Zum Hauptinhalt springen Zur Navigation springen Zur Fußzeile springen
Begrenzte Zeit: Design Partner Programm. BUSINESS Plan kostenlos für immer.

Was Compliance wirklich erfordert

Rediacc läuft auf Ihrer Infrastruktur. Sie kontrollieren Ihre Daten. So stimmt das mit den wichtigsten Compliance-Frameworks überein.

Rediacc läuft vollständig auf Ihrer Infrastruktur. Während Kloning-, Backup- und Deployment-Operationen verlassen Ihre Daten Ihre Maschinen nie. Sie sind sowohl der Verantwortliche als auch der Auftragsverarbeiter. Kein Drittanbieter-SaaS, kein externer Zugriff.

Wir ordnen die technischen Fähigkeiten von Rediacc den Anforderungen wichtiger Compliance-Frameworks zu. Jede Seite behandelt eine spezifische Verordnung mit Verweisen auf die offiziellen Rechtstexte.

Compliance-Matrix

FrameworkGeltungsbereichWichtige Rediacc-Fähigkeiten
DSGVOEU-Datenschutz und PrivatsphäreCoW-Kloning auf derselben Maschine, LUKS2-Verschlüsselung, Zero-Knowledge-Config-Store, Audit-Logging, Recht auf Löschung via rdc repo delete
SOC 2Trust-Service-Kriterien für DienstleistungsorganisationenVerschlüsselung im Ruhezustand, Zero-Knowledge-Config-Sync, Netzwerkisolation, Audit-Trail, Backup und Wiederherstellung
HIPAAUS-Schutz von GesundheitsinformationenLUKS2-Verschlüsselung, Zero-Knowledge-Config-Store, ausschließlicher SSH-Zugang, isolierte Docker Daemons, Übertragungssicherheit
CCPADatenschutzrechte kalifornischer VerbraucherSelf-Hosted (kein Datenverkauf/-weitergabe), Zero-Knowledge-Verschlüsselung, verschlüsselte Löschung, Dateninventar pro Repository
ISO 27001Informationssicherheits-Management-KontrollenAsset-Management, kryptographische Kontrollen, Zero-Knowledge-Config-Store, Zugriffskontrolle, Betriebssicherheit
PCI DSSSchutz von ZahlungskartendatenNetzwerksegmentierung durch Architektur, obligatorische Verschlüsselung, Audit-Logging, Scope-Reduktion durch Self-Hosting
NIS2 und DORAEU-Cybersicherheit und finanzielle ResilienzEliminierung von Lieferkettenrisiken, Resilienztests via CoW-Kloning, Verschlüsselung, Vorfallserkennung
DatenhoheitGlobale Datenresidenzgesetze (PIPL, LGPD, KVKK, PIPA und weitere)Self-Hosted: Daten verlassen nie Ihre Jurisdiktion. Keine grenzüberschreitenden Transfers, keine Angemessenheitsbewertungen

Architektonische Grundlagen

Hier ist, was sie alle verbindet: Jedes Compliance-Framework in diesem Abschnitt leitet sich auf dieselbe technische Grundlage zurück.

  • Verschlüsselung im Ruhezustand: Jedes Repository ist mit LUKS2 AES-256 verschlüsselt. Anmeldedaten werden ausschließlich in der lokalen Konfiguration des Operators gespeichert, niemals auf dem Server.
  • Netzwerkisolation: Jedes Repository erhält seinen eigenen Docker Daemon, ein Loopback-IP-Subnetz (/26) und iptables-Regeln. Container verschiedener Repositories können nicht miteinander kommunizieren.
  • Copy-on-Write-Kloning: rdc repo fork verwendet Dateisystem-Reflinks (cp --reflink=always). Daten werden auf derselben Maschine dupliziert, ohne Netzwerktransfer.
  • Audit-Logging: Über 70+ Ereignistypen, die Authentifizierung (Login, 2FA, Passwortänderungen, Sitzungswiderruf), API-Token-Lebenszyklus, Config-Store-Operationen, Abonnement-/Lizenzaktivitäten und CLI-Operationen auf Maschinenebene (Repository-Lebenszyklus, Backup, Synchronisierung, Terminal-Sessions) abdecken. Zugänglich über das Admin-Dashboard, die Portal-Aktivitätsseite (mit organisations-weiter Filterung) und rdc audit CLI. Operationen auf Maschinenebene werden auch in Ihren Systemlogs für vertiefte Verteidigung aufgezeichnet.
  • Verschlüsseltes Backup: rdc repo push/pull überträgt Daten über SSH. Das Backup-Ziel empfängt LUKS-verschlüsselte Volumes.
  • Zero-Knowledge-Config-Store: Optionale verschlüsselte Config-Synchronisation über Geräte hinweg. Configs werden clientseitig mit AES-256-GCM vor dem Upload verschlüsselt. Der Server speichert nur opake Blobs. Der Server kann keine SSH-Schlüssel, Anmeldedaten, IP-Adressen oder Klartext-Konfigurationsdaten lesen. Die Schlüsselableitung verwendet passkey PRF extension + HKDF mit Domain-Separation. Mitgliederzugang wird über X25519-Schlüsselaustausch verwaltet, und der Widerruf ist sofort wirksam.

Weitere Details zu diesen Fähigkeiten finden Sie unter Architektur, Repositories, Config Storage und Kontosicherheit.

Warum es wichtig ist

Compliance-Verstöße sind teuer. Wirklich teuer. Die Fälle unten zeigen Probleme, die Rediacc’s Architektur strukturell verhindert:

VorfallStrafeWas schiefging
Meta: EU-US-Datentransfers1,2 Mrd. EURPersonenbezogene Daten wurden ohne ausreichende Schutzmaßnahmen über Grenzen hinweg übertragen. Self-Hosted bedeutet keinen Transfer.
Equifax: unverschlüsselte Daten700 Mio. USD147 Millionen Datensätze unverschlüsselt gespeichert mit schlechter Netzwerksegmentierung. LUKS2 ist obligatorisch, nicht optional.
Target: laterale Bewegung18,5 Mio. USDAngreifer wechselten von einem HVAC-Lieferanten zu Zahlungssystemen über ein flaches Netzwerk. Repository-Isolation verhindert dies.
Anthem: unverschlüsselte PHI16 Mio. USD79 Millionen Gesundheitsdatensätze ohne Verschlüsselung gespeichert. LUKS2 AES-256 ist immer aktiv.
Blackbaud: SaaS-Breach-Kaskade49,5 Mio. USDRansomware bei einem SaaS-Anbieter legte Daten von über 13.000 Kundenorganisationen offen. Self-Hosted bedeutet, dass ein Anbieter-Breach Ihre Daten nicht erreichen kann.
British Airways: schlechte Segmentierung20 Mio. GBPAngreifer injizierten Schadcode aufgrund unzureichender Netzwerkkontrollen. Isolierte Docker Daemons und iptables verhindern lateralen Zugriff.
Google: Recht auf Löschung50 Mio. EURSchwierigkeit, Daten vollständig über verteilte Systeme zu löschen. Kryptographische Löschung via LUKS destroy ist sofort und vollständig.

Wichtiger Hinweis

Diese Seiten erklären, wie Rediacc’s Architektur mit Compliance-Anforderungen übereinstimmt. Aber hier ist die Realität: Compliance ist größer als Software. Sie werden Richtlinien, Verfahren, Schulungen und wahrscheinlich Audits durch Dritte benötigen. Rediacc behandelt den Infrastruktur-Teil. Arbeiten Sie mit Ihren Rechts- und Compliance-Teams bei der Bewältigung des Rests zusammen.