Sicherheits- und Vertrauensübersicht
Canvas Software betreibt eine browserbasierte Platform-as-a-Service, auf der Ihre Builder eigene Anwendungen erstellen und betreiben. Die Plattform und Ihre Daten werden ausschließlich in Deutschland gehostet, je Mandant isoliert und im Ruhezustand sowie bei der Übertragung verschlüsselt. Diese Übersicht erläutert, wie wir Ihre Daten schützen und wo Ihre Verantwortung beginnt.
Die rechtlichen Einzelheiten finden Sie in unserer Datenschutzerklärung (Daten, die wir als Verantwortliche verarbeiten: Ihre Website- und Kontodaten) sowie in unserem Auftragsverarbeitungsvertrag (AVV) (die personenbezogenen Daten, die Ihre Anwendungen verarbeiten und für die Sie Verantwortlicher und Canvas Software Auftragsverarbeiterin sind).
Hosting und Datenresidenz
Abschnitt betitelt „Hosting und Datenresidenz“- Ihre personenbezogenen Daten und die von Ihren Anwendungen gespeicherten und verarbeiteten Daten bleiben ausschließlich in Deutschland (EU/EWR). Es gibt keine US-Datenhaltung für Ihre Daten.
- Das Infrastruktur-Hosting erfolgt über einen einzigen Unterauftragsverarbeiter in Deutschland (benannt in der Unterauftragsverarbeiter-Anlage des AVV). Ein zweiter EU-Anbieter ist für Kunden vorgesehen, die der DORA unterliegen, und wird erst nach vorheriger Information aktiviert.
- Keine Drittlandübermittlung der personenbezogenen Daten, die Ihre Anwendungen verarbeiten. Standardvertragsklauseln oder ein Angemessenheitsbeschluss sind hierfür daher nicht erforderlich.
- Eine Ausnahme betrifft die KI-gestützte Quellcode-Generierung, nicht Ihre Daten. Der KI-Programmierassistent kann Workloads zur Code-Generierung an einen LLM-Anbieter außerhalb der EU (z. B. in den USA) weiterleiten, neben in der EU/Deutschland gehosteten Anbietern, selbst gehosteten Open-Weight- und Open-Source-Modellen sowie eigenen Modellen von Canvas Software. Übermittelt werden dabei ausschließlich Quellcode und Build-Artefakte, niemals Ihre personenbezogenen Daten (siehe „Umgang mit KI-Daten”).
Mandantentrennung
Abschnitt betitelt „Mandantentrennung“Die Isolation ist über alle Umgebungen (Entwicklung, Staging, Produktion) gleich:
- Hardwarebasierte Virtualisierungs-Isolation je Workload: jeder Workload läuft in einer eigenen, virtualisierungsisolierten Sandbox, sodass eine Kompromittierung an der Virtualisierungsgrenze endet.
- Getrennte Namespaces je Organisation. Sicherheitsrichtlinien (verpflichtende Sandbox-Isolation, minimale Rechtevergabe, Namespace-Trennung) werden automatisch durchgesetzt — ein nicht regelkonformer Workload wird abgewiesen, bevor er ausgeführt wird, nicht erst nachträglich erkannt.
- Netzwerkrichtlinien mit „default-deny” je Mandant: Workloads können einander nur erreichen, wenn dies ausdrücklich erlaubt ist.
- Produktionsumgebungen erhalten zusätzlich dediziert bereitgestellte, isolierte Datenbank-, Cache- und Objektspeicherdienste.
Verschlüsselung
Abschnitt betitelt „Verschlüsselung“- Im Ruhezustand: Datenträgerverschlüsselung (AES-256) mit netzgebundener Schlüsselfreigabe (NBDE). Aus dem Netz entfernte Datenträger lassen sich nicht entschlüsseln.
- Bei der Übertragung: TLS für alle öffentlich erreichbaren Dienste; der gesamte interne Verkehr zwischen Hosts läuft über ein verschlüsseltes, WireGuard-basiertes Netz-Overlay.
- Keine öffentliche Erreichbarkeit interner Systeme: Server sind ausschließlich über das verschlüsselte Overlay erreichbar, nicht direkt aus dem öffentlichen Internet.
Zugriff und Identität
Abschnitt betitelt „Zugriff und Identität“- Rollenbasierte Zugriffskontrolle nach dem Prinzip der geringsten Rechte, mit zentraler Identitätsverwaltung (OIDC).
- Mehr-Faktor-Authentifizierung auf den zentralen Infrastruktur- und Verwaltungssystemen.
- Keine gemeinsam genutzten Administrationskonten. Privilegierter Zugriff erfolgt über dedizierte, vollständig verschlüsselte Geschäftsgeräte mit starker Authentifizierung und automatischer Bildschirmsperre.
- Zugangsdaten und Geheimnisse werden verschlüsselt in einem Passwortmanager oder Secrets-Vault gespeichert, niemals im Klartext.
Protokollierung, Überwachung und Aufbewahrung
Abschnitt betitelt „Protokollierung, Überwachung und Aufbewahrung“- Laufzeit-Bedrohungserkennung mit automatischer Reaktion — auffälliges Verhalten löst eine automatische Eindämmung aus, einschließlich der Beendigung des betroffenen Workloads.
- Audit-Protokolle für administrative und privilegierte Eingriffe.
- Aufbewahrung der Protokolle: Zugriffsprotokolle 30 Tage, sicherheitsrelevante Protokolle 90 Tage.
- Kontinuierlich überwachter Betrieb mit Alarmierung.
Sicherungen und Betriebskontinuität
Abschnitt betitelt „Sicherungen und Betriebskontinuität“- Produktionsumgebungen werden automatisiert gesichert über ein zentrales Sicherungssystem, mit Off-Site-Kopien in Deutschland.
- Sicherungen werden mit mandantenspezifischen Schlüsseln verschlüsselt und mandantengetrennt mit beschränktem Zugriff aufbewahrt.
- Entwicklungs- und Staging-Umgebungen werden nicht automatisiert gesichert; Daten, die einer Sicherung bedürfen, gehören bewusst in eine Produktionsumgebung.
- Eine dedizierte Sicherungsinfrastruktur ist als Enterprise-Option verfügbar.
Datenlebenszyklus und Löschung
Abschnitt betitelt „Datenlebenszyklus und Löschung“- Sie behalten jederzeit die volle Kontrolle über und den Zugang zu Ihrer Anwendung und deren Daten (Zugriff, Export, Löschung auf Anwendungsebene). Kein Lock-in.
- Am Ende eines Projekts, einer Zusammenarbeit oder eines Hackathons werden Ihre Produktivdaten durch Abbau der Mandantenumgebung gelöscht. In Sicherungen werden die Daten durch kryptografische Löschung (Vernichtung des mandantenspezifischen Schlüssels) sowie durch Ablauf der Aufbewahrungsfristen unlesbar.
- Die Löschung bzw. Rückgabe wird in geeigneter Form dokumentiert und auf Anfrage nachgewiesen.
Incident Response und Meldung von Verletzungen
Abschnitt betitelt „Incident Response und Meldung von Verletzungen“- Wir unterhalten ein Verfahren zur Erkennung von und Reaktion auf Sicherheitsvorfälle.
- Tritt in unserem Verarbeitungsbereich eine Verletzung des Schutzes personenbezogener Daten ein, informieren wir Sie ohne schuldhaftes Zögern, spätestens jedoch binnen 48 Stunden nach Kenntnisnahme, und unterstützen Sie bei der Erfüllung Ihrer Meldepflichten.
- Kontaktstelle für Sicherheits- und Datenschutzvorfälle: support@canvas.software.
Umgang mit KI-Daten
Abschnitt betitelt „Umgang mit KI-Daten“Der KI-Programmierassistent der Plattform ist so gebaut, dass Ihre produktiven personenbezogenen Daten niemals ein Modell erreichen:
- Der Assistent verarbeitet Ihren Quellcode, Schemata, Konfigurationen sowie Build- und Test-Artefakte, nicht die personenbezogenen Daten, die Ihre Anwendung im Produktivbetrieb verarbeitet.
- Personenbezogene Echtdaten sind aus Entwicklungsumgebungen herauszuhalten, in denen der Assistent aktiv ist. Dies ist vertraglich vorgegeben.
- Da keine personenbezogenen Daten aus Ihren Anwendungen an ein Modell übermittelt werden, ist der Standort oder Anbieter des Modells (auch ein Anbieter außerhalb der EU) ohne Belang; eine Übermittlung Ihrer personenbezogenen Daten findet nicht statt.
- Workloads zur Code-Generierung werden über eine Mischung von Modellen geleitet (in der EU/Deutschland gehostete Anbieter, selbst gehostete Open-Weight- und Open-Source-Modelle sowie eigene Modelle von Canvas Software) und können für einzelne Workloads einen Anbieter außerhalb der EU nutzen. In jedem Fall werden ausschließlich Quellcode und Build-Artefakte übermittelt, niemals Ihre personenbezogenen Daten.
- Die von uns eingesetzten LLM-Anbieter dürfen ihre Modelle vertraglich nicht mit Ihrem Quellcode oder Ihren Inhalten trainieren.
- Die Verarbeitung personenbezogener Daten mit KI innerhalb Ihrer eigenen Anwendung ist Ihre Gestaltungsentscheidung und liegt in Ihrer Verantwortung als Verantwortlicher.
Geteilte Verantwortung
Abschnitt betitelt „Geteilte Verantwortung“Sicherheit ist ein geteiltes Modell:
- Canvas Software verantwortet die Sicherheit der Plattform und der zugrunde liegenden Infrastruktur (die vorstehend beschriebenen Maßnahmen).
- Sie verantworten die von Ihnen erstellte Anwendung: die anwendungsseitige Zugriffskontrolle, die Rechtsgrundlage Ihrer Verarbeitung sowie die Pseudonymisierung bzw. Minimierung der von Ihnen verarbeiteten Daten. Verarbeiten Sie personenbezogene Echtdaten ausschließlich in Produktionsumgebungen.
Besondere Datenkategorien
Abschnitt betitelt „Besondere Datenkategorien“Standardmäßig ist die Plattform auf gewöhnliche personenbezogene Daten ausgelegt. Die Verarbeitung besonderer Kategorien (Art. 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) erfordert ein gesondertes Modul zum AVV mit strengeren Maßnahmen, verfügbar im Rahmen eines Enterprise-Rahmenvertrags.
Für Sicherheitsfragebögen, Due-Diligence-Anfragen oder Dokumentation unter NDA wenden Sie sich an support@canvas.software.