Konzipiert für regulierte Branchen
ISO 27001, GDPR by Design, AI Act-konform, EU Data Hosting. Modulario erfüllt die strengsten Anforderungen von Banken, Versicherungen, dem Gesundheitswesen und der öffentlichen Verwaltung.
Sicherheit auf jeder Ebene
ISO 27001-Zertifizierung
Modulario wird von AMCEF s.r.o. betrieben, zertifiziert nach ISO/IEC 27001 (Informationssicherheits-Management) und ISO 9001 (Qualitätsmanagement). Zertifikate auf Anfrage.
EU Data Hosting
Ihre Daten werden in zertifizierten EU-Rechenzentren mit garantierter Datenresidenz gehostet. Keine Daten verlassen die EU — relevant für regulierte Sektoren, Banken, Gesundheitswesen, öffentliche Verwaltung.
GDPR by Design
Modulario wurde von Grund auf GDPR-konform entwickelt. Data Processing Agreement (DPA), Betroffenenrechte (Auskunft, Berichtigung, Löschung, Portabilität), Verarbeitungsverzeichnisse, DPIA — alles im System automatisiert.
AI Act-konform
Modulario ist AI Act-konform by Design (EU 2024/1689). Transparenz von AI-Systemen, menschliche Aufsicht, Audit Log von AI-Entscheidungen, Verbot verbotener Praktiken. Für AI-intensive Use Cases in regulierten Branchen.
Granulare Berechtigungen (OpenFGA)
Modulario nutzt das Google-Zanzibar-artige ReBAC-Modell (OpenFGA) — das granularste Berechtigungssystem in der Low-Code-Kategorie. Rollen, Gruppen, Policies auf Modul-/Datensatz-/Feld-/Aktionsebene.
SSO & SCIM
Single Sign-On über SAML 2.0 und OIDC, automatisches Provisioning von Nutzern über SCIM 2.0. Integration mit Azure AD, Okta, Google Workspace, ADFS.
Audit Log
Vollständige Aufzeichnung, wer, was, wann und von wo im System ausgeführt hat. Unlöschbar, exportierbar für Audits. Erfüllt SOX, SOC 2, Anforderungen von Bankenregulatoren.
Backups & Disaster Recovery
Tägliche inkrementelle Backups, wöchentliche Full Backups. Geo-redundanter Speicher in zwei EU-Standorten. RPO 24h, RTO 4h, SLA-Garantie.
Verschlüsselung im Transit und at Rest
TLS 1.3 für die Kommunikation, AES-256 für den Speicher. Customer-managed Encryption Keys (CMEK) auf Anfrage.
Auf Anfrage stellen wir bereit
- ISO 27001-Zertifikat AMCEF
- ISO 9001-Zertifikat AMCEF
- Data Processing Agreement (DPA) — DE/EN
- Business Continuity Plan (BCP)
- Disaster Recovery Plan (DRP)
- Security Whitepaper
- Übersicht des Penetrationstests (unter NDA)
- Due-Diligence-Fragebogen (CAIQ/SIG Lite)
Häufig gestellte Fragen
Kann ich ein Data Processing Agreement (DPA) zur Unterzeichnung erhalten?
Ja, ein Standard-DPA zum Download steht allen Kunden zur Verfügung. Für Enterprise-Kunden bieten wir auch eine Anpassung des DPA an die internen Anforderungen an. Kontaktieren Sie uns für die aktuelle Version.
Wo werden unsere Daten physisch gespeichert?
Die Daten werden in zertifizierten Rechenzentren innerhalb der EU gespeichert (verschiedene Standorte — z. B. Deutschland, Italien) mit Geo-Redundanz. Die Daten verlassen niemals die EU. Für Kunden aus regulierten Branchen ist auch ein On-Premise-Deployment beim Kunden verfügbar.
Wem gehören die Daten in Modulario?
Ihre Daten bleiben in Ihrem Eigentum — AMCEF ist nur Processor, nicht Controller. Sie können die Daten jederzeit exportieren (Formate CSV, JSON, SQL-Dump). Bei Vertragsende haben Sie eine 30-Tage-Frist für den Export, danach werden die Daten gemäß GDPR Art. 17 unwiderruflich gelöscht.
Wie häufig führen Sie Penetrationstests durch?
Externe Penetrationstests werden mindestens einmal pro Jahr von einer unabhängigen Security-Firma durchgeführt. Interne Code Reviews und SAST/DAST-Scanning sind Bestandteil jedes Releases. Die Zusammenfassung des Pentests stellen wir unter NDA zur Verfügung.
Können wir einen dedizierten Cluster / Self-Host haben?
Ja. Enterprise-Kunden haben die Möglichkeit eines dedizierten Clusters (Single Tenant pro Cluster) in unserer Cloud-Infrastruktur oder einer On-Premise-Self-Host-Lösung. Wir unterstützen technisch auch hybride Szenarien (teils in der Cloud, teils On-Premise).
Wie ist Ihr Incident-Response-Prozess?
Security-Incidents werden gemäß ISO 27035 (P1–P4) klassifiziert. Bei P1-Incidents (Data Breach) sind wir verpflichtet, den Kunden innerhalb von 24 Stunden und die Aufsichtsbehörde innerhalb von 72 Stunden gemäß GDPR Art. 33 zu benachrichtigen. Details in der SLA-Dokumentation.
Haben Sie eine SOC-2-Zertifizierung?
SOC 2 Type II ist in Bearbeitung (geplante Erlangung in Q3 2026). Aktuell haben wir ISO 27001 und ISO 9001, die die meisten gleichen Kontrollbereiche abdecken. Für Enterprise-Kunden aus den USA bieten wir einen Fragebogen mit demselben Detaillierungsgrad an.
Wie wird die Nutzung von AI gegenüber GDPR und AI Act geregelt?
Modulario AI-Funktionen: (1) die Wahl des LLM-Providers liegt beim Kunden (OpenAI, Anthropic, Azure, self-hosted Llama/Mistral), (2) die Daten werden nicht zum Training der Modelle verwendet, (3) Human-in-the-Loop für kritische Entscheidungen, (4) AI Audit Log, (5) Möglichkeit, AI-Funktionen pro Tenant vollständig zu deaktivieren.
Fragen zu Sicherheit oder Compliance?
Unser Security-&-Compliance-Team antwortet innerhalb von 24 Stunden an Werktagen.
Beratung buchen