1. Startseite
  2. Security
  • Über uns
  • Ihr Tor zur mühelosen E-Rechnungsstellung & Supply Chain Dokumentendigitalisierung

Melden Sie sich für unseren Newsletter an

Rechtliches

  • Datenschutzerklärung
  • AGB
  • Impressum
  • Sicherheit

Folgen Sie uns

ISO 9001 Zertifiziert - ICG Qualitätsmanagementsystem Zertifizierung
EFRE ESF - EU and Free State of Saxony funding
Zum Inhalt springen
ÜberblickMaßnahmenOn-PremFAQGespräch anfragen

Datenschutz & Informationssicherheit

Sicherheit für PEDIF-Prozesse

Für Interessenten, die PEDIF als PDF-to-EDI-, E-Invoicing- oder Dokumentenautomatisierungsservice im Kontext von NIS2, ISO-27001-orientierten Kontrollen und Lieferantenprüfungen bewerten.

Supedio dokumentiert organisatorische, technische und datenschutzbezogene Maßnahmen für strukturierte Dokumentendigitalisierungsservices.

Validierung, Vertrauen und Orchestrierung

PEDIF ist eine Validierungs-, Vertrauens- und Orchestrierungsschicht für dokumentenbasierte Geschäftsprozesse. Der Fokus verschiebt sich von „Dokument rein, Daten raus“ zu „Dokument rein, vertrauenswürdige Prozessentscheidung raus“ – unterstützt durch Datenschutz, Informationssicherheit und nachvollziehbare Validierung.

Security-Gespräch anfragenMaßnahmen ansehen
ISO 9001 Zertifikat
Zertifiziert nach DIN EN ISO 9001:2015
DIN EN ISO 9001:2015
Seit 5 Jahren zertifiziert
Hosting
ISO-27001-zertifizierte Cloud-Provider
Datenstandort
Speicherung innerhalb der EU
Datenschutz
Externe Datenschutzbeauftragte

Für Due Diligence

Ein Überblick für NIS2- und ISO-27001-orientierte Prüfungen

PEDIF verarbeitet Geschäftsdokumente in einem definierten Scope. Für technische, rechtliche und einkaufsseitige Bewertungen sind vor allem Governance, Datenstandort, Zugriffskontrollen, Löschkonzepte, Incident-Prozesse und der Umgang mit externen Dienstleistern relevant.

Verantwortung

ISMS-Governance

Die Geschäftsführung trägt die Gesamtverantwortung für das ISMS. Rollen und Verantwortlichkeiten sind dokumentiert; Zugriffe folgen dem Need-to-know-Prinzip.

Risikosteuerung

Risikomanagement & SoA

Supedio führt strukturierte Risikoanalysen durch, behandelt Risiken mit dokumentierten Maßnahmen und dokumentiert die Auswahl ISO-27001-Annex-A-orientierter Controls in einem Statement of Applicability.

Nachweisbarkeit

Monitoring, Audit & Verbesserung

Das ISMS wird mindestens jährlich und nach wesentlichen Änderungen intern auditiert. Findings werden nach Schweregrad klassifiziert und über CAPA bis zum Abschluss verfolgt.

Datenschutz

Externe Datenschutzbeauftragte

Supedio hat Andrea Prinz, Datenschutz Prinz GmbH, mit Wirkung ab 01.11.2025 als externe Datenschutzbeauftragte benannt. Die Tätigkeit erfolgt weisungsfrei und ist der Geschäftsleitung unmittelbar unterstellt.

Datenarten

Welche Daten im Scope sind

Supedio verarbeitet ausschließlich geschäftsbezogene Dokumente zwischen rechtlich eigenständigen Organisationen, zum Beispiel Bestellungen, Lieferscheine und Rechnungen. Personenbezogene Daten betreffen in der Regel Kontaktdaten von Beschäftigten dieser Organisationen.

  • Kunden müssen sicherstellen, dass nur Geschäftsdokumente verarbeitet werden.
  • Private oder unzulässige Inhalte dürfen nicht übermittelt werden.
  • Onboarding erfolgt standardmäßig mit Dummy- oder bereinigten Daten; echte Geschäftsdokumente sind nicht erforderlich.

Technische & organisatorische Maßnahmen

Kontrollen entlang des PEDIF-Betriebs

Die folgenden Punkte sind als kompakter, prüfbarer Überblick für Datenschutz-, IT-Security-, ERP-/EDI- und Einkaufsteams formuliert.

Hosting & Datenstandort

Hosting erfolgt ausschließlich bei ISO-27001-zertifizierten Cloud-Providern. Daten werden über den gesamten Lebenszyklus innerhalb der Europäischen Union gespeichert.

  • ISO-27001-zertifizierte Cloud-Provider
  • Datenhaltung innerhalb der EU
  • Cloud- und On-Premises-Szenarien im ISMS-Scope beschrieben

Zugriffsmanagement

Zugriffe werden über IAM, rollenbasierte Rechte, Least-Privilege-Prinzipien und eingeschränkten administrativen Zugriff gesteuert. Produktionszugriffe sind auf autorisierte Supedio-Mitarbeitende begrenzt und werden protokolliert.

  • RBAC und Need-to-know
  • SSO mit 2FA für PEDIF Portal, EPIC Prod und Mailious aktiv
  • Produktionszugriffe mit Identität, IP-Details und Aktivität geloggt

Netzwerkschutz

Kundennahe Services sind gegen DDoS sowie häufige Web- und Bot-Angriffe über Cloudflare und AWS WAF geschützt.

  • Edge-Schutz über Cloudflare und AWS WAF
  • E-Mail-Domains mit SPF, DKIM und DMARC
  • Least-Privilege und gehärtete privilegierte Zugriffe

Verschlüsselung

Alle Datenübertragungen nutzen SSL/TLS. Für Daten im Ruhezustand ist AWS-Plattformverschlüsselung in der EU-Region aktiv; kryptografische Zielstandards sind im ISMS dokumentiert.

  • TLS 1.2 oder 1.3 für Daten in Übertragung
  • AWS EC2/EBS-Plattformverschlüsselung aktiv
  • AES-256 und KMS-managed Keys als dokumentierter Zielstandard

Backups & Disaster Recovery

Backups erfolgen täglich verschlüsselt, werden 14 Tage aufbewahrt und unterstützen die Wiederherstellung nach Datenverlust- oder Ransomware-Ereignissen.

  • RPO: 24 Stunden
  • RTO: 6 Stunden
  • Restore-Tests regelmäßig, nach Major Releases und mindestens alle 12 Monate

Secure Development & Patch Management

Der Secure Development Lifecycle umfasst Peer- oder Senior-Code-Reviews, Dependency- und Secret-Scanning, SAST, Release-Freigaben und einen Emergency-Change-Prozess.

  • Pflichtreview vor Merge
  • Tests und Qualitätssicherung vor Release
  • Security-Fixes nach Severity-SLAs: kritisch 24h, hoch 7 Tage, mittel 30 Tage, niedrig 90 Tage

Operativer Betrieb

Operators arbeiten im Regelfall mit Systemlogs und nicht mit Kundendokumenten. Download, Export und lokale Speicherung von Kundendaten sind nur für konkrete operative Aufgaben erlaubt, begrenzt und protokolliert.

  • No-touch-Verarbeitung als Standard
  • Manuelle Review nur bei echten Fehlerfällen
  • Zugriff auf Inhalte nur benannt, autorisiert, geloggt und überwacht

Validierung & Output-Integrität

Extrahierte Daten werden vor der Übergabe gegen definierte Refinement-, Zielformat-, Validierungs- und Plausibilitätsregeln geprüft.

  • Versionierte Validierungsskripte
  • Nachvollziehbarkeit über Validator-Version und Freigabeverantwortliche
  • Unklare oder fehlerhafte Fälle gehen in Review

KI-Nutzung

KI wird für Dokumentenerkennung, Extraktion und zur Unterstützung der Anonymisierung eingesetzt. Kundendaten werden nicht zum Training von KI-Modellen verwendet.

  • Reale Kundendokumente nur bei Bedarf zur Leistungserbringung oder Fehlersuche
  • Kundenfreigabe vor Verarbeitung realer Dokumente
  • AI-Governance mit Register, Vendor Review und DPIA-Screening

Externe Dienstleister

Externe Dienstleister unterstützen Supedio bei Softwareentwicklung, Bugfixing und Wartung innerhalb klar definierter technischer Verantwortungsbereiche und kontrollierter Systeme.

  • Entwicklung und Wartung mit Dummy-, anonymisierten oder pseudonymisierten Daten
  • Kein stehender Produktionszugriff externer Dienstleister
  • Ausnahmen mit echtem Kundendatenbezug nur dokumentiert, zweckgebunden, zeitlich begrenzt und kundenseitig freigegeben

Incident Management & Awareness

Supedio betreibt einen dokumentierten Incident-Prozess. Meldungen über den definierten Incident-Kanal werden an Geschäftstagen überwacht und innerhalb von 24 Stunden triagiert.

  • Analyse, Eindämmung, Behebung und Lessons Learned
  • Prüfung möglicher Datenschutzverletzungen ohne unangemessene Verzögerung
  • Informationssicherheitstrainings beim Onboarding und mindestens jährlich

Export, Löschung & Exit

Kunden können Export und vorzeitige Löschung ihrer Daten anfordern. Bei Vertragsende ist ein strukturierter Export möglich; Kundendaten werden innerhalb von 30 Tagen gelöscht, sofern nichts anderes vereinbart ist.

  • Definierter, geloggter Anfrageprozess
  • Bestätigung des Löschdatums an Kunden
  • Support für Beendigung oder Migration

Deployment-Option

Supedio On-Prem Solution für erhöhte Datenkontrolle

Für Organisationen mit strengen Datenschutz-, Compliance- oder Infrastrukturvorgaben kann die PEDIF-nahe Verarbeitung auch als On-Prem-Modell betrieben werden. Dabei läuft die operative Runtime in der kundeneigenen Infrastruktur; Supedio unterstützt weiterhin Produkt, Updates, Fingerprint-Erstellung, Workflow-Konfiguration und Service-Onboarding.

Runtime in Kundenumgebung

Die Kernverarbeitung wird in die private Umgebung des Kunden gebracht. Dokumente können empfangen, verarbeitet, konvertiert und geroutet werden, ohne dass operative Daten die kundenkontrollierte Systemumgebung verlassen müssen.

EPIC Live & DTC

EPIC Live bildet die Extraktionsruntime; DTC übernimmt Workflow und Orchestrierung. Eingänge können über API, E-Mail, SFTP oder AS2 verarbeitet werden.

Zielformate & Use Cases

Typische Ausgaben sind EDI, CSV, Excel, XML oder kundenspezifische Formate. Geeignet ist das Modell unter anderem für PDF-to-EDI, Rechnungsverarbeitung, Bestellautomatisierung, Lieferavis- und Auftragsantwort-Prozesse.

Geteiltes Betriebsmodell

Kunden können eigene Standards für Netzwerkzugriff, TLS-Terminierung, Nutzerrechte, Logging, Monitoring, Backups und Disaster Recovery anwenden; Supedio liefert Anwendung, Updates, Workflow- und Fingerprint-Expertise.

Häufige Fragen

Antworten für Datenschutz-, Security- und Procurement-Teams

Ist Supedio selbst nach ISO 27001 zertifiziert?+
Nein. Für Supedio selbst wird kein ISO-27001-Zertifizierungsclaim erhoben. Belegt sind ein internes ISMS, das auf etablierten Best Practices und Anforderungen der ISO/IEC 27001 basiert, sowie Hosting ausschließlich bei ISO-27001-zertifizierten Cloud-Providern. Supedio ist nach DIN EN ISO 9001:2015 zertifiziert.
Wie ist die Seite im NIS2-Kontext zu lesen?+
Die Seite ist als strukturierter Due-Diligence-Überblick für NIS2-orientierte Fragen aufgebaut. Sie beschreibt Governance, Risiko, Zugriffsschutz, Incident Management, Business Continuity, Datenminimierung und Nachweisführung, ohne eine pauschale NIS2-Konformität zu behaupten.
Wer ist als externe Datenschutzbeauftragte benannt?+
Supedio hat Andrea Prinz, Datenschutz Prinz GmbH, mit Wirkung ab 01.11.2025 als externe Datenschutzbeauftragte benannt. Die Tätigkeit erfolgt weisungsfrei und ist der Geschäftsleitung unmittelbar unterstellt.
Wo werden Daten gespeichert?+
Die Datenhaltung erfolgt über den gesamten Lebenszyklus innerhalb der Europäischen Union. Das Hosting erfolgt ausschließlich bei ISO-27001-zertifizierten Cloud-Providern.
Wer kann Kundendokumente sehen?+
Standard ist No-touch-Verarbeitung. Support arbeitet normalerweise mit Systemlogs. Ein Zugriff auf Kundendokumentinhalte ist nur bei echten Fehlerfällen vorgesehen, wenn das Problem nicht allein anhand von Logs gelöst werden kann; der Zugriff ist auf benannte, autorisierte Operations-Personen beschränkt, wird geloggt und überwacht.
Wie lange werden operative Daten gespeichert?+
Operative Daten werden spätestens 30 Tage nach Verarbeitung gelöscht, sofern nichts anderes vereinbart ist. Backups mit den Daten werden innerhalb der 14-tägigen Backup-Retention überschrieben.
Werden Kundendaten zum Training von KI-Modellen genutzt?+
Nein. Kundendaten werden nicht zum Training von KI-Modellen verwendet. Reale Kundendokumente werden nur verarbeitet, wenn dies zur Leistungserbringung oder Fehlersuche erforderlich ist und eine Kundenfreigabe vorliegt.
Wann ist die On-Prem Solution sinnvoll?+
Die On-Prem Solution ist sinnvoll für Unternehmen, die PEDIF-nahe Dokumentenautomatisierung und EDI-Fähigkeiten nutzen möchten, aber operative Verarbeitung, Runtime-Dokumente, Logs und Sicherheitskontrollen in der eigenen Infrastruktur halten wollen.
Können Kunden Export oder vorzeitige Löschung anfordern?+
Ja. Kunden können Export und vorzeitige Löschung anfordern. Dies erfolgt über einen definierten, geloggten Anfrageprozess mit Bestätigung.

Hinweis: Diese Seite ist ein öffentlicher, kuratierter Überblick und ersetzt keine vertragliche Vereinbarung, keinen AVV/DPA und kein vollständiges Auditpaket. Detaillierte Nachweise sollten kontrolliert bereitgestellt werden.

Kontaktieren Sie uns

Fragen oder Hilfe bei der richtigen Auswahl benötigt?

Unternehmensinformationen

Supedio GmbH
Dresden, Germany
CEO: Marcus Ehrenburg