Zum Hauptinhalt springen
ToolSense
IT-Sicherheit & Compliance

Enterprise-Sicherheit für operative Daten, deren Verlust Sie sich nicht leisten können

Wie ToolSense Geräte-, Roboter-, Fahrzeug- und Frontline-Daten von 200+ Unternehmen in 30+ Ländern schützt.

Warum das wichtig ist

FM-Operations-Daten sind sensibel: Kundenstandortlisten, Gebäudezugangsdaten, Mitarbeiterzertifikate, Gerätestandorte, Finanzdaten. ToolSense ist von Grund auf nach Enterprise-Sicherheitsstandards gebaut - und wir veröffentlichen detailliert, was wir tun, damit IT, Einkauf und Compliance nicht hinter Antworten herlaufen müssen.

Architektur & Hosting

  • Gehostet auf Google Cloud Platform (GCP), Primärregion: europe-west (Belgien / Frankfurt)
  • Kubernetes-basierter Betrieb (GKE) mit horizontaler Skalierung und hoher Verfügbarkeit
  • Managed Databases: MySQL und PostgreSQL mit automatisierten Backups, Point-in-Time-Recovery und Verschlüsselung at rest
  • Microservice-Architektur (NestJS Monorepo, GraphQL APIs, Vue.js 3 Web-Frontend, React Native Mobile)
  • 550k API-Requests/Tag, 250k IoT-Nachrichten/Tag, 18k tägliche IoT-Geräte - 99,96 % gemessene Verfügbarkeit

Datenschutz & Verschlüsselung

  • Alle Daten verschlüsselt bei Übertragung (TLS 1.2+) und Speicherung (AES-256)
  • Mandantengetrennte Datenisolation
  • Verschlüsselte Backups mit 30 Tagen Aufbewahrung als Standard, pro Kunde konfigurierbar
  • Kundenseitig verwaltete Verschlüsselungsschlüssel für Enterprise-Pläne verfügbar

Identität, Zugriff & Authentifizierung

  • Single Sign-On (SSO) via SAML 2.0 und OpenID Connect
  • Rollenbasierte Zugriffskontrolle mit granularen Berechtigungssätzen
  • Zwei-Faktor-Authentifizierung (2FA) für Administratoren verpflichtend und für alle Nutzer konfigurierbar
  • Vollständige Audit-Logs jeder administrativen und datenändernden Aktion
  • Integration mit Microsoft Entra ID (Azure AD), Okta und Google Workspace

DSGVO & Datenschutz

  • Vollständig DSGVO-konform - ToolSense hat seinen Sitz in Wien, Österreich (EU)
  • Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO als Standardvertrag verfügbar
  • Veröffentlichte und aktualisierte Subprozessorenliste: AWS, Google Cloud, Google Maps, HubSpot, Jotform, Userflow
  • Datenresidenz standardmäßig in der EU; spezifische Regionen auf Anfrage
  • Recht-auf-Vergessenwerden- und Datenexport-Workflows in die Plattform integriert

Service Level & Resilienz

  • Service Level Agreement (SLA): 99,5 % garantierte Verfügbarkeit, mit Service Credits in 10 % / 25 % / 50 %-Stufen
  • Disaster-Recovery-Plan: RTO und RPO von 12 Stunden
  • Geografisch redundante Backups
  • Business Continuity wird jährlich getestet

Operative Sicherheit

  • Sicherheitsrichtlinien werden quartalsweise geprüft und vom CTO verantwortet
  • Verpflichtende Sicherheitsschulung für alle Mitarbeitenden, beim Eintritt und jährlich
  • Mobile Device Management (MDM) für alle Mitarbeitergeräte
  • Schwachstellenscans und Dependency Monitoring über die Build-Pipeline
  • Incident-Response-Plan mit definierten Benachrichtigungs-SLAs an Kunden
  • Penetration-Testing-Programm (nächster externer Test geplant für 2026)

Zertifizierungen & Standards

  • DSGVO
    In Kraft
  • ISO 27001
    Zertifizierung läuft · Ziel 2026
  • SOC 2 Type II
    Auf der Roadmap 2026 / 2027
  • Vendor Security Questionnaires
    Für Enterprise-Kunden beantwortet (z. B. Allied Universal und ähnliche)

Häufige Fragen

Primärdaten werden auf Google Cloud Platform in der Europäischen Union gespeichert (Standardregion: europe-west). Weitere Regionen sind für Enterprise-Kunden auf Anfrage verfügbar.

Ja. ToolSense hat seinen Sitz in Wien, Österreich, und unterliegt vollständig der EU-DSGVO. Wir stellen einen Standard-Auftragsverarbeitungsvertrag nach Art. 28 bereit und veröffentlichen unsere Subprozessorenliste.

Ja. SAML 2.0 und OpenID Connect SSO werden unterstützt, einschließlich Microsoft Entra ID, Okta und Google Workspace. 2FA ist für Administratoren verpflichtend und für alle Nutzer konfigurierbar.

Die ISO-27001-Zertifizierung läuft mit Ziel 2026. Wir arbeiten bereits nach ISO-27001-ausgerichteten Richtlinien und Prozessen.

SOC 2 Type II steht auf der Roadmap 2026/2027. Bis dahin stellen wir detaillierte Security Questionnaires und kundengerichtete Dokumentation mit gleichwertigen Kontrollen bereit.

ToolSense führt regelmäßige Schwachstellenscans durch; ein externer Penetrationstest ist für 2026 geplant. Ergebnisse sind auf Anfrage unter NDA verfügbar.

Vertragliches SLA: 99,5 %. Gemessene Verfügbarkeit der letzten 12 Monate: 99,96 %. Service Credits greifen bei 99 % / 95 % / 90 % (10 % / 25 % / 50 %).

ToolSense verfügt über einen dokumentierten Incident-Response-Plan mit definierten Kundenbenachrichtigungs-SLAs gemäß DSGVO Art. 33 (innerhalb von 72 Stunden). Kunden erhalten direkte Kommunikation aus dem CTO-Büro.

Ja. Datenexport ist über die Plattform und via API verfügbar. Anträge auf Löschung werden gemäß DSGVO Art. 17 erfüllt. Beides ist in unserem DPA dokumentiert.

Ihnen. Der Kunde ist Verantwortlicher; ToolSense ist Auftragsverarbeiter. Das ist in jedem Kundenvertrag und DPA vertraglich festgelegt.

Unsere Security-&-Compliance-Seite, unser DPA, SLA, die Subprozessorenliste und die DR-Plan-Zusammenfassung sind öffentlich verfügbar. Detaillierte Richtlinien und Pen-Test-Ergebnisse gibt es unter NDA.

Benötigen Sie mehr Details unter NDA?

Detaillierte Richtlinien, Pen-Test-Berichte und der vollständige Vendor Security Questionnaire sind auf Anfrage verfügbar.

Mit unserem Security-Team sprechenDokumentation anfragen