Opsio - Cloud and AI Solutions
Vertrauen & Compliance

Compliance-Expertise für regulierte Unternehmen

Opsio betreibt Cloud-Infrastruktur für regulierte Branchen in Europa und Asien. Diese Seite dokumentiert, wie wir Ihre Daten behandeln, welche Rahmenwerke unser Team abdeckt und wo der Einkauf die nötigen Vertragsunterlagen erhält.

AVV & Security-Paket anfordernUnsere Compliance-Expertise
ISMS Indien
ISO 27001:2022
Auftragsverarbeiter
DSGVO Art. 28
Verfügbarkeits-SLA
99,9 %
Primäre Datenresidenz
EU/EWR

Compliance-Expertise

Opsios Kernleistung ist, regulierte Unternehmen beim Erreichen und Aufrechterhalten ihrer Compliance zu unterstützen. Für jedes Rahmenwerk unten zeigen wir, was Opsio selbst vorweist und was wir für Kunden liefern. Unterlagen zur Einkaufsprüfung unter NDA verfügbar.

  • ISO 27001:2022

    Opsio: Indien-Umfang · Kundenprogramme

    Opsio: ISO 27001 zertifiziert an unserem Delivery-Center in Bangalore (Geltungsbereich umfasst dort tätige Betriebs- und Entwicklungsteams). Für Kunden: Wir leiten vollständige ISO 27001-Implementierungsprogramme — Gap-Analyse, ISMS-Design, Policy-Erstellung, Internal Audit und Begleitung durch Stage 1/Stage 2-Audit. Mehrere Kunden haben auf diesem Weg die Zertifizierung erreicht.

  • SOC 2 Type II

    Kunden-Readiness-Programme

    Opsio: derzeit keine SOC 2-Attestierung als Unternehmen. Für Kunden: Wir führen SOC 2-Readiness-Programme durch — Control-Mapping, Evidence-Automatisierung, Monitoring-Setup und Prüfer-Koordination während des Observation-Window. Unsere Architekten sind mit den Trust Service Criteria Security, Availability, Confidentiality und Processing Integrity vertraut.

  • DSGVO (EU 2016/679)

    Art. 28-Auftragsverarbeiter

    Opsio: Auftragsverarbeiter nach Art. 28 DSGVO für personenbezogene Kundendaten, die wir im Rahmen von Managed Operations verarbeiten. Standardvertragsklauseln liegen für die Übermittlung an unser Indien-Team vor. Für Kunden: DPIA-Unterstützung, Gestaltung von Verantwortlicher–Auftragsverarbeiter-Verträgen und technische Umsetzung von Tools für Betroffenenrechte.

  • NIS2-Richtlinie

    Kundenprogramme zur Compliance

    Opsio: operative Praxis im Einklang mit den NIS2-Anforderungen für wesentliche und wichtige Einrichtungen. Für Kunden: vollständige NIS2-Compliance-Programme — Anwendbarkeitsprüfung, Risikoanalyse, Abbildung der Art. 21-Maßnahmen, Integration der Vorfallmeldung an das BSI und Drittanbieter-Risikomanagement.

  • HIPAA (US-Kunden)

    BAA verfügbar · Kundenarchitekturen

    Opsio: Business Associate Agreement für US-Gesundheitskunden verfügbar. Für Kunden: HIPAA-konforme Architekturen auf AWS, Azure oder GCP mit Audit-Kontrollen, Verschlüsselung und BAA-Kettenmanagement. Bereits an mehrere mittelgroße US-Gesundheits-Workloads ausgeliefert.

  • DORA (EU 2022/2554)

    Kundenprogramme zur Compliance

    Für Kunden im Finanzdienstleistungsbereich: DORA IKT-Risikomanagement-Programm, Drittparteien-Risikoregister, Vorfallklassifizierung, Testprogramm (TLPT) und Berichtvorlagen für den Vorstand. Opsios Architekten haben dies für Banken und Versicherer in Deutschland und dem Nordischen Raum umgesetzt.

  • DPDPA (Indien)

    Indien-Betrieb · Kundenprogramme

    Opsio: der Betrieb am Delivery-Center Bangalore ist an den indischen Digital Personal Data Protection Act angepasst. Für Kunden: DPDPA-Readiness-Analysen, Einwilligungsarchitektur, Aufbewahrungskontrollen und CERT-In-Vorfallmeldungs-Pipelines.

Auftragsverarbeitungsvertrag

Opsio agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO für personenbezogene Kundendaten, die wir in Ihrem Auftrag während Managed Operations, Migration und Consulting verarbeiten.

  • Standard-AVV-Vorlage wird bei Vertragsunterzeichnung oder auf Anfrage vorab zur Einkaufsprüfung bereitgestellt.
  • Unterstützt EU-Standardvertragsklauseln (2021/914) für jede Übermittlung an nicht-angemessene Drittländer, einschließlich unseres Delivery-Centers in Bangalore.
  • Der Kunde behält die Rolle des Verantwortlichen sowie die Entscheidungsrechte über Datenklassifizierung, Aufbewahrung und Löschung.
  • Änderungen an Subunternehmern werden mit mindestens 30 Tagen Vorlauf über den von Ihnen benannten Kanal kommuniziert.
  • Meldung eines Datenschutzvorfalls innerhalb von 72 Stunden nach Feststellung gemäß Art. 33.
AVV anfordern

In der Regel liefern wir eine signierte AVV-Vorlage innerhalb von 2 Werktagen. Für eine Vorabprüfung können wir zuerst ein beidseitiges NDA unterzeichnen — Anfrage über dieselbe E-Mail.

Subunternehmer

Opsio setzt folgende Subunternehmer zur Leistungserbringung ein. Die jeweils verbindliche Liste wird intern geführt und auf Anfrage als AVV-Anlage bereitgestellt. Die Hyperscaler-Region ist vertraglich pro Kunde konfigurierbar.

SubunternehmerZweckVerarbeitungsregion
Amazon Web Services (AWS)Hosting, Compute, Speicher und Managed Services, wenn der Kunde AWS gewählt hatVom Kunden gewählte AWS-Region (eu-north-1, eu-west-1, us-east-1, ap-south-1 etc.)
Microsoft AzureHosting und Managed Services, wenn der Kunde Azure gewählt hatVom Kunden gewählte Azure-Region
Google Cloud PlatformHosting und Managed Services, wenn der Kunde GCP gewählt hatVom Kunden gewählte GCP-Region
Google WorkspaceInterne Geschäftskommunikation und DokumentenverwaltungEU
Microsoft 365 (Teams)Interne und kundengerichtete Meetings, Chat und Zusammenarbeit während ProjektenEU
GitHub / GitLabQuellcode-Hosting für Kundenprojektartefakte (Infrastructure-as-Code, Skripte)Vom Kunden gewählt pro Projekt
OdooInternes ERP, CRM, Projektverfolgung und RechnungsstellungEU
Opsio IndiaDelivery-Center-Betrieb für Kunden mit vertraglich vereinbarter Follow-the-Sun-Unterstützung; Personalzugriff SCC-geregeltIndien (Bangalore)

Kunden können innerhalb der 30-Tage-Frist Einspruch gegen neue Subunternehmer einlegen. Projektspezifische Subunternehmer (Monitoring-Agents, SIEM-Plattformen etc.) werden im Statement of Work offengelegt.

Service Level Agreement

SLA-Verpflichtungen sind im Master-Service-Agreement pro Projekt dokumentiert. Die folgende Übersicht stellt unsere Standardbedingungen dar; angepasste SLA mit 99,95 % oder 99,99 % für geschäftskritische Workloads sind verfügbar.

  • Infrastruktur-Verfügbarkeit99,9 %

    Monatliche Messung. Service Credits bei Verstößen.

  • Schwere 1-Antwort15 Minuten

    24/7. Produktionsauswirkung, geschäftskritisch.

  • Schwere 2-Antwort1 Stunde

    24/7. Leistungsminderung, Workaround möglich.

  • Schwere 3-Antwort4 Arbeitsstunden

    Geschäftszeiten Schweden oder Indien.

  • Monitoring24/7/365

    Follow-the-Sun zwischen Karlstad und Bangalore.

  • Patch-ManagementMonatliche Basis

    Out-of-Cycle-Notfall-Patches innerhalb von 48 Stunden nach CVE-Veröffentlichung bei kritischer Schwere.

Vollständige SLA-Bedingungen anfordern

Datenresidenz

Kunden-Produktionsdaten werden in der von Ihnen gewählten Cloud-Region verarbeitet. Für europäische Kunden verwenden wir standardmäßig EU/EWR-Regionen (AWS eu-north-1 Stockholm, Azure Sweden Central, GCP europe-north1 Finnland), sofern vertraglich nichts anderes vereinbart ist.

Opsio-Mitarbeiter greifen auf Kundenumgebungen über benannte Konten mit MFA und Just-in-Time-Elevation zu. Support-Operationen werden aus Schweden (primär) und Indien (Delivery-Center) durchgeführt. Personalzugriff außerhalb des EWR erfolgt über Standardvertragsklauseln, soweit zutreffend.

Backups und Protokolle erben standardmäßig die vom Kunden gewählte Region. Cross-Region-Replikation für Disaster Recovery ist vom Kunden konfigurierbar.

Sicherheitspraktiken

Wie wir Kundenumgebungen Ende-zu-Ende schützen.

  • Penetrationstests

    Jährlicher Drittpartei-Penetrationstest gegen Opsio-Produktionssysteme. Projektspezifische Penetrationstests als Managed Service über unser OSCP-zertifiziertes Team verfügbar.

  • Schwachstellen-Management

    Kontinuierliches CVE-Monitoring mit schweregradbasierter SLA für Patches. Kritische CVEs werden innerhalb von 48 Stunden nach verantwortungsvoller Offenlegung gepatcht.

  • Identitäts- & Zugriffsmanagement

    SSO-erzwungene benannte Konten mit obligatorischer MFA. Zugriff auf Kundenumgebungen ist zeitlich begrenzt und zentral protokolliert. Geteilte Zugangsdaten sind untersagt.

  • Verschlüsselung

    Daten in Übertragung: TLS 1.2+ erzwungen. Daten im Ruhezustand: hyperscaler-native Verschlüsselung (AWS KMS, Azure Key Vault, GCP KMS) mit kundenverwalteten Schlüsseln auf Anfrage.

  • Protokollierung & Monitoring

    Jeder privilegierte Zugriff wird protokolliert, manipulationssicher, und gemäß vertraglichen Kundenanforderungen aufbewahrt. SIEM-Integration für Kunden mit Opsio MDR-Diensten verfügbar.

  • Incident Response

    24/7 Sicherheitsvorfallsreaktion mit dokumentierten Playbooks. Meldung von personenbezogenen Datenschutzvorfällen innerhalb von 72 Stunden gemäß Art. 33 DSGVO.

Verantwortungsvolle Offenlegung

Sicherheitsforscher, die eine Schwachstelle in Opsio-betriebenen Systemen identifizieren, werden gebeten, diese über verschlüsselte E-Mail zu melden. Wir verpflichten uns, den Eingang innerhalb eines Werktags zu bestätigen und einen Behebungszeitplan innerhalb von fünf Werktagen bereitzustellen. Wir verfolgen keine rechtlichen Schritte gegen gutgläubige Forschung, die diesen Richtlinien folgt.

Melden an: security@opsio.se

Einkaufs- & Compliance-Kontakt

Für AVV-Anfragen, Sicherheitsfragebögen, SLA-Verhandlungen oder alles andere, was der Einkauf für den Abschluss benötigt:

compliance@opsio.se