Sicherheit & Compliance

Sicherheit ist nicht optional. Bei uns auch nicht.

talenttrends ist von Grund auf für Enterprise-Sicherheitsanforderungen gebaut — mit dokumentierten technischen und organisatorischen Maßnahmen, klar geregelter Auftragsverarbeitung und einem Subprozessor-Stack, der zur Hosting-Wahl passt. Diese Seite gibt Ihnen die Informationen, die Sie für Procurement, Legal und InfoSec brauchen.

talenttrends logo horizontal light gray

Datenresidenz

Wo Ihre Daten ver­ar­bei­tet wer­den, bestim­men Sie

talent­trends ver­ar­bei­tet per­so­nen­be­zo­ge­ne Daten aus­schließ­lich in den Regio­nen, die Sie wäh­len. Cross-Regi­on-Daten­flüs­se fin­den grund­sätz­lich nicht statt — die ein­zi­ge Aus­nah­me ist die LLM-Infe­rence, die sepa­rat kon­fi­gu­riert wer­den kann.

SaaS bei talessio

Hos­ting in Azu­re Ger­ma­ny West Cen­tral (Frank­furt, DE) oder STACKIT (Schwarz Digits, DE). Bei­de aus­schließ­lich in der EU. Schrems-II-Risi­ko adres­siert: STACKIT voll­stän­dig (kein US-Mut­ter), Azu­re über Micro­soft-EU-Daten­re­si­denz-Pro­gramm und ver­trag­li­che Standardvertragsklauseln.

In Ihrer Cloud

Daten­re­si­denz folgt Ihrer Cloud-Sub­scrip­ti­on. Sie kon­trol­lie­ren Regi­on, Netz­werk und Ver­schlüs­se­lung. Wir lie­fern die Platt­form, Sie lie­fern die Umgebung.

On-Premises

Voll­stän­di­ge Daten­re­si­denz in Ihrem Rechen­zen­trum. Kei­ne Cross-Cloud-Daten­flüs­se, kei­ne exter­nen Sub­pro­zes­so­ren — außer der LLM-Infe­rence, falls Ask aktiv ist.

LLM-Infe­rence (für talent­trends Ask) sepa­rat kon­fi­gu­rier­bar: AWS Bed­rock (Frank­furt, eu-cen­tral‑1, Stan­dard, EU-Daten­re­si­denz), Azu­re AI Foundry (Swe­den Cen­tral, EU-Regi­on), Eige­nes Modell (BYOL) bei Hypers­ca­ler Ihrer Wahl oder On-Premises.

Details zu Hos­ting-Wahl, Migra­ti­ons-Pfa­den und Ver­ant­wort­lich­kei­ten fin­den Sie unter Cloud & On-Pre­mi­ses.

Auftragsverarbeitung

Ein AVV nach Art. 28 DSGVO inkl. trans­pa­ren­ter Subprozessor-Liste

Wir lie­fern einen Stan­dard-Auf­trags­ver­ar­bei­tungs­ver­trag (AVV) nach Art. 28 DSGVO, ergänzt um tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, Sub­pro­zes­sor-Lis­te und Daten­schutz-Fol­gen­ab­schät­zungs-Bei­trä­ge. Der AVV ist im DACH-Markt eta­bliert und für Anpas­sun­gen offen, soweit sie zum gewähl­ten Hos­ting-Modell passen.

Sub­pro­zes­so­ren je Hosting-Modell

Funktion
SaaS Azure
SaaS STACKIT
In Ihrer Cloud
On-Premises
Plattform-Hosting

Micro­soft Ire­land Ope­ra­ti­ons Ltd.

Schwarz Digits KG (GmbH & Co.)

Ihr Cloud-Pro­vi­der

Kei­ner

LLM-Inference (talenttrends Ask)

Ama­zon Web Ser­vices EMEA SARL (Bed­rock Frank­furt) und/​oder Micro­soft Ire­land (Azu­re OpenAI)

Ama­zon Web Ser­vices EMEA SARL (Bed­rock Frank­furt) und/​oder Micro­soft Ire­land (Azu­re OpenAI)

Wahl­wei­se die­sel­ben oder eige­nes Modell

Wahl­wei­se die­sel­ben oder eige­nes Modell

E‑Mail-Versand

Micro­soft Ire­land Ope­ra­ti­ons Ltd.

Pro­vi­der Ihrer Wahl

Pro­vi­der Ihrer Wahl

Pro­vi­der Ihrer Wahl

Was im AVV gere­gelt ist: Zwe­cke der Ver­ar­bei­tung, Daten­ka­te­go­rien, Betrof­fe­nen­krei­se, Spei­cher­or­te und ‑dau­ern, tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM), Sub­pro­zes­sor-Geneh­mi­gungs­ver­fah­ren, Rech­te und Pflich­ten bei­der Sei­ten, Mel­de­pflich­ten bei Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten.

TOM

Maß­nah­men, die Art. 32 DSGVO erwar­tet — und mehr

Die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM) fol­gen den Vor­ga­ben des Art. 32 DSGVO und ori­en­tie­ren sich am Stand der Tech­nik. Sie sind in unse­rem AVV voll­stän­dig beschrie­ben und wer­den min­des­tens jähr­lich über­prüft und aktualisiert.

Verschlüsselung in Transit

Alle exter­nen Ver­bin­dun­gen über TLS 1.2 oder höher. HTTP-Strict-Trans­port-Secu­ri­ty akti­viert. Kei­ne Klar­text-End­punk­te für Plattform-Zugriffe.

Verschlüsselung at Rest

Cus­to­mer-Cre­den­ti­als und sen­si­ble Daten­fel­der wer­den im Anwen­dungs­be­reich AES-256 ver­schlüs­selt — zusätz­lich zur Ver­schlüs­se­lung der Hos­ting-Infra­struk­tur. Schlüs­sel wer­den in dedi­zier­ten Key-Manage­ment-Diens­ten (Azu­re Key Vault, STACKIT Vault) verwaltet.

Zugangs- und Zugriffskontrolle

Pflicht­an­mel­dung mit Mul­ti-Fak­tor-Authen­ti­fi­zie­rung für admi­nis­tra­ti­ve Zugän­ge. Berech­ti­gungs­kon­zept mit Rol­len-Tren­nung. Zero-Trust-Netz­werk-Zugän­ge für Operations-Mitarbeitende.

Trennung der Verarbeitung

Man­dan­ten­iso­la­ti­on auf Daten­ebe­ne — jeder Daten­satz trägt eine Man­dan­ten­ken­nung, Anfra­gen sehen aus­schließ­lich die Daten des ange­frag­ten Man­dan­ten. Sepa­ra­te Daten­ban­ken pro Mandant.

Eingabe- und Verarbeitungs-Audit

Alle admi­nis­tra­ti­ven Aktio­nen und Daten­zu­grif­fe durch End­nut­zer wer­den voll­stän­dig pro­to­kol­liert — mit User, Zeit­stem­pel, Akti­on, Resul­tat. Reten­ti­on nach Vertrag.

Datenschutz-Vorfälle

Eta­blier­ter Reak­ti­ons­pro­zess inkl. 72-Stun­den-Mel­dung nach Art. 33 DSGVO. Foren­sik-Ver­fah­ren doku­men­tiert, Les­sons-Lear­ned-Schlei­fe etabliert.

Identity

Authen­ti­fi­zie­rung über die Wege, die Sie heu­te betreiben

talent­trends inte­griert sich in Ihre bestehen­de Iden­ti­ty-Land­schaft. Wir brin­gen kei­nen eige­nen Iden­ti­ty-Pro­vi­der mit und ver­lan­gen kei­ne Schat­ten-Ver­wal­tung — wir nut­zen, was Sie haben.

Cornerstone

Micro Apps wer­den über Cor­ner­stone OAuth 2.0 authen­ti­fi­ziert — die­sel­be Anmel­dung, die der Anwen­der für Cor­ner­stone selbst nutzt. Kein zwei­tes Log­in, kein zwei­tes Passwort.

Enterprise SSO

SAML 2.0 und Ope­nID Con­nect für Admi­nis­tra­ti­on und Platt­form-Kon­fi­gu­ra­ti­on. Anbin­dung an Micro­soft Entra ID (Azu­re AD), Okta, ande­re IdPs auf Anfrage.

Mehrfaktor-Authentifizierung

Time-based One-Time-Pass­words (TOTP), Authen­ti­ca­tor-Apps, Web­Authn /​ Pass­keys für admi­nis­tra­ti­ve Kon­ten. Erzwing­bar je Rolle.

Berech­ti­gungs-Durch­rei­chung: Berech­ti­gun­gen aus Cor­ner­stone wer­den in den Micro Apps und talent­trends Ask-Anfra­gen voll­stän­dig durch­ge­setzt. Wer in Cor­ner­stone bestimm­te Daten nicht sehen darf, sieht sie auch in einer Micro App oder einer talent­trends Ask-Ant­wort nicht.

KI-Sicherheit

Was Ihr LLM sieht, was es nicht sieht und wie Sie das über­prü­fen können

talent­trends Ask und ande­re LLM-gestütz­te Funk­tio­nen arbei­ten auf einer fest defi­nier­ten Daten­schnitt­stel­le — nicht auf einem frei­en Zugriff zu Ihren HR-Daten. Was das LLM ver­ar­bei­tet, ist trans­pa­rent und nachvollziehbar.

Berechtigungs-basierte Datensicht

Jede Anfra­ge gegen die talent­trends Ask-Daten­ba­sis wird mit den Berech­ti­gun­gen des anfra­gen­den Nut­zers aus­ge­führt. Wer im Cor­ner­stone-Por­tal nur sei­ne Direct Reports sehen darf, sieht in talent­trends Ask auch nur sei­ne Direct Reports.

PII-Schutz

Per­so­nen­iden­ti­fi­zier­ba­re Fel­der wer­den sepa­rat klas­si­fi­ziert. Anfra­gen, die sol­che Fel­der unagg­re­giert aus­lie­fern wür­den, wer­den mit einer kla­ren Nut­zer­rück­mel­dung abge­lehnt. Sie kön­nen den Schutz pro Spal­te konfigurieren.

Kein Modelltraining mit Ihren Daten

Ver­trag­lich aus­ge­schlos­sen — sowohl bei AWS Bed­rock als auch bei Azu­re Ope­nAI /​ Anthro­pic. Ihre HR-Daten wer­den nicht zur Ver­bes­se­rung von Dritt­par­tei­mo­del­len verwendet.

EU AI Act: Ask ist nach unse­rer Bewer­tung kein Hoch­ri­si­ko-KI-Sys­tem im Sin­ne des EU AI Act — die Anwen­dung trifft kei­ne auto­ma­ti­sier­ten Per­so­nal­ent­schei­dun­gen. Die Trans­pa­renz­pflicht nach Art. 50 (Nut­zer wis­sen, dass sie mit KI inter­agie­ren) ist erfüllt.

Compliance

Wer zer­ti­fi­ziert ist, wer com­pli­ant ist, und was das für Sie bedeutet.

Com­pli­ance-Aus­sa­gen müs­sen ehr­lich sein, damit sie tra­gen. Hier ist, was Sie kon­kret bekom­men — dif­fe­ren­ziert nach den Stan­dards, die Pro­cu­re­ment oder Legal von uns erwartet.

Standard
Status
Pfad
DSGVO /​ GDPR

talent­trends ist als Ver­ar­bei­tung DSGVO-kon­form aufgesetzt.

AVV nach Art. 28 DSGVO, TOM nach Art. 32, Mel­dungs-Pro­zess nach Art. 33, Right-to-be-For­got­ten nach Art. 17 imple­men­tiert, Daten­schutz-freund­li­che Grundeinstellungen.

ISO/​IEC 27001

Com­pli­ant über STACKIT-Hosting-Pfad.

Schwarz Digits hält die ISO-27001-Zer­ti­fi­zie­rung; Audit­be­richt auf Anfrage.

BSI C5

Com­pli­ant über STACKIT-Hosting-Pfad.

Schwarz Digits hält das BSI-C5-Tes­tat; Audit­be­richt auf Anfrage.

SOC 2 Type II

Com­pli­ant über Azure-Hosting-Pfad.

Micro­soft hält die SOC-2-Type-II-Zer­ti­fi­zie­rung; Bericht über Micro­soft-Ser­vice-Trust verfügbar.

EU AI Act (Art. 50)

Com­pli­ant.

Trans­pa­renz­pflicht erfüllt; Hoch­ri­si­ko-Ein­stu­fung nach unse­rer Bewer­tung nicht zutreffend.

20230323 131718 087 talessio scaled

Interessiert?

Reden Sie mit Ihrer Info­Sec und unse­rem Team gemeinsam

Ein Tag, struk­tu­riert. Wir brin­gen alle Unter­la­gen mit — AVV, TOM-Beschrei­bung, Sub­pro­zes­sor-Lis­te, Audit­be­rich­te unse­rer Hos­ting-Pro­vi­der — und gehen mit Ihrem Info­Sec-Team alle K.O.-Fragen durch. Bis nichts mehr offen ist.

Gespräch ver­ein­ba­ren
hello@​talessio.​com