Compliance
faktoora betreibt ein umfassendes Informationssicherheits-Managementsystem (ISMS), das an führende internationale Standards und regulatorische Rahmenwerke angelehnt ist. Unser Compliance-Programm umfasst sechs wesentliche Rahmenwerke mit über 25 verknüpften Richtlinien-Dokumenten.
Regulatorische Compliance
DSGVO
Status: Konform
Als deutsches Unternehmen, das personenbezogene Daten von EU-Bürgern verarbeitet, erfüllt faktoora vollständig die Datenschutz-Grundverordnung. Unser DSGVO-Programm umfasst:
- Einen externen Datenschutzbeauftragten (PROLIANCE GmbH)
- Dokumentiertes Verzeichnis von Verarbeitungstätigkeiten für alle Verarbeitungsvorgänge
- Betroffenenrechte-Verfahren mit Self-Service-Funktionen für Auskunft, Berichtigung, Löschung und Datenübertragbarkeit
- Auftragsverarbeitungsverträge mit allen Drittanbieter-Verarbeitern
- Privacy-by-Design-Prinzipien im Entwicklungsprozess
Siehe unsere Datenschutz-Seite für alle Details.
DORA
Status: Konform
Der Digital Operational Resilience Act (DORA) gilt für Finanzunternehmen und ihre IKT-Dienstleister. faktoora erfüllt die DORA-Anforderungen durch:
- IKT-Risikomanagement-Framework mit definierter Governance und Risikoappetit
- Verfahren zur Vorfallsklassifizierung und -meldung gemäß DORA Art. 17–20
- Business-Continuity- und Disaster-Recovery-Pläne mit regelmäßigen Tests
- Drittparteien-Risikomanagement mit Konzentrationsrisiko-Bewertung und Exit-Strategien
- Programm für digitale operationale Resilienz-Tests inkl. Schwachstellenscans, Penetrationstests und szenariobasierten Übungen
NIS2
Status: Beobachtung
Die NIS2-Richtlinie wird derzeit in deutsches Recht umgesetzt (NIS2UmsuCG). faktoora beobachtet aktiv den Gesetzgebungsprozess und hat seine Sicherheitskontrollen bereits an die Anforderungen der Richtlinie angeglichen, einschließlich Risikoanalyse, Vorfallsbehandlung, Business Continuity, Lieferkettensicherheit und kryptographischer Verfahren.
Industriestandards
ISO 27001
Status: Kontrollen angepasst
Unser Informationssicherheits-Managementsystem ist an ISO/IEC 27001:2022 ausgerichtet. Wir haben Kontrollen über alle anwendbaren Annex-A-Bereiche hinweg zugeordnet und implementiert, unterstützt durch eine umfassende Erklärung zur Anwendbarkeit. Unser ISMS umfasst:
- Informationssicherheitsrichtlinien und Governance
- Zugriffskontrolle und Identitätsmanagement
- Kryptographie und Schlüsselmanagement
- Betriebssicherheit und Änderungsmanagement
- Sicherer Entwicklungsprozess
- Lieferanten- und Drittparteien-Risikomanagement
- Vorfallsmanagement und Business Continuity
- Personalsicherheit und Awareness
SOC 2
Status: Kontrollen angepasst
Die Sicherheitskontrollen von faktoora sind an die SOC 2 Trust Service Criteria über alle fünf Kategorien hinweg ausgerichtet:
| Kategorie | Abdeckung |
|---|---|
| Sicherheit (Common Criteria) | Zugriffskontrolle, Änderungsmanagement, Risikominderung, Systembetrieb, Überwachung |
| Verfügbarkeit | Kapazitätsplanung, Umgebungsschutz, Disaster-Recovery-Tests |
| Verarbeitungsintegrität | Eingabevalidierung, Systemverarbeitungskontrollen, Ausgabeüberprüfung |
| Vertraulichkeit | Datenklassifizierung, Verschlüsselung, sichere Entsorgung |
| Datenschutz | Benachrichtigung, Wahlmöglichkeiten, Erhebungsbeschränkung, Nutzung/Aufbewahrung/Entsorgung, Zugang, Offenlegung, Qualität |
C5 (BSI)
Status: Kontrollen angepasst
Unsere Kontrollen sind am BSI C5:2020 (Cloud Computing Compliance Criteria Catalogue) ausgerichtet, dem deutschen Bundesstandard für Cloud-Service-Sicherheit. Die Abdeckung erstreckt sich über alle 14 C5-Bereiche, darunter Organisation, Asset-Management, Identitäts- und Zugriffsmanagement, Kryptographie, Betrieb, Vorfallsmanagement und Business Continuity.
E-Invoicing-Standards
faktoora ist für die Einhaltung europäischer E-Invoicing-Vorschriften konzipiert:
| Standard | Geltungsbereich |
|---|---|
| EN 16931 | Europäische Norm für die elektronische Rechnungsstellung — Kern-Compliance |
| ZUGFeRD | Deutsches hybrides PDF/XML-Rechnungsformat (CII-basiert) |
| XRechnung | Deutscher Standard für E-Rechnungen an den öffentlichen Sektor (Pflicht für B2G) |
| Peppol | Paneuropäisches E-Invoicing-Netzwerk mit AS4-Transport |
| VeriFactu | Echtzeit-Rechnungsregistrierung der spanischen Steuerbehörde |
Deutsches Handelsrecht (GoBD)
Die faktoora-Plattform ist darauf ausgelegt, die Anforderungen der GoBD zu erfüllen, darunter:
- Unveränderliche Audit-Trails mit kryptographischer Integritätsprüfung
- Dokumentenaufbewahrung für die gesetzlich vorgeschriebenen Zeiträume
- Rechnungsintegrität von der Erstellung bis zur Archivierung
- Vollständige, nachvollziehbare Verarbeitungsprotokolle
Detaillierte Dokumentation
Für Zugang zu detaillierten Compliance-Unterlagen einschließlich vollständiger Richtlinientexte, Kontrollzuordnungen und Prüfberichten besuchen Sie unsere Seite Zugang anfordern.
Fragen?
Für Compliance-Anfragen kontaktieren Sie compliance@faktoora.com.