Sicherheit & Compliance

Zuletzt aktualisiert: 23. April 2026

Vertrauen ist das Fundament von EVA. Jede Architekturentscheidung — von der Datenübertragung zwischen den Agenten bis zur Speicherung von Zugangsdaten — wird mit Blick auf die Sicherheit und Privatsphäre der Mitglieder getroffen. Dieses Dokument beschreibt unsere Sicherheitsarchitektur und Compliance-Verpflichtungen.

1. Datenverschlüsselung

Im Transit

Alle Daten, die zwischen Ihren Geräten und der EVA-Infrastruktur übertragen werden, sind mit TLS 1.3 verschlüsselt. Verbindungen, die TLS 1.2 oder höher nicht unterstützen, werden abgelehnt. HTTP-Verbindungen werden automatisch auf HTTPS umgeleitet.

Im Ruhezustand

Gespeicherte Daten — einschließlich Konversationskontext, Aufgabenhistorie und Mitgliedsprofilinformationen — sind im Ruhezustand mit AES-256 verschlüsselt. Verschlüsselungsschlüssel werden über einen dedizierten Schlüsselverwaltungsdienst verwaltet und regelmäßig rotiert.

2. Zugriffskontrollen

  • Minimales Rechteprinzip — interne Systeme erhalten nur die für ihre spezifische Funktion erforderlichen Berechtigungen
  • Multi-Faktor-Authentifizierung — für alle EVA-Mitarbeiter mit Zugang zu Produktionssystemen erforderlich
  • Rollenbasierte Zugriffssteuerung (RBAC) — Mitgliedsdaten sind nur für die Agenten und das Personal zugänglich, die direkt für dieses Konto verantwortlich sind
  • Zugriffsprotokolle — alle Zugriffe auf sensible Daten werden mit Zeitstempeln und Akteuridentitäten protokolliert; Protokolle sind unveränderlich und werden 12 Monate aufbewahrt

3. KI-Modellisolierung

Ihre Daten werden ohne Ihre ausdrückliche schriftliche Einwilligung niemals zum Training, Feintuning oder zur Verbesserung von KI-Modellen verwendet. Konversationen, Aufgaben und Ergebnisse in Ihrem privaten Kanal bleiben auf Ihr Konto isoliert. Es erfolgt keine kontoübergreifende Datenvermischung oder gemeinsamer Modellkontext.

4. Infrastruktursicherheit

  • Infrastruktur in ISO 27001-zertifizierten Rechenzentren gehostet
  • Netzwerksegmentierung mit Firewalls und Intrusion-Detection-Systemen
  • Automatisiertes Vulnerability-Scanning und Dependency-Auditing bei jedem Deployment
  • Regelmäßige Penetrationstests durch unabhängige Drittparteien
  • DDoS-Mitigation am Netzwerkrand

5. Regulatorische Compliance

DSGVO

Die Datenverarbeitungspraktiken von EVA entsprechen der EU-Datenschutz-Grundverordnung (Verordnung (EU) 2016/679). Wir führen Verzeichnisse der Verarbeitungstätigkeiten, haben Datenverarbeitungsverträge mit Auftragsverarbeitern abgeschlossen und unterstützen alle Betroffenenrechte. Vollständige Informationen finden Sie in unserer Datenschutzerklärung.

Schweizer revDSG

EVA erfüllt das revidierte Schweizer Bundesgesetz über den Datenschutz (DSG/revDSG), das seit September 2023 in Kraft ist. In der Schweiz ansässige Mitglieder profitieren von allen nach Schweizer Recht gewährten Schutzmaßnahmen zusätzlich zu den DSGVO-Standards.

Vertraulichkeit

Alle EVA-Mitarbeiter und KI-Systeme sind vertraglich zur strikten Vertraulichkeit verpflichtet. Mitgliederinteraktionen, mit den Agenten geteilte Geschäftskontexte und operative Details werden nie an Dritte weitergegeben, außer wenn gesetzlich vorgeschrieben oder mit Ihrer ausdrücklichen Einwilligung.

6. Auftragsverarbeiter

EVA setzt eine begrenzte Anzahl vertrauenswürdiger Auftragsverarbeiter ein, um den Service zu erbringen. Jeder Auftragsverarbeiter wird auf Sicherheit und Datenschutz-Compliance geprüft und ist durch einen Datenverarbeitungsvertrag gebunden. Die aktuelle Liste der Auftragsverarbeiter ist auf Anfrage per E-Mail an hello@eva.fyi erhältlich.

7. Vorfallreaktion

Im Falle einer Datenpanne oder eines Sicherheitsvorfalls, der Ihre personenbezogenen Daten betrifft, wird EVA:

  • Betroffene Mitglieder innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls benachrichtigen, sofern von der DSGVO gefordert
  • Eine klare Beschreibung der Art der Panne, der betroffenen Daten und der ergriffenen Maßnahmen bereitstellen
  • Die zuständige Aufsichtsbehörde (Schweizer EDÖB und/oder zuständige EU-DSB) wie erforderlich informieren
  • Eine Nachanalyse durchführen und Abhilfemaßnahmen implementieren

8. Geschäftskontinuität

EVA unterhält dokumentierte Geschäftskontinuitäts- und Notfallwiederherstellungspläne. Backups sind verschlüsselt, geografisch verteilt und werden vierteljährlich getestet. Unser Recovery-Time-Objective (RTO) für Kernservicekomponenten liegt unter 4 Stunden.

9. Verantwortungsvolle Offenlegung

Wenn Sie eine potenzielle Sicherheitslücke in der EVA-Plattform entdecken, melden Sie diese bitte verantwortungsvoll an hello@eva.fyi mit dem Betreff „Security Disclosure". Wir verpflichten uns, Ihren Bericht innerhalb von 48 Stunden zu bestätigen und Sie über den Behebungsfortschritt zu informieren. Wir bitten Sie, die Schwachstelle nicht öffentlich zu machen, bis wir eine angemessene Gelegenheit zur Behebung hatten.

10. Kontakt

Sicherheits- und Compliance-Anfragen: hello@eva.fyi