Trust Center · Vendor-Due-Diligence

Alles, was Ihr CISO fragen würde.

Live-Zertifizierungen, Sub-Processor-Liste, Data Residency, öffentliche SLA, Security Posture und Responsible-Disclosure-Verfahren. Eine einzige Seite, um die Due Diligence für alle zu beschleunigen, die Fortgale als Lieferant evaluieren.

4ISO-Zertifizierungen
EU onlyCore Data Residency
30 Min.IR-Response · 24/7
≤ 24hSecurity-Response

01 Zertifizierungen und Alignments

Vier aktive ISO-Zertifizierungen, durch Drittstellen verifiziert, zusätzlich zur operativen Ausrichtung an den wichtigsten europäischen Regulierungsrahmen.

ISO/IEC 27001

Informationssicherheits-Management

Informationssicherheits-Managementsystem. Jährliches Audit, Überwachung alle 12 Monate.

Gültigkeit · 2024-2027 PDF →
ISO 9001

Qualitätsmanagement

Qualitätsmanagementsystem. Referenz für operative Prozesse und Governance.

Gültigkeit · 2024-2027 PDF →
ISO 14001

Umweltmanagement

Umweltmanagementsystem. Messung und Reduktion der Umweltauswirkung der Services.

Gültigkeit · 2024-2027 PDF →
ISO 45001

Arbeits- und Gesundheitsschutz

Managementsystem für Arbeits- und Gesundheitsschutz. Schutz des operativen Personals.

Gültigkeit · 2024-2027 PDF →

Regulatorische Alignments

NIS2
Umsetzung der EU-Richtlinie

Posture ausgerichtet an den Anforderungen für wesentliche und wichtige Einrichtungen. Unterstützung des Meldeprozesses an das nationale CSIRT (24/72h).

DORA
EU-VO 2022/2554

Operativ ausgerichtet an den Anforderungen des Digital Operational Resilience Act für den europäischen Finanzsektor.

DSGVO
EU-VO 2016/679

Vollständige Ausrichtung. Strukturierte DPA (Art. 28) für jeden Kunden. DSFA auf Anfrage.

ENISA · CSIRT
Europäische Leitlinien

Ausgerichtet an den ENISA-Leitlinien zur Mindest-Baseline für Cybersecurity und am nationalen Cyber-Perimeter.

02 Data Residency

Alle operativen Daten (SOC-Telemetrie, Kunden-Logs, Kontaktdaten) werden in Rechenzentren in der Europäischen Union gehalten, vorrangig in Italien und anderen EU-Mitgliedstaaten. Keine kritischen Daten werden außerhalb der EU repliziert. Das Personal, das auf die Daten zugreift, ist vollständig europäisch und operiert vom Mailänder Hauptsitz aus.

SOC-Telemetrie / Kunden-Logs
🇮🇹 Italien
Backup & Cold Storage
🇪🇺 Europäische Union
E-Mail · Collaboration-Suite
🇪🇺 Europäische Union · EU Data Boundary
Öffentliche Website · CDN
🇪🇺 Europäische Union · EU-Edge
SOC-Operations
🇮🇹 Mailand · europäisches Personal
Anwendbares Recht
🇮🇹 Italien · europäisches Recht (DSGVO)

Kontrollierte Ausnahmen: Webfont-Laden (keine PII) und — nur mit ausdrücklicher Einwilligung des Nutzers — Analytics- und Marketing-Pixel. Etwaige Extra-EU-Übermittlungen erfolgen ausschließlich unter Standard Contractual Clauses (SCC 2021/914) und, soweit anwendbar, dem EU-US Data Privacy Framework.

Spezifische Anbieter unter NDA. Die detaillierte Liste der Infrastruktur-Provider, der genutzten Regionen und der DPAs ist in der Sub-Processor-Liste unten verfügbar und — in signierter Fassung — auf Anfrage an info@fortgale.com.

03 Sub-Processor-Liste

Liste der externen Auftragsverarbeiter (DSGVO Art. 28), die zur Erbringung der Services genutzt werden. Aktualisiert zum 5. Mai 2026. Kunden mit aktiver DPA werden mindestens 30 Tage vor jeder wesentlichen Änderung benachrichtigt.

Provider Zweck Region Vertrag
Microsoft Ireland Operations Ltd E-Mail, Teams, SharePoint, Bookings EU (Irland · NL) Microsoft DPA · Online Services Terms
EU-IaaS-Anbieter (unter NDA) Webhosting, Staging- und Produktionsumgebungen EU DPA + SCC 2021/914
Google Ireland Limited Google Fonts (Typografie-CDN) EU + US Google DPA + SCC + EU-US DPF
LinkedIn Ireland Unlimited Insight Tag (nur mit Einwilligung) EU + US LinkedIn DPA + SCC
Plausible Insights OÜ Privacy-first-Analytics (keine PII) EU Plausible DPA · EU-only

04 Öffentliche SLA

Die ausgewiesenen Werte sind Service-Ziele, die auf aktiven Retainer-Verträgen anwendbar sind und über die letzten 12 Monate gemessen werden. Kundenspezifische vertragliche SLAs werden im jeweiligen Service Agreement definiert.

30 Min.
IR-Response (laufender Vorfall)
24/7/365 · auf aktiven Retainern
1–4 h
Initiale Eindämmung
Abhängig von Scope und gewährtem Zugang
< 15 Min.
Detection-Zeit (MTTD)
Median bei MDR-Kunden (letzte 12 Monate)
< 60 Min.
Response-Zeit (MTTR)
Median · kritische Alerts
≤ 24 h
CSIRT-Meldung (NIS2)
Frühwarnung · Kundenunterstützung
< 24 Werkstunden
Sales-/Presse-Response
Außer Wochenenden und Feiertagen

05 Security Posture

Technische und organisatorische Maßnahmen zum Schutz von Vertraulichkeit, Integrität, Verfügbarkeit und Resilienz der Systeme (DSGVO Art. 32 · ISO-27001-Annex-A-Controls).

Verschlüsselung

TLS 1.3 in Transit · AES-256 at Rest · Key-Management auf Microsoft HSM.

Zugriff

Zero Trust · Multi-Faktor-Authentifizierung · Just-in-time-Access · getracktes Break-Glass.

Monitoring

Zentralisierte Logs · 24/7-SOC-Monitoring · Aufbewahrung 12+ Monate.

Backup

Redundante Backups · periodischer DR-Test.

Vulnerability-Management

Continuous Scanning · jährlicher Pentest · differenzierte Patching-SLA (P1 < 48h).

Personal

Permanente NDA · halbjährliche Cyber-Schulung.

06 Responsible Disclosure

Wenn Sie eine Schwachstelle in unseren Systemen (Website, Infrastruktur, Produkt) gefunden haben, bitten wir Sie, unser Verfahren zur koordinierten Disclosure zu befolgen.

01

Kontaktieren Sie uns umgehend

E-Mail an info@fortgale.com mit Beschreibung, technischem PoC und Ihren Kontaktdaten. PGP-Verschlüsselung auf Anfrage verfügbar.

02

Wir antworten innerhalb von 48 Stunden

Empfangsbestätigung, initiale Klassifizierung, ETA für den Fix. Wir triagieren jede Meldung, auch wenn sie nicht in unseren Perimeter fällt.

03

Koordinierte Disclosure

Wir vereinbaren das Disclosure-Fenster (typischerweise 90 Tage nach dem Fix). Wir erwähnen Sie öffentlich in der Hall of Thanks, wenn Sie es wünschen.

Was nicht zu tun ist: unautorisierte Zugriffsversuche auf Drittdaten, DDoS, Social Engineering gegen Personal, Datenzerstörung. Wir operieren im Safe Harbor mit Forschenden, die in gutem Glauben handeln.

07 Downloadbare Dokumente

Dokumentation öffentlich oder auf Anfrage verfügbar (einige nach NDA-Unterzeichnung).

ISO/IEC 27001
ISMS-Zertifikat 2024-2027
PDF · 198 KB
Ansehen →
ISO 9001
Qualitätsmanagement-Zertifikat 2024-2027
PDF · 203 KB
Ansehen →
ISO 14001
Umwelt-Zertifikat 2024-2027
PDF · 202 KB
Ansehen →
ISO 45001
Arbeits- und Gesundheitsschutz-Zertifikat 2024-2027
PDF · 200 KB
Ansehen →
DPA-Vorlage
Auftragsverarbeitungsvertrag (DSGVO Art. 28)
Auf Anfrage · nach NDA-Unterzeichnung
Anfordern →
Gegenseitige NDA
Bilaterale 24-Monats-NDA-Vorlage
Auf Anfrage
Anfordern →
Security-Fragebogen
Vorausgefüllte Antworten (CAIQ-Style · 180 Einträge)
Auf Anfrage · nach NDA-Unterzeichnung
Anfordern →
Sub-Processor-Liste
Signierte PDF-Version · letztes Update Mai 2026
PDF · Platzhalter
Anfordern →

08 Security-Kontakte

Für technische Security-Fragen, Vendor-Onboarding, Due Diligence:

Security · Vulnerability
info@fortgale.com

Responsible Disclosure, Vendor-Security-Fragebogen, SOC2/CAIQ.

Datenschutz · DSB
privacy@fortgale.com

Ausübung von DSGVO-Rechten, DPA, DSFA, Sub-Processor-Änderungsanfragen.

Compliance · Audit
info@fortgale.com

Kunden-Audit-Anfragen, Evidence, Zugang zu Reports.

Brauchen Sie noch etwas?

Konkrete Antworten auf eine Due Diligence.

Schicken Sie Ihren Security-Fragebogen: Wir füllen ihn aus, schicken ihn zurück, unterzeichnen die NDA. Keine Umwege.

Antwortzeit: < 1 Werktag.

Diese Website ist durch reCAPTCHA geschützt und es gelten die Datenschutzerklärung und die Nutzungsbedingungen von Google.