Sicherheit & Datenschutz

Sicherheit by Design
— nicht als Nachgedanke

top.legal ist die erste deutsche Contract-Intelligence-Plattform mit ISO/IEC 42001-Zertifizierung

Ihre Daten werden ausschließlich in Deutschland oder der Schweiz verarbeitet — verschlüsselt, redundant, überwacht

ISO / IEC 42001

AI Management

Geprüft & ANAB-akkreditiert durch SGS

Zertifiziert

First-Time-Pass in 12 Wochen
top.legal ist die erste deutsche Contract-Intelligence-Plattform, die den internationalen Standard für KI-Managementsysteme erfüllt

99.999996%

Datenverfügbarkeit

Object-Storage Durability

Unabhängige Rechenzentren

Frankfurt, georedundant

365

Tage Monitoring

24/7 Infrastruktur-Überwachung

AES-256

Verschlüsselung at rest

+ TLS 1.3 im Transit

// Infrastruktur

Ausschließlich zertifizierte Server in Deutschland & der Schweiz

Kein einziges Byte Ihrer Vertragsdaten verlässt den deutschsprachigen Raum

top.legal betreibt seine gesamte Infrastruktur auf Servern, die strengste internationale Standards erfüllen

🇩🇪

Deutschland

Frankfurt am Main · Primäre Rechenzentren

C5 · ISO 27001 · ISO 27017

🇨🇭

Schweiz

Backup & Ausweich-Standort

ISO 27001 · DSGVO-äquivalent

Zugang nur für Autorisierte

Produktionsdaten sind für Mitarbeiter nicht einsehbar Zugriff erfolgt ausschließlich über Passwort + 2FA — für autorisierte Personen

Zero Trust

365-Tage-Monitoring

Unsere Infrastruktur wird rund um die Uhr überwacht Warnungen werden sofort weitergeleitet WAF und Drittanbieter-Pentests ergänzen die Überwachung

24/7 aktiv

Gesicherte Kommunikationswege

Kommunikation zu unseren Servern ist ausschließlich über verschlüsselte Verbindungen möglich IP-Adressen außerhalb des Zugriffsbereichs erhalten keinen Zugang

// Verschlüsselung

Modernste Kryptographie — im Transit und im Ruhezustand

Von der Browser-Verbindung bis zur Datenbankzeile — jeder Datenpunkt ist verschlüsselt

top.legal setzt ausschließlich auf aktuelle, bewährte Standards

TLS 1.3 & QUIC

Alle Verbindungen laufen über TLS 1.3 oder höher Zertifikate werden automatisch erneuert Optional wird das QUIC-Protokoll genutzt

TLS 1.3 / QUIC

AES-256 Encryption at Rest

Sämtliche Benutzerdaten werden im Ruhezustand mit 256-Bit AES verschlüsselt Daten werden niemals unverschlüsselt übertragen oder gespeichert

AES-256-GCM

JWT-Token mit RS256

Mit dem Login erhält jeder Nutzer drei JWT-Token Authentizität wird mittels RS256 Public-Private-Key-Verfahren serverseitig bei jedem Zugriff geprüft

RS256 Key-Pair

Transport Layer

TLS 1.3 und/oder QUIC

Cipher Suite

AES-128-GCM (Verbindung) · AES-256 (Speicherung)

Authentifizierung

JWT Token · RS256 Public-Private Key-Pair

Passwort-Speicherung

Bcrypt-Hash · keine Klartextspeicherung

Dokumenten-Links

Signierte Links (HMAC-SHA256) · zeitlich begrenzt

Zertifikatserneuerung

Automatisch — stets aktuelle Algorithmen

API Gateway als zentraler Eingang

Das API Gateway ist der einzige Zugang zu unserem System Jeder Aufruf wird auf Authentizität und Berechtigung geprüft Ungültige Requests werden abgewiesen

Zero Trust Gateway

DDoS-Schutz auf Layer 3 & 7

Das API Gateway schützt vor Distributed-Denial-of-Service-Angriffen — gefälschte Anfragen (Layer 7) und SYN-Floods (Layer 3) Drosselung pro Route

L3 & L7 Schutz

Granulare Rechtevergabe

Jeder einzelne Datenbankeintrag ist mit einem eindeutigen Zugriffsrecht gesichert Nutzer erhalten ausschließlich die Rechte, die sie benötigen — nicht mehr

Principle of Least Privilege

// Zugriffskontrolle

Niemand sieht, was nicht für ihn bestimmt ist

Zugriffsrechte und rollenbasierte Berechtigungen sind das Herzstück unserer Softwarearchitektur Technisch ausgeschlossene Zugriffe — nicht nur Richtlinien

Alle Aufrufe an das top.legal API Gateway sind ausschließlich mit einem gültigen, verschlüsselten Sicherheitstoken zulässig — verifiziert, bevor eine Anfrage das Gateway passiert

// Hochverfügbarkeit & Disaster Recovery

Drei Rechenzentren Elf Neunen Verfügbarkeit

Ihre Daten liegen immer in drei unabhängigen Rechenzentren vor Fällt eines aus, übernehmen die anderen nahtlos Serverless-Architektur eliminiert das Risiko manueller Serverfehler

3× unabhängige Rechenzentren

Daten werden in allen drei Frankfurter Rechenzentren gespiegelt Bei Ausfall eines Standorts übernehmen die anderen und gleichen Daten ab, sobald er wiederhergestellt ist

Kontinuierliche Backups

On-Demand-Backups sichern vollständige Datenbanktabellen Point-in-Time-Recovery für die letzten 35 Tage schützt vor versehentlichen Löschvorgängen

35-Tage PITR

Serverless Backend

Jede Backend-Funktion läuft in einer eigenen isolierten Umgebung — mehrfach redundant über Frankfurt Ausfälle durch Fehlkonfiguration sind ausgeschlossen

Mehrfach redundant

Automatische Skalierung

Die gesamte Infrastruktur skaliert bei steigender Auslastung automatisch NoSQL-Datenbanken mit intelligentem Indexing sichern konstante Reaktionszeiten

Unbegrenzt skalierbar

// Incident Management

Strukturierte Vorfallsbehandlung mit definierten SLAs

Ein klares Framework für Erkennung, Bearbeitung und Nachbereitung von Sicherheitsvorfällen — mit festen Reaktionszeiten

Erkennung & Analyse

Automatisches Fehlerreporting meldet Fehler sofort ans Entwicklerteam — Frontend und Backend separat überwacht

Einordnung des Schweregrads

Incidents werden nach Auswirkung und Likelihood klassifiziert und priorisiert

Kommunikation & Benachrichtigung

Betroffene Parteien werden zeitnah informiert

Eskalation

Eskalationspfade sind klar definiert und vorbereitet

Eindämmung & Wiederherstellung

Isolierung des Vorfalls und Wiederherstellung des Normalbetriebs

Lösung

Vollständige Behebung und Dokumentation

Post-Incident Review (PIR)

Systematische Aufarbeitung zur dauerhaften Verbesserung

// Reaktionszeiten (SLA)

Feste SLAs nach Schweregrad

Showstopper

Software nicht mehr funktionsfähig, Business stark beeinträchtigt

≤ 3 Stunden

Critical

Funktionalität beeinträchtigt, gesamte Software betroffen

≤ 8 Stunden

Major

Funktionalität beeinträchtigt, Rest der Software läuft

≤ 48 Stunden

Minor

Keine Funktionsbeeinträchtigung, allgemeine Fragen

≤ 1 Woche

// Risikomanagement

ALARP-Prinzip

top.legal verfolgt das ALARP-Prinzip (As Low As Reasonably Practicable) — Risiken werden kontinuierlich bewertet und auf ein vernünftiges Minimum reduziert Alle Organisationseinheiten nehmen an der Risikobeurteilung teil

Likelihood Index

Kontinuierlich

Severity Index

Bewertet

Residualrisiko

Minimiert

// Entwicklungsprozess

Sicherheit beginnt vor dem ersten Code

Mehrschichtige Entwicklungsumgebungen, getrennte Produktionssysteme und automatisches Fehlerreporting stellen sicher, dass keine Schwachstelle übersehen wird

Lokal → Test → Beta → Produktion

Neue Features durchlaufen vier klar getrennte Phasen Produktionsdaten sind isoliert Kunden können über die Beta-Instanz in den Testprozess eingebunden werden

Automatisches Fehlerreporting

Ein tief integriertes Fehlermeldungssystem überwacht Frontend und Backend separat Bei jedem Fehler wird ein priorisiertes Ticket erstellt — inkl Versionsnummer

Keine manuelle Meldung nötig

Task-Tracking & systematische Abarbeitung

Fehler und Verbesserungsaufgaben werden erfasst, nach Schwere priorisiert und systematisch abgearbeitet — transparent und nachvollziehbar

// Bereit für mehr?

Ihre Verträge Unser Versprechen

Lernen Sie kennen, wie top.legal Sicherheit nicht als Feature verkauft — sondern als Grundlage für jede Funktion baut

Technische Maßnahmen (TOMs)

Vollständige Dokumentation unserer technischen und organisatorischen Maßnahmen

Datenschutzerklärung & AVV

DSGVO-konforme Auftragsverarbeitungsverträge und Datenschutzdokumentation

Sicherheit by Design— nicht als Nachgedanke