Vertrauenszentrum

Nachvollziehbare Kontrollen, klare Verantwortlichkeiten und belegbare Aussagen.

Dynafis bildet die kontrollierte Schicht zwischen Originaldokument, strukturierten Rechnungsdaten, versionierten Regeln, KI-Vorschlägen, menschlicher Entscheidung und Export.

ISO-27001-Readiness in Vorbereitung Sicherheitsorganisation, Risikomanagement und technische Baseline werden an anerkannten Informationssicherheitskontrollen ausgerichtet. Dynafis behauptet derzeit weder eine ISO-27001-Zertifizierung noch eine formale Konformität.

Dynafis unterstützt technische Prüfung, Datenqualität und dokumentierte Entscheidungen. Es ersetzt keine Steuer- oder Rechtsberatung.

Inhaltlich geprüft: 5. Juli 2026

01

Verantwortung & Kontakt

Betreiber

R. Redivo, dynafis / General Informatics. Vollständige Anbieterangaben stehen im Impressum.

Sicherheitskontakt

Vertrauliche Meldungen an support@dynafis.com mit dem Betreff „Security“. Bitte keine Kundendaten oder öffentlich nutzbaren Angriffsnachweise mitsenden.

support@dynafis.com

Datenschutzkontakt

Datenschutzanfragen an support@dynafis.com mit dem Betreff „Datenschutz“. Weitere Angaben stehen in der Datenschutzerklärung.

support@dynafis.com

Hilfe

Technische, Abrechnungs- und Produktanfragen über das Hilfeformular oder support@dynafis.com.

support@dynafis.com

02

Datenverarbeitung

Datenstandort

Die für ein Kundenkonto geltenden Hosting- und Speicherregionen werden im Vertrags- und Auftragsverarbeitungsprozess offengelegt. Dynafis veröffentlicht keine pauschale Regionsaussage ohne Betriebsnachweis.

Speicherkomponenten

PostgreSQL für Anwendungsdaten, S3-kompatibler Objektspeicher für Dokumente sowie Redis/RQ für begrenzte Verarbeitung und Warteschlangen.

Übertragung

Öffentliche Verbindungen werden per TLS geschützt. Webhook-Signaturen und Zeitfenster werden in den dafür vorgesehenen Integrationsabläufen geprüft.

Ruhende Daten

Verschlüsselung und Schlüsselverwaltung werden je aktivem Hosting- und Storage-Deployment als Betriebsnachweis dokumentiert. Nicht belegte Verschlüsselung wird nicht beworben.

Mandantentrennung

Arbeitsbereichs- und Mandantenbezug werden serverseitig ausgewertet. Rollen, Objektzugriff und API-Aktionen werden auf dem Server geprüft, nicht nur in der Oberfläche.

Löschung & Aufbewahrung

Anonyme Artefakte des kostenlosen Kurzchecks werden standardmäßig nach 24 Stunden zur Löschung vorgesehen. Freigeschaltete Berichte und Daten aus Arbeitsbereichen folgen getrennten, konfigurierten Aufbewahrungsregeln.

Backup & Wiederherstellung

Datensicherungen, Wiederherstellungstests und Zielwerte werden als interne Betriebsnachweise geführt. Eine Wiederherstellungszusage wird nur aus dokumentierten Tests abgeleitet.

Export & Portabilität

Geprüfte Rechnungsdaten und freigegebene Artefakte können über die jeweils unterstützten Exportformate und API-Abläufe ausgegeben werden.

03

KI-Transparenz

Anbieter und Modell

Externe KI-Dienste sind optional. Aktiver Anbieter, Modell, Zweck und Datenfluss müssen im technischen Lieferantenregister dokumentiert sein.

Übermittelte Daten

Es werden nur die für den jeweiligen Extraktions- oder Assistenzschritt erforderlichen Inhalte übermittelt. Vollständige Dokumente werden nur in Abläufen verwendet, die dies technisch benötigen und zulassen.

Kein Modelltraining durch Dynafis

Dynafis verwendet Kundendokumente und Rechnungsinhalte nicht zum Training eigener Modelle. Anbietertraining muss vertraglich und technisch deaktiviert sein, bevor echte Kundendaten übertragen werden.

Protokollierung & Speicherung

Eingaben und sensible Dokumentinhalte sollen nicht in Anwendungslogs erscheinen. Die Speicherung von KI-Antworten ist standardmäßig deaktiviert und erfordert einen begründeten, dokumentierten Anwendungsfall.

Kennzeichnung & Entscheidung

KI-Ausgaben werden als Vorschläge mit Herkunft und Konfidenzwert behandelt. Annahme, Änderung oder Ablehnung durch Menschen bleibt davon getrennt nachvollziehbar.

Regelbasierte Kontrollen

Formatdetektion, Schema- und Regelprüfungen, Summenabgleiche, Zugriffskontrollen und Exportgrenzen arbeiten unabhängig von generativer KI.

04

Lieferanten & Subprozessoren

Inhaltlich geprüft: 5. Juli 2026

Anbieter / KategorieZweckDatenkategorieRegionEinsatz
Vertraglich benannter Hosting-/Storage-AnbieterAnwendungsbetrieb und ObjektspeicherAnwendungsdaten und DokumenteIm AVV/DPA ausgewiesene RegionFür das jeweilige Kundenkonto offengelegt
Konfigurierter KI-AnbieterOptionale Extraktion und AssistenzErforderliche Inhaltsausschnitte; abhängig vom aktivierten AblaufGemäß Anbieter- und VertragskonfigurationNur bei aktivierter KI-Funktion und dokumentierter Freigabe
MollieOptionale ZahlungsabwicklungAbrechnungs- und TransaktionsdatenEU/EEANur bei aktivierter Mollie-Zahlung
PayPalOptionale ZahlungsabwicklungAbrechnungs- und TransaktionsdatenGemäß PayPal-VertragsunterlagenNur bei aktivierter PayPal-Zahlung
Brevo oder konfigurierter SMTP-AnbieterTransaktions- und Support-E-MailE-Mail-Adresse und erforderlicher NachrichteninhaltGemäß Anbieter- und VertragskonfigurationNur bei aktivierter E-Mail-Funktion

05

Sicherheitsorganisation

  • Sicherheitsereignisse werden klassifiziert, einem Verantwortlichen für Sicherheitsvorfälle zugewiesen, eingedämmt, dokumentiert und nachbereitet.
  • Vertrauliche Sicherheitsmeldungen werden über den angegebenen Kontakt entgegengenommen. Kundendaten gehören nicht in öffentliche Meldungen oder Proofs of Concept.
  • Änderungen durchlaufen Prüfung, Tests und nachvollziehbare Auslieferung. Notfalländerungen werden anschließend dokumentiert und geprüft.
  • Abhängigkeiten, Container und bekannte Schwachstellen werden regelmäßig geprüft; offene Befunde erhalten Verantwortliche und Fristen.
  • Betriebsstatus und sicherheitsrelevante Änderungen werden ohne interne Geheimnisse oder angriffserleichternde Details kommuniziert.