschützt, und öffentliche Endpunkte werden durch Schutzmaßnahmen gegen volumetrische Angriffe und Angriffe auf der Anwendungsebene abgesichert.

Sicherer Entwicklungslebenszyklus

Änderungen an der Plattform durchlaufen vor der Freigabe eine Versionskontrolle, eine Peer-Code-Review und automatisierte Tests. Wir verwenden in unseren Pipelines automatisierte Abhängigkeits- und Schwachstellenscans, trennen Entwicklungs-, Staging- und Produktionsumgebungen und folgen einem kontrollierten Änderungsmanagementprozess, sodass Freigaben nachvollziehbar und rückgängig zu machen sind.

Überwachung, Protokollierung und Erkennung

Wir erfassen Anwendungs-, Infrastruktur- und Zugangsprotokolle zentral und überwachen auf anomale Aktivitäten und Verfügbarkeitsprobleme. Warnmeldungen werden an das zuständige Team weitergeleitet, sodass potenzielle Probleme umgehend untersucht und behoben werden können.

Schwachstellenmanagement und Tests

Wir scannen unsere Systeme und Abhängigkeiten regelmäßig auf bekannte Schwachstellen und beheben diese auf risikopriorisierter Basis. Wir beauftragen qualifizierte Dritte mit der Durchführung regelmäßiger Penetrationstests und gehen Feststellungen entsprechend ihrer Schwere an.

Backups und Betriebskontinuität

Daten werden regelmäßig gesichert, wobei die Backups verschlüsselt und getrennt von den primären Systemen gespeichert werden. Wir unterhalten Pläne zur Betriebskontinuität und zur Notfallwiederherstellung mit definierten Wiederherstellungszielen, und wir testen unsere Fähigkeit, den Dienst wiederherzustellen, sodass wir uns mit minimalen Auswirkungen von einer Störung erholen können.

Personelle Sicherheit

Das Personal ist durch Vertraulichkeitspflichten gebunden und erhält rollengerechte Schulungen zur Sicherheit und zum Datenschutz, sowohl beim Onboarding als auch fortlaufend. Der Zugang zu Produktionsdaten ist auf diejenigen beschränkt, die ihn für ihre Arbeit benötigen, und wird entzogen, wenn sie ihre Rolle wechseln oder das Unternehmen verlassen.

Unterauftragsverarbeiter und Lieferantenmanagement

Wir beauftragen eine begrenzte Anzahl sorgfältig ausgewählter Unterauftragsverarbeiter – vorrangig Anbieter von Cloud-Infrastruktur und -Speicher – mit der Erbringung der Dienste. Wir bewerten die Sicherheitslage unserer Lieferanten, binden sie durch angemessene vertragliche Datenschutz- und Sicherheitspflichten und führen eine aktuelle Liste der Unterauftragsverarbeiter, wie in unserem Auftragsverarbeitungsvertrag in Bezug genommen.

Reaktion auf Vorfälle

Wir unterhalten einen dokumentierten Prozess zur Reaktion auf Vorfälle, der die Erkennung, die Triage, die Eindämmung, die Beseitigung, die Wiederherstellung und die Nachbereitung nach dem Vorfall abdeckt. Im Fall einer Verletzung des Schutzes personenbezogener Daten, die Kundendaten betrifft, benachrichtigen wir die betroffenen Kunden unverzüglich und unterstützen sie bei der Erfüllung ihrer eigenen Meldepflichten, im Einklang mit der DSGVO und unserem Auftragsverarbeitungsvertrag.

Datenschutz und Privatsphäre

Sicherheit und Datenschutz werden gemeinsam behandelt. Wir wenden die Grundsätze der Datenminimierung und der Zweckbindung an, verarbeiten personenbezogene Daten im Einklang mit der DSGVO und regeln die im Auftrag von Kunden durchgeführte Verarbeitung über unseren Auftragsverarbeitungsvertrag. Einzelheiten dazu, wie wir mit personenbezogenen Daten umgehen, finden Sie in unserer Datenschutzerklärung.

Meldung einer Schwachstelle

Wir begrüßen Meldungen von Sicherheitsforschern und Nutzern. Sollten Sie der Auffassung sein, eine Sicherheitsschwachstelle in Carsdata.com gefunden zu haben, kontaktieren Sie uns bitte unter info@carsdata.com mit ausreichend Details, um das Problem zu reproduzieren. Wir bitten Sie, uns vor einer öffentlichen Offenlegung eine angemessene Gelegenheit zur Untersuchung und Behebung einzuräumen und davon abzusehen, auf Daten zuzugreifen oder diese zu verändern, die nicht Ihre eigenen sind. Wir werden den Eingang Ihrer Meldung bestätigen und Sie über unsere Fortschritte auf dem Laufenden halten.

Unternehmensangaben
Alpha Analytics s.r.o.
Sitz
Gustav Mahlerplein 2
1082 MA Amsterdam
Niederlande
Unternehmens-ID (IČO)
228 01 154
Handelsregister
Krajský soud v Ústí nad Labem
Aktenzeichen C 32406

Fragen zu diesem Dokument? Schreiben Sie uns an info@carsdata.com.