DSGVO und UK GDPR Compliance
Agensio ist konform mit der Datenschutz-Grundverordnung (EU 2016/679) und UK GDPR. Wir handeln als Auftragsverarbeiter im Sinne von Artikel 28 DSGVO fuer Daten, die Sie ueber unsere Agenten verarbeiten. Eine AVV (Auftragsverarbeitungsvereinbarung) ist auf Anfrage unter bonjour@agensio.fr verfuegbar, elektronisch signiert via DocuSign. Die Liste der Unterauftragsverarbeiter (Supabase, Stripe, Resend, Anthropic, OpenAI, Twilio) ist auf dieser Seite veroeffentlicht und wird 30 Tage vor jeder Aenderung mitgeteilt.
CASA Tier 2 Audit - 9.1/10
Im April 2026 bestand Agensio das CASA (Cloud Application Security Assessment) Tier 2 Audit durch TAC Security, einen Google-zertifizierten Evaluator. Endnote: 9.1 von 10. Das Audit deckt 4 Bereiche ab: Governance, Incident Response, Anwendungssicherheit, Datenschutz. Der detaillierte Bericht und die 4 Quellrichtlinien sind in unserem Data Room unter NDA verfuegbar.
Hosting und Datenresidenz
Alle Kundendaten werden in Europa gehostet, hauptsaechlich bei Supabase Pro im Frankfurter Rechenzentrum (Deutschland, AWS Frankfurt eu-central-1). Keine Kundendaten werden in die USA uebertragen oder dort gespeichert. Agensio unterliegt nicht dem US Cloud Act: Supabase Pro EU ist eine irische Gesellschaft unter ausschliesslich europaeischer Jurisdiktion. Fuer Grosskunden ist eine franzoesische Sovereign-Cloud-Option (OVHcloud, Outscale oder Scaleway) auf Anfrage verfuegbar.
Verschluesselung und Zugriff
Alle Kommunikation verwendet TLS 1.3 (HTTPS) mit HSTS preload, ausschliesslich moderne Ciphers, Let s Encrypt Zertifikate automatisch erneuert. Ruhende Daten werden bei Supabase mit AES-256 verschluesselt. Secrets (OAuth-Tokens, API-Keys, Passwoerter) werden auf Anwendungsebene verschluesselt mit Key-Rotation. Agensio-Admin-Zugriff erfordert Pflicht-MFA und wird in einem unveraenderlichen Audit-Log protokolliert.
Penetrationstests und Responsible Disclosure
Agensio fuehrt jaehrlich einen externen Penetrationstest durch einen CESTI-zertifizierten Anbieter durch. Der letzte Test fand im April 2026 ohne kritische Schwachstellen statt. Unsere Datei /.well-known/security.txt enthaelt den Sicherheits-Kontakt (security@agensio.fr) und die Responsible-Disclosure-Richtlinie. Sicherheitsforscher koennen Schwachstellen vertraulich melden; bestaetigte Findings fuehren zu oeffentlicher Wuerdigung (Hall of Fame).
Backups und Kontinuitaet
Postgres Point-in-Time Recovery (PITR) fuer mindestens 7 Tage, taegliche Snapshots 30 Tage aufbewahrt, Multi-AZ-Replikation. Ziel-RPO: 5 Minuten. Ziel-RTO: 4 Stunden bei groesseren Incidents. Der Disaster-Recovery-Plan ist in docs/security/DEPLOYMENT_RUNBOOK.md dokumentiert und alle 6 Monate getestet.
Unterauftragsverarbeiter
Aktuelle oeffentliche Liste: Supabase Inc. (Irland, Datenbankhosting), Vercel Inc. (USA, Frontend-Hosting, nur technische Daten, keine PII), Stripe Payments Europe Ltd. (Irland, Zahlungen), Resend Inc. (USA, Transaktions-E-Mails), Anthropic PBC und OpenAI Inc. (USA, LLM-Verarbeitung), Twilio Ireland Ltd. (Irland, SMS und Sprache), Sentry (Deutschland, Monitoring). Personenbezogene Daten an LLM-Anbieter folgen ZDR-Vereinbarungen (Zero Data Retention): kein Training, keine Aufbewahrung ueber 30 Tage.
Sicherheits-Kontakt
Um eine Schwachstelle zu melden, eine AVV anzufragen oder eine Compliance-Frage zu stellen:
- security@agensio.fr , vulnerabilites, audits
- Datenschutzbeauftragter (DSB): bonjour@agensio.fr
Seite aktualisiert am 27. Mai 2026.