SiRa Agency AC Consulting
Security & Datenschutz

Daten rein. Deliverables raus. Und dazwischen: klare Regeln.

AC Consulting ist asynchron – das funktioniert nur, wenn der Umgang mit Dokumenten, Zugängen und Kontext sauber geregelt ist. Deshalb arbeiten wir mit Sicherheits‑Leveln, die ihr je Auftrag festlegt.

Grundprinzipien

  • Need‑to‑know: Zugriff nur für die Personen, die am Auftrag arbeiten.
  • Minimierung: Nur die Daten, die für das Deliverable erforderlich sind.
  • Nachvollziehbarkeit: Änderungen/Uploads sind zeitlich nachvollziehbar (Projekt‑Kontext).
  • Trennung: Kundenbereiche sind logisch getrennt (kein Vermischen von Projektdaten).

Organisation & Recht

  • Auf Wunsch: NDA / Geheimhaltungsvereinbarung.
  • Auf Wunsch: AVV (Auftragsverarbeitung) nach DSGVO, falls erforderlich.
  • Klare Kommunikationswege: schriftlich, ohne Call‑Overhead.
  • Verantwortlichkeiten: Ihr bestimmt Level & Freigaben, wir liefern nach Vorgaben.

Sicherheits‑Level (wählbar je Projekt)

Nicht jedes Projekt braucht „Nuklear‑Modus“. Du wählst das passende Level – wir setzen es durchgängig für Upload, Speicherung, Zugriff und Auslieferung um.

Basic
Solide Standard‑Sicherheit für normale Dokumente & Review‑Artefakte.
  • Login‑geschützter Kundenbereich (pro Kunde getrennte Workspaces).
  • Uploads werden nach Bestätigung aus dem Webroot verschoben.
  • Serverseitige Rechte + eindeutige, nicht erratbare Dateinamen.
  • Download nur nach Authentifizierung (keine Direktlinks).
Protected
Für vertrauliche Inhalte: „weniger Angriffsfläche“ + Verschlüsselung at‑rest.
  • Uploads werden sofort nach Abschluss verschlüsselt abgelegt.
  • Metadaten minimiert (nur nötig für Betrieb/Abrechnung).
  • Striktere Session‑Regeln, Rate‑Limit, bruteforce‑Schutz.
  • Optional: separate Projekt‑PIN zusätzlich zum Login.
Vault
Für sehr sensible Unterlagen: doppeltes „Wegschließen“ + Archiv‑Strategie.
  • Upload → verschlüsselt außerhalb Webroot → ZIP‑Archiv → erneut verschlüsselt.
  • Zusätzliche Ablage auf lokalem/isoliertem Storage (nicht öffentlich erreichbar).
  • Revisionsfähige Übergabe‑Logs (wann hochgeladen/abgerufen).
  • Regelmäßiges Rotieren/Erneuern der Verschlüsselungs‑Keys.
Ultra
Maximal‑Schutz: „Zero‑Trust“‑Denke, besonders für IP‑kritische Projekte.
  • Optional: clientseitige Vor‑Verschlüsselung (Passphrase beim Kunden).
  • Key‑Trennung (z. B. Split‑Key / getrennte Aufbewahrung).
  • Strikteste Policies: kurze Sessions, IP‑Allowlist optional, 2‑Faktor optional.
  • Auslieferung bevorzugt als verschlüsseltes Paket + separate Schlüssel‑Kommunikation.
Uploads: so verarbeiten wir Dateien
  • 1) Upload starten: Datei(en) werden im Kundenbereich hochgeladen (HTTPS).
  • 2) Bestätigung: sobald der Upload vollständig ist, wird die Datei aus dem öffentlich erreichbaren Bereich entfernt.
  • 3) Verschieben: Ablage in einen Speicher außerhalb des Webroots (kein Direktzugriff per URL möglich).
  • 4) Verschlüsseln: je nach Level werden Dateien verschlüsselt gespeichert (at‑rest) – mindestens ab Protected.
  • 5) Archivieren: optional ZIP‑Paket pro Lieferung/Meilenstein, bei Vault/Ultra zusätzlich zweite Verschlüsselung.
  • 6) Isoliertes Backup: bei Vault/Ultra Kopie auf getrenntem Storage/Server (nicht öffentlich erreichbar).
Downloads & Rücklieferungen
  • Downloads erfolgen nur über den Login‑Flow (keine „öffentlichen“ Links).
  • Lieferdateien können als einzelne Datei oder Paket bereitgestellt werden.
  • Bei sensiblen Projekten: Schlüssel/Passphrase separat (anderer Kanal).
  • Optional: Ablaufdatum für Links/Artefakte + Löschkonzept pro Projekt.

Speicherung & Löschung

  • Projektbezogene Ablage im jeweiligen Kundenbereich.
  • Retention nach Absprache: z. B. 30/90 Tage oder „bis Abnahme“.
  • Löschkonzept: auf Wunsch vollständige Datenlöschung nach Projektende.
  • Export möglich: vollständiges Paket (Dateien + Verlauf) vor Löschung.

Was wir niemals brauchen

  • Passwörter, Token, private Keys, MFA‑Codes
  • Produktiv‑Zugänge ohne zeitliche Begrenzung
  • Komplette Datenbank‑Dumps (wenn nicht zwingend nötig)
  • Personaldaten, Gesundheitsdaten, unnötige PII
Quick‑Start Empfehlung: Startet mit Level 2 und sendet uns ein kleines Set (z. B. 10 Tickets + 1 Doku). Wir liefern ein verwertbares Ergebnis – und ihr entscheidet danach, ob wir Level, Umfang oder Prozesse anpassen.