Skip to content
Back to site

Legal

Security / TOMs Overview / Sicherheits- und TOM-Übersicht

Technical and organisational measures — English + German

Brand
Nidai
Owner / Inhaber
Mohamed Essam Mohamed Shafey
Address / Anschrift
Frankfurter Allee 281, 10317 Berlin, Germany
Website
https://nidai.eu
Email / E-Mail
hallo@nidai.eu
Phone / Telefon
+49 157 51456670
Legal form / Rechtsform
Einzelunternehmen (sole proprietorship, not registered in the commercial register)
VAT / USt.
VAT is not charged pursuant to § 19 UStG (Kleinunternehmerregelung).
Tax / Steuer
Steuernummer pending; USt-IdNr. pending.
This overview summarises Nidai's technical and organisational measures. It should be adapted as the technical architecture matures. / Diese Übersicht fasst die technischen und organisatorischen Maßnahmen von Nidai zusammen. Sie sollte mit Reifung der technischen Architektur angepasst werden.

1. Access control / Zugriffskontrolle

Role-based access to systems; least-privilege principle; individual accounts where feasible; removal of access after project end or role change.

Rollenbasierter Zugriff; Least-Privilege-Prinzip; individuelle Konten soweit möglich; Entzug von Zugängen nach Projektende oder Rollenwechsel.

2. Authentication / Authentifizierung

Password-based and provider-based authentication where available; administrative accounts should use multi-factor authentication where supported.

Passwort- und Anbieter-Authentifizierung, soweit verfügbar; Administratorkonten sollten Multi-Faktor-Authentifizierung nutzen, soweit unterstützt.

3. Encryption / Verschlüsselung

TLS/HTTPS for data transmission. Provider-managed encryption at rest where available, including database backups managed by our database/backup provider.

TLS/HTTPS für Übertragung. Anbieterbezogene Verschlüsselung im Ruhezustand soweit verfügbar, einschließlich der von unserem Datenbank-/Backup-Anbieter verwalteten Datenbank-Backups.

4. Segregation / Trennung

Logical separation of customer data through database/project structure, application controls and access permissions where technically feasible.

Logische Trennung von Kundendaten durch Datenbank-/Projektstruktur, Anwendungskontrollen und Zugriffsrechte, soweit technisch möglich.

5. Backups

Provider-managed daily backups and point-in-time recovery (currently a 7-day rolling window). No additional application-layer backups unless later implemented.

Anbieterverwaltete tägliche Backups und Point-in-Time-Recovery (derzeit rollierendes 7-Tage-Fenster). Keine zusätzlichen Application-Layer-Backups, sofern später nicht implementiert.

6. Logging and monitoring / Protokollierung und Monitoring

Application and provider logs may be used for security, debugging and incident response. Logs should be minimised and protected.

Anwendungs- und Anbieterlogs können für Sicherheit, Debugging und Incident Response genutzt werden. Logs sollten minimiert und geschützt werden.

7. Incident response / Incident Response

Suspected security incidents should be triaged, contained, documented and communicated to affected customers where required. Personal data breaches are handled according to GDPR and applicable local law.

Verdächtige Sicherheitsvorfälle sollten bewertet, eingedämmt, dokumentiert und, soweit erforderlich, betroffenen Kunden mitgeteilt werden. Datenschutzverletzungen werden nach DSGVO und anwendbarem lokalem Recht behandelt.

8. Development and deployment / Entwicklung und Deployment

Changes should be reviewed and tested before deployment where feasible. Secrets and API keys should not be committed to repositories. Exposed credentials must be rotated immediately.

Änderungen sollten, soweit möglich, vor Deployment geprüft und getestet werden. Secrets und API-Schlüssel dürfen nicht in Repositories gespeichert werden. Offengelegte Zugangsdaten müssen sofort rotiert werden.

9. Provider management / Anbietermanagement

Nidai selects providers based on functionality, reliability, security and data protection suitability. Sub-processors are listed separately.

Nidai wählt Anbieter nach Funktionalität, Zuverlässigkeit, Sicherheit und Datenschutz-Eignung aus. Unterauftragsverarbeiter sind separat aufgelistet.

10. Customer responsibilities / Kundenpflichten

Customers must manage their own user permissions, lawful input data, internal notices, consent where required, secure passwords and correct configuration.

Kunden müssen eigene Nutzerrechte, rechtmäßige Eingabedaten, interne Hinweise, erforderliche Einwilligungen, sichere Passwörter und korrekte Konfiguration verwalten.