Vorden
Vorden
Trust Center · Zuletzt aktualisiert: April 21, 2026

Sicherheit, Datenschutz und auditierbare Engineering-Nachweise.

Bei Vorden ist Vertrauen keine Absichtserklärung, sondern ein direktes Ergebnis unserer Ingenieursarbeit. Jede Aussage auf dieser Seite ist einem Kontrollmechanismus oder einer Konfigurationsdatei in unserer Codebasis zugeordnet. Keine abstrakten Marketingversprechen, keine leeren Worte — nur konkrete, überprüfbare technische Nachweise.

ComplianceInfrastrukturSicherheitskontrollenSecurity-TestsUnterauftragsverarbeiterDatenaufbewahrung
32
Aktive Sicherheitskontrollen
7
Zertifizierte Infrastruktur-Partner
EU
Primäre Datenregion
GDPR
Integrierte vollständige Compliance
Compliance-Roadmap

Wo wir stehen, wohin wir gehen

Keine vagen, offenen Formulierungen wie "Wir arbeiten daran." Bei Vorden hat jedes Compliance-Framework einen klaren Status, einen definierten technischen Scope und — für laufende Prozesse — ein konkretes Zieldatum. Transparenz ist der erste Schritt zur Sicherheit.

GDPR

Konform

Alle personenbezogenen Daten werden innerhalb der Grenzen der Europäischen Union (Frankfurt, Deutschland) isoliert verarbeitet und gespeichert. Unsere Plattform gewährt Betroffenenrechte (Auskunft, Berichtigung, Löschung) durchgängig, pflegt ein aktuelles Verzeichnis der Verarbeitungstätigkeiten und implementiert technische und organisatorische Maßnahmen, einschließlich Verschlüsselung, granularer Zugriffskontrollen und Audit-Logs. Ein eigener Auftragsverarbeitungsvertrag (AVV) ist für alle Kunden verfügbar.

EU AI Act

Überwacht & Konform

Vorden ist im Rahmen des EU AI Act als "KI-System mit begrenztem Risiko" eingestuft. Wir erfüllen sämtliche Transparenzpflichten vollständig, einschließlich der klaren Offenlegung, dass Endnutzer mit autonomen Agenten interagieren, sowie der Modell-Anbieter-Dokumentation. Wir verfolgen die regulatorischen Leitlinien (regulatory guidance) des EU AI Office in Echtzeit, um fortlaufende Konformität sicherzustellen.

SOC 2 Type II

Audit-bereit

Wir haben sämtliche für SOC 2 Type II erforderlichen technischen Kontrollen in unsere Kernarchitektur implementiert: granulare Zugriffskontrollen, unveränderliche Audit-Logs, Secret Management und eine Echtzeit-Infrastruktur für Incident Monitoring. Diese Infrastruktur haben wir mehrere interne Prüfrunden erfolgreich durchlaufen lassen. Die formale Beauftragung einer unabhängigen Prüfungsfirma sowie der Audit-Prozess selbst sind für 2026 geplant.

Ziel 2026-Q4

ISO 27001

In Vorbereitung

Den ISO-27001-Zertifizierungsprozess führen wir parallel zu SOC 2 Type II durch — die große Mehrheit der erforderlichen technischen und organisatorischen Kontrollen überschneidet sich zwischen diesen beiden Frameworks. Unser Informationssicherheits-Managementsystem (ISMS) basiert auf demselben isolierten Fundament. Mit der ISO-27001-Zertifizierung adressieren wir gezielt den europäischen Markt, auf dem sie das größte Gewicht hat.

Ziel 2026-Q4

HIPAA

In Prüfung

Um Healthcare-Kunden in den Vereinigten Staaten verlässlich zu unterstützen, prüfen wir die architektonischen Anforderungen der HIPAA-Konformität. In diesem Rahmen entwickeln wir ein Business Associate Agreement (BAA) Framework, das den rechtlichen Ablauf abdeckt.

Ziel 2027-Q1
Infrastruktur

Ihre Daten wissen stets, wo sie sich befinden.

Die Vorden-Infrastruktur wird auf der Google Cloud Platform (GCP) innerhalb der Grenzen der Europäischen Union gehostet. Um Standards der Datensouveränität (Data Sovereignty) zu gewährleisten und die Geschäftskontinuität sicherzustellen, sind unsere primären und Failover-Regionen unten in vollständiger Transparenz dokumentiert.

Primär
Frankfurt, Deutschland
Failover
St. Ghislain, Belgien
Sicherheitskontrollen

Mehrschichtige Verteidigung, durchgängig.

Wir listen nicht alle unsere Sicherheitskontrollen öffentlich auf — dies käme einer Karte der Systemarchitektur für potenzielle Angreifer gleich. Unten skizzieren wir unsere zentralen Verteidigungskategorien und Architekturprinzipien. Alle technischen Details zu unserer Netzwerktopologie und unseren Defense-in-Depth-Mechanismen werden im Rahmen eines unterzeichneten AVV (Auftragsverarbeitungsvertrag) und NDA (Geheimhaltungsvereinbarung) transparent mit Unternehmenskunden geteilt.

32
In die gesamte Architektur integrierte aktive Sicherheitskontrollen
Strukturiert in 8 zentralen Kategorien
  • Verschlüsselung
  • Authentifizierung
  • Autorisierung
  • Netzwerksicherheit
  • Anwendungssicherheit
  • Monitoring & Audit
  • Infrastruktur
  • Datenschutz

Detaillierte technische Beschreibungen der Kontrollen, Architekturdiagramme und Audit-Artefakte werden ausschließlich mit Unternehmenskunden, die einen AVV und NDA unterzeichnet haben, transparent geteilt. Im Rahmen formaler Security-Reviews wird auf Anfrage ein Live-Walkthrough dieser Kontrollen in der Produktionsumgebung (production) persönlich vorgeführt.

Sicherheitsoperationen

Kontrollen sind die Startlinie, nicht das Ziel.

Eine Liste von Sicherheitskontrollen allein bedeutet gegen reale Angriffsversuche nichts. Nachfolgend die Methodik, mit der wir unseren Code und unsere Infrastruktur nicht nur auf dem Papier, sondern unter gnadenlosen Stresstests verteidigen:

Externe Penetrationstests (Pentest)

Wir beauftragen regelmäßig unabhängige Cybersecurity-Spezialisten, unsere Produktionssysteme (production) zu knacken. Jeder Befund wird sofort priorisiert, gepatcht und zur Verifikation erneut getestet. Die aktuelle Pentest-Executive-Summary steht Kunden zur Verfügung, die einen NDA/AVV unterzeichnet haben.

Kontinuierliches Vulnerability-Scanning (CI/CD)

Jeder Commit, der in unser Repository gepusht wird, und jedes gebaute Container-Image wird automatisch auf bekannte Schwachstellen (CVEs), geleakte Secrets und Befunde der statischen Codeanalyse (SAST) gescannt. Kritische Schwachstellen in Abhängigkeiten lösen einen Hotfix-Prozess noch am selben Tag aus.

Responsible Disclosure

Wir glauben daran, Schutzmauern gemeinsam zu stärken. Unabhängige Security-Researcher können potenzielle Schwachstellen direkt an security@vorden.ai melden. Eingehende Meldungen bestätigen wir spätestens innerhalb eines Werktags und begleiten den Prozess bis zur Lösung persönlich.

Unterauftragsverarbeiter

Infrastruktur-Partner, die Ihre Daten berühren.

Nachfolgend finden Sie eine vollständig transparente Aufschlüsselung der zentralen Infrastrukturpartner in unserer Datenverarbeitungskette, auf die wir uns verlassen. Zusätzliche Unterauftragsverarbeiter (sub-processors), die basierend auf operativen Anforderungen in das System eingebunden werden, teilen wir im Detail ausschließlich mit Unternehmenskunden im Rahmen eines unterzeichneten Auftragsverarbeitungsvertrags (AVV).

Google Cloud Platform

Frankfurt, Deutschland
Erforderlich

Cloud-Hosting, verwaltete Datenbank, Objektspeicher, Serverless-Compute und hardwaregestütztes Secret-Management (KMS).

Datenkategorien
  • Alle Plattformdaten
  • Datenbankeinträge
  • Anrufaufzeichnungen
  • Kontext-/Knowledge-Dokumente
cloud.google.com

Cloudflare

Globale Edge-PoP-Standorte
Erforderlich

Globales Edge-Netzwerk, das den öffentlichen HTTP-Traffic abfängt. Bietet DDoS-Schutz, Web Application Firewall (WAF), fortgeschrittenes Bot-Management, Rate-Limiting sowie eine DNS-/CDN-Schicht, bevor Anfragen unsere Origin-Infrastruktur erreichen.

Datenkategorien
  • HTTP-Metadaten auf Edge-Ebene
  • IP-Adressen (zur Missbrauchserkennung)
cloudflare.com

Vorden Voice

USA (mit EU-Relay-Nodes)
Erforderlich

Unsere Echtzeit-Voice- und Video-Engine mit niedriger Latenz (low-latency), die Gespräche autonomer Agenten antreibt. Verarbeitet WebRTC-Medientransport und KI-Orchestrierung.

Datenkategorien
  • Echtzeit-Audiostreams
  • Session-Metadaten
vorden.ai

Vorden Telephony

USA / Globale PoP-Standorte
Erforderlich

Eingehendes/ausgehendes Call-Routing, SIP-Trunking und SMS-Zustellungs-Infrastruktur für von Vorden bereitgestellte Rufnummern. Enterprise-Kunden können über "Custom SIP Bridge" eigene Trunks direkt an das System anbinden.

Datenkategorien
  • Telefonnummern
  • Anruf-Metadaten
  • SMS-Inhalte
  • Sprachdaten (während der Übertragung)
vorden.ai

Meta Platforms

Irland, USA
Erforderlich

WhatsApp-Business-Platform-Integration. Enterprise-Mandanten (tenants) verbinden ihre WhatsApp-Business-Konten direkt mit Metas Cloud API — Vorden orchestriert die Agent-Antworten autonom über die Autorisierung des Mandanten.

Datenkategorien
  • WhatsApp-Nachrichteninhalt
  • Rufnummern
  • Zustell-Metadaten
meta.com

Stripe

USA / Irland (EU)
Erforderlich

Enterprise-Zahlungsabwicklung und Abonnement-Management (billing). Sichere Checkout-Sessions, wiederkehrende Abrechnungsprozesse und eine Infrastruktur zur Speicherung tokenisierter Zahlungsmethoden.

Datenkategorien
  • Abrechnungs-Kontaktinformationen
  • Zahlungsmethoden-Token
  • Rechnungsverlauf
stripe.com

Sentry

USA
Erforderlich

Echtzeit-Anwendungs-Fehler-Monitoring und Performance-Tracking. Personenbezogene Daten (PII) werden bereits an der Quelle automatisch maskiert; das System erhält ausschließlich bereinigte (sanitized) Telemetrie- und Fehlerberichte.

Datenkategorien
  • Bereinigter Fehlerkontext
  • Performance-Traces (ohne personenbezogene Daten)
sentry.io
Datenaufbewahrung

Was wir aufbewahren, wie lange und wer die Kontrolle hat.

Unsere Aufbewahrungsfristen sind vom Mandanten (tenant) konfigurierbar, wo Flexibilität operativ sinnvoll ist, und fest vorgegeben, wo gesetzliche Compliance und Sicherheit es erfordern. Die Grenzen der Kontrolle sind unten transparent definiert.

KategorieAnmerkungen
Anrufaufzeichnungen
90 Tage · konfigurierbar
Audioaufzeichnungen werden in isolierten GCS-Buckets mit Zugriff über signierte URLs (signed URLs) gespeichert. Mandanten können kürzere Aufbewahrungsfristen festlegen oder Aufzeichnungen jederzeit dauerhaft löschen.
Anruftranskripte
90 Tage · konfigurierbar
Text-Transkripte folgen exakt demselben Lebenszyklus wie die zugehörige Audioaufzeichnung. Vor der endgültigen Löschung können die Daten zur Compliance exportiert werden (Export).
Chat-Verlauf
Unbegrenzt (solange das Konto aktiv ist) · konfigurierbar
Web-Chat-, SMS-, WhatsApp- und Telegram-Logs werden aufbewahrt, bis der Mandant/das Projekt gelöscht wird oder eine betroffene Person ihr DSGVO-"Recht auf Vergessenwerden" ausübt.
Kontodaten
Vertragsdauer + 30 Tage · fest
Benutzerprofile, Abrechnungs- und Konfigurationsdaten werden über den aktiven Vertrag hinaus für weitere 30 Tage für eine mögliche Reaktivierung aufbewahrt.
Audit-Protokolle
2 Jahre · fest
Audit-Protokolle (audit logs) kritischer, gesetzlich erforderlicher Aktionen (Datenzugriff, Rechteänderungen, administrative Einstellungen) werden zur Erfüllung regulatorischer Standards mindestens 2 Jahre lang unveränderlich aufbewahrt.
Fehler & Performance
90 Tage · fest
Sentry-Fehlerberichte und Performance-Traces werden maximal 90 Tage aufbewahrt, bereinigt und frei von personenbezogenen Identifikationsdaten (PII). In diesen Logs sind keine PII enthalten.
Unternehmens-Review

Security-Questionnaire, AVV oder Architektur-Evaluierung?

Wir verstecken uns in Unternehmens-Procurement-Prozessen nicht hinter standardisierten "Dokumentpaketen." Bei Vorden führen Sie die Sicherheitsbewertung direkt mit dem Architekten durch, der die Infrastruktur der Plattform aufgebaut hat. Senden Sie uns Ihren unternehmensspezifischen Sicherheitsfragebogen (Vendor Assessment) oder Ihre konkreten Compliance-Anforderungen; wir legen konkrete Infrastruktur-Nachweise und die erforderlichen rechtlichen Rahmenwerke (AVV/NDA) direkt auf den Tisch.

E-Mail an security@vorden.aiDatenschutzerklärung