reserveme.ai | AI Operations Platform for Heavy Equipment Teams

Diese Seite fasst die technischen und organisatorischen Massnahmen von reserveme.ai zum Schutz der Plattform, des Widgets und der Kundendaten sowie das aktuelle Verzeichnis der Unterauftragsverarbeiter zusammen. Sie ist der öffentliche Auszug der Sicherheits- und Unterauftragsverarbeiter-Richtlinie, auf die unser Auftragsverarbeitungsvertrag verweist.

1. Rahmen und Geltungsbereich

Unsere Massnahmen orientieren sich an Art. 32 DSGVO und am Schweizer Bundesgesetz über den Datenschutz (revDSG) und umfassen die Plattform, das einbettbare Widget, die APIs sowie die Backend-Infrastruktur für Machine-Vision-Extraktion, KI-Inferenz, Angebotserstellung, ausgehende Kommunikation (E-Mail, WhatsApp, SMS) und Workflow-Automatisierungen.

2. Zugriff und Identität

Rollenbasierter Zugriff nach dem Prinzip des geringsten Privilegs auf alle Produktionssysteme mit benannten Einzelkonten. Obligatorische Mehrfaktor-Authentifizierung für jede Administratorin und jeden Ingenieur, der Produktionssysteme erreicht. Vierteljährliche Zugriffsprüfungen und unverzügliche Entziehung bei Rollenwechsel oder Austritt. Gemeinsame Nutzung benannter Zugangsdaten ist untersagt.

3. Verschlüsselung

TLS 1.2+ für alle Daten in der Übertragung, einschliesslich Plattform-, Widget- und API-Verkehr. AES-256 im Ruhezustand für Datenbanken, Objektspeicher und Backups. Schlüsselverwaltung über den KMS des Cloud-Anbieters mit jährlicher Rotation. Vom Kunden hochgeladene Dokumente (Lastdiagramme, Tragfähigkeitskurven, Handbücher) werden vor der Machine-Vision-Verarbeitung verschlüsselt.

4. Netzwerk- und Anwendungssicherheit

Getrennte Produktions-VPC mit privaten Subnetzen für Datenspeicher, Allow-List-Security-Groups, Web Application Firewall (WAF) und DDoS-Schutz. Sicherer SDLC mit Peer-Review, Abhängigkeits-Scanning (SCA), statischer Codeanalyse (SAST), Secrets-Scanning und Vorproduktions-Schwachstellen-Scanning. Regelmässige Penetrationstests durch qualifizierte Dritte.

5. Logging, Monitoring und Vorfallsreaktion

Zentrales, manipulationssicheres Audit-Logging mit mindestens 12 Monaten Aufbewahrung. Einbruchserkennung, Anomalie-Alarmierung und 24×7-Rufbereitschaft. Wir verpflichten uns, Verletzungen des Schutzes personenbezogener Kundendaten unverzüglich und in jedem Fall innerhalb von 72 Stunden nach Kenntnisnahme gemäss DPA zu melden. Schwachstellen können an security@reserveme.ai gemeldet werden.

6. Resilienz und Backups

Automatisierte tägliche verschlüsselte Backups mit 30 Tagen Aufbewahrung, Point-in-Time-Recovery auf Produktionsdatenbanken, Multi-AZ-Failover und dokumentierte Restore-Tests mindestens jährlich. Verwendung von Enterprise-Cloud-Regionen mit SOC 2-, ISO 27001- oder gleichwertiger Zertifizierung für physische und betriebliche Sicherheit (AWS, Azure, Google Cloud™).

7. Unterauftragsverarbeiter-Verzeichnis

Zur Bereitstellung der Plattform setzen wir die folgenden Unterauftragsverarbeiter ein. Die Liste ist aktuell zum oben angegebenen Datum; Kunden erhalten über die Sicherheits- und Unterauftragsverarbeiter-Richtlinie mindestens 14 Tage vorab Mitteilung über Ergänzungen oder Ersatz. - Amazon Web Services — Cloud-Infrastruktur (Compute, Storage, Datenbanken). US- und EU-Regionen. Garantie: EU-Standardvertragsklauseln + DPA. - Google Cloud Platform™ — KI-Inferenz, Karten und Routing, ergänzende Infrastruktur. US- und EU-Regionen. EU SCC + DPA. - OpenAI, LLC — LLM-Inferenz für Angebote, Wartung und Widget-Konversationen. US. EU SCC + DPA. - Anthropic, PBC — LLM-Inferenz (Backup und Spezialaufgaben). US. EU SCC + DPA. - Stripe, Inc. — Zahlungsabwicklung und Abonnementabrechnung. US und Irland. EU SCC + DPA. - SendGrid / Twilio — transaktionale E-Mail und SMS im Auftrag des Kunden. US. EU SCC + DPA. - Meta Platforms, Inc. — WhatsApp Business API, Template-Freigabe und Zustellmetadaten. US und Irland. EU SCC + DPA. - Sentry — pseudonymisiertes Fehler-Monitoring. US. EU SCC + DPA. - Intercom / HubSpot — Kundensupport und CRM. US und Irland. EU SCC + DPA.

8. Meldung und Kontakt

Sicherheitsforschende und Kunden können vermutete Schwachstellen, Missbrauch oder Vorfälle an security@reserveme.ai melden. Bitte Reproduktionsschritte, betroffene Endpunkte und Nachweise angeben; wir bestätigen Eingang und Triage innerhalb Schweizer Geschäftszeiten. Koordinierte Offenlegung ist erwünscht — bitte keine Zugriffe auf Kundendaten, keine intrusiven Scans auf Produktion und keine automatisierten Exploitation-Werkzeuge.

Sicherheitskontakt

Um eine Schwachstelle oder einen Sicherheitsvorfall zu melden, erreichen Sie unser Sicherheitsteam direkt.

security@reserveme.ai