Zum Hauptinhalt springen
SVDY Logo

Compliance-Programm

Wo regulatorische Anforderungen auf eine Workforce-Management-SaaS treffen — und wie wir damit umgehen. Ehrlicher Stand des Programms: was bereits live ist, was in Arbeit ist und was bewusst noch nicht auf der Roadmap steht.

Zuletzt aktualisiert:24. Mai 2026

Compliance-Framework

svdy betreibt ein kontinuierliches Compliance-Programm anstelle einer Punkt-in-Zeit-Checkliste. Konkret:

• Privacy by Design — jede neue Funktion durchläuft vor dem Merge eine Privacy Impact Assessment, sofern PII betroffen sind. Das Privacy-Audit-Wave-1-4-Log liegt in unserem internen Tracker; sichtbare Ergebnisse sind der GDPR-Art.-9-Gesichtserkennungs-Einwilligungsfluss, der Recht-auf-Löschung-Mechanismus und das 30-Tage-Kundendaten-Löschfenster nach Subscription-Kündigung.

• Dokumentierte Kontrollen — Sicherheitsrichtlinien (Zugriffskontrolle, Change Management, Vendor Management, Incident Response) werden versioniert und jährlich überprüft.

• Vendor Management — jeder Unterauftragsverarbeiter durchläuft eine dokumentierte Aufnahmeprüfung, bevor er Zugriff auf Kundendaten erhält. Die 5 derzeitigen Unterauftragsverarbeiter sind unter /trust/sub-processors aufgeführt; Aktualisierungen lösen eine 30-tägige Kundenbenachrichtigung aus.

• Continuous Monitoring — vor SOC 2 intern (Audit-Logs, Access Reviews, Change-Tickets). Sobald Vanta angebunden ist (Q3-Q4 2026), wird die Evidenzsammlung kontinuierlich und extern auditierbar.

• Regulatorisches Radar — wir verfolgen Gesetzgebung, die unseren Kundenstamm betrifft (US-State-Privacy-Laws, EU NIS2, China PIPL, Brasilien LGPD), und passen unser DPA + Produktfunktionen mit erweitertem Scope an.

Standards, denen wir folgen

Wir richten uns nach diesen branchenüblichen Frameworks. „Folgen" ≠ „zertifiziert" — was formal auditiert ist und wann, siehe /trust/soc2.

• NIST Cybersecurity Framework (CSF) 2.0: Interne Kontrollen sind den Funktionen Identify / Protect / Detect / Respond / Recover zugeordnet. Selbstbewertet; Grundlage für SOC-2-Type-II-Audit (ab Q1 2027).

• OWASP Top 10 (Webanwendungen): Engineering-Praxis deckt OWASP Top 10 (2021) ab: Injection-Prävention durch parametrisierte Abfragen, Broken Access Control durch tenant-bezogene Abfragen usw. SAST-Tools laufen vor dem Merge; SCA via Dependabot.

• CIS AWS Foundations Benchmark: AWS-Konfiguration ist an CIS Foundations v2.0-Kontrollen ausgerichtet — IAM-Least-Privilege, MFA für Root, verschlüsselte EBS, S3 Block Public Access, Audit-Logs in zentrales Konto. Heute selbstattestiert; SOC-2-Audit validiert Q2 2027.

• ISO/IEC 27001 — richtungsweisend, nicht zertifiziert: Unser Kontrollset orientiert sich an ISO-27001-Annex-A-Kontrollen. Formelle Zertifizierung ist Phase 2 (nach SOC 2 Type II, voraussichtlich 2027-2028) — nur initiiert, wenn EU-Enterprise-Kunden danach fragen.

Regionale Vorschriften

Wo svdy-Kundendaten regulierte Hoheitsgebiete berühren, und unsere Haltung:

• Europäische Union & Vereinigtes Königreich: DSGVO (EU 2016/679), UK GDPR + Data Protection Act 2018, ePrivacy-Richtlinie (Cookies)

EU- + UK-Kunden sind durch unsere Standardvertragsklauseln (Version 2021) plus das UK-Addendum abgedeckt, beide enthalten im DPA unter /trust/dpa. Datenschutzerklärung ist GDPR-Art.-13/14-konform. Datenrechte-Mechanismus über legal@svdy.com, 30-Tage-Antwort. Datenresidenz: heute us-east-1; EU-/APAC-Region-Verfügbarkeit auf Enterprise-Roadmap (2027).

• Vereinigte Staaten: CCPA / CPRA (Kalifornien), VCDPA (Virginia), CPA (Colorado), CTDPA (Connecticut), UCPA (Utah)

Wir respektieren Do-Not-Sell, Right-to-Know und Right-to-Delete unter allen anwendbaren US-State-Privacy-Laws. Datenschutzerklärung enthält die CCPA-vorgeschriebenen Kategorieoffenlegungen und Aufbewahrungsfristen. Wir verkaufen keine personenbezogenen Daten im Sinne von §1798.140(t).

• Brasilien & APAC: LGPD (Brasilien), Singapur PDPA, Australia Privacy Act

Einhaltung im Kundenbestand. China-PIPL-Datenlokalisierungsanforderungen sind derzeit nicht erfüllt (keine Festlandchina-Datenresidenz); Kunden mit Festlandchina-Mitarbeitenden müssen diese Daten in unserer bestehenden us-east-1-Region offshore halten, bis LATAM-/APAC-Region-Build-Out (nach 2027).

Audits und Bescheinigungen

Was heute tatsächlich auditiert ist, was kommt, was wir bewusst nicht verfolgen:

• SOC 2 Type II — IN ARBEIT: Q1-2027-Audit-Kickoff (6 Monate Beobachtung), Q3-2027-Bericht ausgegeben. Vanta + A-LIGN ausgewählt. Öffentliche Zeitleiste unter /trust/soc2.

• GDPR — selbstbewertet: GDPR hat keine formelle Compliance-Zertifizierung (Aufsichtsbehörden stellen keine Zertifikate aus). Wir pflegen eine GDPR-fähige Architektur, verifiziert durch unser internes Privacy-Audit-Wave-1-4. Unser DPA steht auf Anfrage unter /trust/dpa für Kunden zur Verfügung, die eine schriftliche Auftragsverarbeitervereinbarung benötigen.

• ISO 27001 — Phase 2: Noch nicht engagiert. Erwartet nach SOC 2 (2027-2028), wenn die EU-Enterprise-Nachfrage die Auditkosten rechtfertigt. Update unter /trust/soc2 bei Start.

• HIPAA / PCI-DSS / FedRAMP — außerhalb des Scopes: svdy ist derzeit kein HIPAA Business Associate, ist nicht im PCI-DSS-Scope (Stripe verarbeitet Cardholder Data auf seiner zertifizierten Plattform) und verfolgt FedRAMP nicht. Federal- / regulierte-Industrie-Kunden sollten sich vor der Registrierung an support@svdy.com wenden, um zu klären, ob wir Ihre spezifische Compliance-Anforderung erfüllen können.

Brauchen Sie unsere Compliance-Dokumentation, regionale regulatorische Bescheinigungen oder die SOC-2-Zeitleiste? Schreiben Sie an legal@svdy.com — den SOC-2-Fortschritt sehen Sie unter /trust/soc2.