Legal
Security / TOMs Overview / Sicherheits- und TOM-Übersicht
Technical and organisational measures — English + German
- Brand
- Nidai
- Owner / Inhaber
- Mohamed Essam Mohamed Shafey
- Address / Anschrift
- Frankfurter Allee 281, 10317 Berlin, Germany
- Website
- https://nidai.eu
- Email / E-Mail
- hallo@nidai.eu
- Phone / Telefon
- +49 157 51456670
- Legal form / Rechtsform
- Einzelunternehmen (sole proprietorship, not registered in the commercial register)
- VAT / USt.
- VAT is not charged pursuant to § 19 UStG (Kleinunternehmerregelung).
- Tax / Steuer
- Steuernummer pending; USt-IdNr. pending.
1. Access control / Zugriffskontrolle
Role-based access to systems; least-privilege principle; individual accounts where feasible; removal of access after project end or role change.
Rollenbasierter Zugriff; Least-Privilege-Prinzip; individuelle Konten soweit möglich; Entzug von Zugängen nach Projektende oder Rollenwechsel.
2. Authentication / Authentifizierung
Password-based and provider-based authentication where available; administrative accounts should use multi-factor authentication where supported.
Passwort- und Anbieter-Authentifizierung, soweit verfügbar; Administratorkonten sollten Multi-Faktor-Authentifizierung nutzen, soweit unterstützt.
3. Encryption / Verschlüsselung
TLS/HTTPS for data transmission. Provider-managed encryption at rest where available, including database backups managed by our database/backup provider.
TLS/HTTPS für Übertragung. Anbieterbezogene Verschlüsselung im Ruhezustand soweit verfügbar, einschließlich der von unserem Datenbank-/Backup-Anbieter verwalteten Datenbank-Backups.
4. Segregation / Trennung
Logical separation of customer data through database/project structure, application controls and access permissions where technically feasible.
Logische Trennung von Kundendaten durch Datenbank-/Projektstruktur, Anwendungskontrollen und Zugriffsrechte, soweit technisch möglich.
5. Backups
Provider-managed daily backups and point-in-time recovery (currently a 7-day rolling window). No additional application-layer backups unless later implemented.
Anbieterverwaltete tägliche Backups und Point-in-Time-Recovery (derzeit rollierendes 7-Tage-Fenster). Keine zusätzlichen Application-Layer-Backups, sofern später nicht implementiert.
6. Logging and monitoring / Protokollierung und Monitoring
Application and provider logs may be used for security, debugging and incident response. Logs should be minimised and protected.
Anwendungs- und Anbieterlogs können für Sicherheit, Debugging und Incident Response genutzt werden. Logs sollten minimiert und geschützt werden.
7. Incident response / Incident Response
Suspected security incidents should be triaged, contained, documented and communicated to affected customers where required. Personal data breaches are handled according to GDPR and applicable local law.
Verdächtige Sicherheitsvorfälle sollten bewertet, eingedämmt, dokumentiert und, soweit erforderlich, betroffenen Kunden mitgeteilt werden. Datenschutzverletzungen werden nach DSGVO und anwendbarem lokalem Recht behandelt.
8. Development and deployment / Entwicklung und Deployment
Changes should be reviewed and tested before deployment where feasible. Secrets and API keys should not be committed to repositories. Exposed credentials must be rotated immediately.
Änderungen sollten, soweit möglich, vor Deployment geprüft und getestet werden. Secrets und API-Schlüssel dürfen nicht in Repositories gespeichert werden. Offengelegte Zugangsdaten müssen sofort rotiert werden.
9. Provider management / Anbietermanagement
Nidai selects providers based on functionality, reliability, security and data protection suitability. Sub-processors are listed separately.
Nidai wählt Anbieter nach Funktionalität, Zuverlässigkeit, Sicherheit und Datenschutz-Eignung aus. Unterauftragsverarbeiter sind separat aufgelistet.
10. Customer responsibilities / Kundenpflichten
Customers must manage their own user permissions, lawful input data, internal notices, consent where required, secure passwords and correct configuration.
Kunden müssen eigene Nutzerrechte, rechtmäßige Eingabedaten, interne Hinweise, erforderliche Einwilligungen, sichere Passwörter und korrekte Konfiguration verwalten.