Sicherheit — GeriOPS Pro

Unser Sicherheitsversprechen

GeriOPS Pro verarbeitet die sensibelsten Daten, die es im deutschen Gesundheitswesen gibt — Gesundheitsdaten von Patienten. Deshalb ist Sicherheit bei uns nicht ein Feature, sondern die Basis jeder technischen und organisatorischen Entscheidung.

Wir setzen auf Defense in Depth: mehrere unabhängige Sicherheitsschichten, die ineinandergreifen, sodass der Ausfall einer Schicht die Integrität des Gesamtsystems nicht gefährdet.

Hosting in Deutschland

ISO-27001-zertifiziertes Rechenzentrum in Frankfurt. Keine Übermittlung in Drittländer — nie.

End-to-End verschlüsselt

TLS 1.3 mit Forward Secrecy im Transport, AES-256 in der Speicherung. Schlüssel getrennt gelagert.

Rollenbasierter Zugriff

Jeder sieht nur, was er sehen darf. 2FA für Admin-Rollen. Session-Timeout nach 20 Minuten Inaktivität.

Lückenloser Audit-Trail

Jeder Zugriff auf Patientendaten mit Nutzer-ID und Zeitstempel — revisionssicher, unveränderlich.

Penetration-Tests

Regelmäßige externe Audits. Continuous Monitoring 24/7. Dependency-Scanning gegen CVE-Datenbank.

Wiederherstellung

RTO 4h · RPO 1h. Tägliche georedundante Backups mit 30 Tagen Retention.

Compliance

DSGVO-konform — Verarbeitung ausschließlich nach AVV (Art. 28 DSGVO).
BDSG-BT Besonderer Teil (§ 22) berücksichtigt bei Gesundheitsdaten.
HL7 FHIR R4 — standardkonforme Schnittstellen zu KIS-Systemen.
ISO 27001 ready — unser Information Security Management System (ISMS) ist auf die Zertifizierung ausgelegt.

Verantwortungsvolle Offenlegung

Wenn Sie eine Sicherheitslücke entdecken, melden Sie sie uns bitte unter security@geriops.pro (PGP-Schlüssel auf Anfrage). Wir bestätigen Ihren Bericht innerhalb von 24 Stunden und halten Sie über den Fortschritt der Behebung auf dem Laufenden.

Wir bitten um eine Karenzzeit von mindestens 90 Tagen vor einer öffentlichen Veröffentlichung der Schwachstelle. Im Rahmen unserer Coordinated Disclosure Policy benennen wir Sie gern — auf Wunsch auch anonym.

Notfall- & Wiederherstellungsplan

Im unwahrscheinlichen Fall eines Datenverlusts oder Systemausfalls greift unser dokumentierter Disaster-Recovery-Plan:

Parameter	Wert	Bedeutung
RTO	4 Stunden	Maximale Ausfallzeit bis zur Wiederherstellung
RPO	1 Stunde	Maximaler Datenverlust im Katastrophenfall
Backup	Täglich · 30 Tage	Georedundant, AES-256-verschlüsselt
Benachrichtigung	≤ 2 Stunden	Alle Kundenadministratoren per E-Mail

Sicherheitsaudit für Ihr Haus?

Wir stellen Ihnen gern unsere vollständige Sicherheitsdokumentation zur Verfügung — TOMs, Netzwerk-Diagramm und Audit-Reports auf Anfrage.

security@geriops.pro

Sicherheit & Compliance