Compliance-Zertifizierungen

Onesurance alle relevanten EU-Vorschriften und strebt die Zertifizierung nach ISO 27001 im ersten Quartal 2026 an. Diese Seite gibt einen Überblick über unseren Compliance-Status, die wichtigsten Kontrollen und die Zertifizierungsplanung.

Zertifizierungen Übersicht

ISO 27001:2022 – Informationssicherheitsmanagement

Status: Zertifizierung geplant für Q1 2026
Kontrollen: 114 Kontrollen vollständig implementiert
Umfang: Vollständiges ISMS seit 2024 in Betrieb

✓ Risikobewertungen durchgeführt und dokumentiert
✓ Vierteljährliche interne Audits
✓ Managementbewertungen aktiv
→ Externes Zertifizierungsaudit: Q1 2026

DSGVO (GDPR) – Datenschutz

Status: ✓ Vollständig konform seit 2023
Datenschutzbeauftragter: onesurance

Wichtigste Maßnahmen:

• Verzeichnis der Verarbeitungsaktivitäten (ROPA)

• Datenschutz-Folgenabschätzungen (DPIA)

• Verarbeitungsvereinbarungen mit allen Unterverarbeitern

• Privacy by Design in der Produktentwicklung

• Meldeverfahren für Datenlecks innerhalb von 72 Stunden

• Sensibilisierungstraining für alle Mitarbeiter

Letzte DPIA: November 2024 | Nächstes Audit: Juli 2026

DORA – Digitale operative Resilienz

Status: ✓ Konform seit Januar 2025
Geltungsbereich: IT-Risikomanagement für den Versicherungssektor

Compliance-Bereiche:

• ICT-Risikomanagement-Rahmenwerk

• Vorfallmanagement und Berichterstattung

• Jährliches Resilienz-Testprogramm

• Risikomanagement durch Dritte

• Austausch von Informationen über Bedrohungen in der Branche

Resilienztests: Jährlich geplant | Nächste Überprüfung: Q2 2026

EU-KI-Gesetz

Status: Überwachung und Vorbereitung (Frist Dezember 2026)
Klassifizierung: Begrenztes/minimales Risiko für Systeme

KI-Systeme:

• Churn-Prognose (begrenztes Risiko)

• CLV-Berechnung (minimales Risiko)

• Next Best Product Empfehlungen (begrenztes Risiko)

• Defend Agent Conversational AI (begrenztes Risiko)

Maßnahmen: Transparenz, menschliche Überwachung, Bias-Überwachung, vollständige Dokumentation

Sicherheits- und Auditprogramm

Audits und Tests

Remediation-SLAs:

• Kritiek: <48 uur

• Hoog: <72 uur

• Gemiddeld: <1 maand

• Laag: <3 maanden

Wichtigste Sicherheitskontrollen

Datenverschlüsselung:

• AES-256 für gespeicherte Daten

• TLS 1.3 für Daten während der Übertragung

• Vollständige Backup-Verschlüsselung

Zugangskontrolle:

• Multi-Faktor-Authentifizierung (MFA) obligatorisch

• Rollenbasierte Zugriffskontrolle (RBAC)

• Single Sign-On (SSO) über SAML 2.0

• IP-Whitelisting verfügbar

Überwachung:

• 24/7-Sicherheitsoperationszentrum (SOC)

• Echtzeit-Warnmeldungen

• Incident response <1 uur

• Vollständige Audit-Protokollierung

Standort:

• Datenresidenz: EU (Azure Westeuropa)

• Backup-Standort: EU-georedundant

• Keine Datenübertragung außerhalb der EU

Schulung & Sensibilisierung

Mitarbeiterprogramm:

• Onboarding-Sicherheitsschulung (obligatorisch)

• Jährliche Compliance-Auffrischungsschulung

• Vierteljährliche Phishing-Simulationen

• Datenschutzschulung für alle Datenverarbeiter

Aktuelle Zahlen:

• Trainingsabschlussquote: 100 %

• Phishing simulation success: <5% klikken

Due-Diligence-Unterstützung

Verfügbare Dokumentation

Für Kunden und Interessenten können wir folgende Unterlagen zur Verfügung stellen:

Richtlinien und Verfahren:

• Anwendbarkeitserklärung (SoA)

• Sicherheits- und Datenschutzrichtlinien

• Notfallplan

• Geschäftskontinuitätsplan

Bewertungsberichte:

• Zusammenfassung der Risikobewertung

• Zusammenfassungen von Penetrationstests

• Interne Auditberichte (Zusammenfassung)

Vertraglich:

• Datenverarbeitungsvereinbarungen (DPA)

• Liste der Unterauftragsverarbeiter mit Standorten

• Prüfungsrechtklauseln

Reaktionszeit: Sicherheitsfragebögen innerhalb von 5 Werktagen

Weitere Informationen

Fragen zur Compliance:
→ E-Mail: onesurance

Due Diligence:
→ Detaillierte Dokumentation auf Anfrage erhältlich
→ Vor-Ort-Audits für Unternehmenskunden möglich