Skip to main content

Vertrauen & Sicherheit

Trust Center für Sicherheit, Zahlungen und Verfügbarkeit.

Für Betriebe in Gastronomie, Hotellerie, Einzelhandel und E-Commerce. Online-Karteneingaben laufen über die gehosteten Kartenfelder unseres PCI-DSS-Level-1-zertifizierten Zahlungsabwicklers, sodass rohe Karteninhaberdaten Kotao-Systeme nie berühren; diese Architektur unterstützt eine PCI DSS SAQ A-Posture für berechtigte Händler. Workspace-Rollen für jeden Vorgang. Prüfbare Exporte für KassenSichV, GoBD und DATEV. EU-gehostet als Standard.

Standards

Was standardmäßig abgesichert ist.

  • EU-Datenresidenz

    EU-gehostet, mit dokumentierten Unterauftragsverarbeitern, AVV und SCCs für jede grenzüberschreitende Übertragung.

  • Verschlüsselung überall

    TLS 1.3 bei der Übertragung, AES-256 im Ruhezustand und getrennte Schlüssel für sensible Kundendaten.

  • PCI-DSS Zahlungspartner

    Die Online-Kartenerfassung läuft über einen PCI Level 1 Service Provider: gehostete Kartenfelder tokenisieren Kartendaten und halten PAN aus der Kotao-Anwendungsumgebung heraus.

  • DSGVO und AVV

    Auftragsverarbeitungsvertrag in jedem Plan, SCCs für Unterauftragsverarbeiter und nachvollziehbare Audit-Logs.

  • Starke Kundenauthentifizierung

    PSD2-konforme 3DS2-Flows mit möglichst wenig Reibung. Ausnahmen werden automatisch geprüft.

  • Laufendes Monitoring

    Logging und Alarmierung auf kritischen Pfaden. Dokumentierter Incident-Response-Prozess.

Operative Kontrollen

Rollen, Audit und 2FA, standardmäßig aktiv.

  1. 01 Rollenbasierte Workspace-Rechte
  2. 02 Audit-Trail für Admin-Aktionen
  3. 03 Session- und Gerätekontrollen
  4. 04 2FA und Step-up-Authentifizierung
  5. 05 Payment-Tokenisierung
  6. 06 Auftragsverarbeitungsverträge

Assurance-Roadmap

SOC 2 Type II und ISO 27001 stehen auf der öffentlichen Trust-Roadmap.

Kotao baut das Nachweisprogramm und die Roadmap für Kontrollen in Richtung SOC 2 Type II und ISO 27001 auf. Bis externe Prüfberichte verfügbar sind, veröffentlichen wir hier die aktuelle Sicherheitslage, Unterauftragsverarbeiter, AVV und Incident-Prozess, statt eine noch nicht erreichte Zertifizierung zu suggerieren.

  • PCI DSS SAQ A-orientierte Online-Kartenerfassung über die gehosteten Kartenfelder des Zahlungsabwicklers
  • SOC 2 Type II Readiness für Security-, Availability- und Confidentiality-Kontrollen
  • ISO 27001 ISMS-Roadmap für Policies, Risikomanagement, Zugriffsreviews und Lieferantenkontrollen

Verfügbarkeit

Status und Incidents werden öffentlich kommuniziert.

Auf der öffentlichen Statusseite dokumentieren wir aktive Incidents, eingeschränkte Dienste, Wartungsfenster und Updates nach Incidents für kundenrelevante Kotao-Dienste.

Kasse führen. Bücher führen. Team führen.

Kasse, Buchungen, Zahlungen, Waren, Lohn, Website, Reporting. Ein Produkt. Eine Rechnung. Keine Plugin-Kette zu pflegen.