INXM / Datensicherheit
So schützen wir Ihre Daten.
Technische und organisatorische Maßnahmen, mit denen INXM Kundendaten schützt — Verschlüsselung, Hosting, Zugriffsrechte, Audit, Auftragsverarbeiter, Vorfallsreaktion. Gebaut für die Prüfung, die eine europäische Aufsichtsbehörde tatsächlich durchführt, nicht für eine Demo.
01
Hosting und Datenresidenz
Sämtliche Kundendaten von INXM werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert. Unsere primäre Hosting-Region ist Frankfurt, Deutschland; sekundäre Regionen liegen ausschließlich in der EU. Daten verlassen die EU-Perimeter nicht ohne Ihre ausdrückliche, dokumentierte Einwilligung.
Infrastrukturanbieter werden auf DSGVO-Konformität geprüft, mindestens jährlich auditiert und unterliegen — sofern relevant — Standardvertragsklauseln.
02
Verschlüsselung
Während der Übertragung
Der gesamte Datenverkehr zu und von INXM ist mit TLS 1.3 verschlüsselt (HSTS aktiv). Veraltete Protokolle (TLS 1.0/1.1, SSL) sind deaktiviert.
Im Ruhezustand
Kundendaten im Ruhezustand sind mit AES-256-GCM verschlüsselt. Schlüssel werden in einem dedizierten KMS verwaltet, mit quartalsweiser Rotation und strikter Berechtigungstrennung.
Geheimnisse
API-Token, Zugangsdaten und Auftragsverarbeiter-Geheimnisse werden in einem hardwaregestützten Vault gespeichert. Keine Geheimnisse im Quellcode oder in Umgebungsvariablen.
03
Zugriffsrechte
Jeder interne Zugriff auf Kundendaten wird mit Identität, System und Zweck protokolliert. Produktivzugriffe erfordern Hardware-Key-MFA und die Freigabe einer zweiten Engineer-Person. Stehende Zugriffsrechte werden nach dem Prinzip der geringsten Privilegien vergeben und quartalsweise überprüft.
Kundenseitiger Zugriff erfolgt über Single Sign-On mit Ihrem IdP (OIDC / SAML). Die rollenbasierten Berechtigungen in Orchestrator bilden Ihre bestehende Organisationsstruktur ab.
04
Audit-Trail und Plan-Lineage
Jede Plan-Ausführung wird vollständig protokolliert: Intent → Compile → Approve → Execute → Result. Jeder Schritt erfasst Operator, System, Eingaben, Ausgaben und einen inhaltsadressierten Hash. Der Audit-Trail ist unveränderlich, exportierbar und auf die Art von Aufsichtsprüfung ausgelegt, die europäische Industrieunternehmen tatsächlich erleben.
05
Auftragsverarbeiter
INXM führt eine aktuelle Liste der Auftragsverarbeiter, die zur Erbringung des Dienstes eingesetzt werden. Die Liste wird auf Anfrage bereitgestellt und vor dem Einsatz neuer Auftragsverarbeiter aktualisiert. Kunden können neuen Auftragsverarbeitern gemäß Auftragsverarbeitungsvertrag (AVV) widersprechen.
Aktuelle Liste anfordern unter hello@inxm.ai.
06
Backups und Resilienz
Kundendaten werden täglich gesichert; Point-in-Time-Recovery steht für die letzten 30 Tage zur Verfügung. Backups werden mit separaten Schlüsseln verschlüsselt. Disaster-Recovery-Übungen finden mindestens halbjährlich statt.
07
Vorfallsreaktion
Sicherheitsvorfälle werden rund um die Uhr von Bereitschaftsingenieur:innen bearbeitet. Bestätigte Verletzungen des Schutzes personenbezogener Daten werden betroffenen Kunden und der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet — gemäß Art. 33 DSGVO.
Verdacht auf eine Schwachstelle oder einen Vorfall bitte an security@inxm.ai.
08
Compliance
INXM ist ausgerichtet auf:
- DSGVO — vollständige Betroffenenrechte, Verarbeitung ausschließlich in der EU, dokumentierte Auftragsverarbeiter, AVV auf Anfrage.
- EU AI Act — das Compiled-AI-Design unterstützt die im AI Act erwarteten Anforderungen an Transparenz, Auditierbarkeit und menschliche Aufsicht.
- Branchenstandards — Ausrichtung an ISO/IEC 27001-Kontrollen; SOC-2-Programm in Vorbereitung.
AVV, Liste der Auftragsverarbeiter und Audit-Readiness-Paket sind auf Anfrage erhältlich.
09
Kontakt
Sicherheit security@inxm.ai Datenschutz dpo@inxm.ai Allgemein hello@inxm.aiStand · March 2026