Governance
Compliance in die Architektur eingebaut, nicht nachträglich aufgesetzt.
Wo Ihre Daten liegen, welche Regulierung das Design adressiert, und wie wir es dokumentieren. Benannte Kontrollen, benannte Regulierungen, schriftlich.
Wo Ihre Daten liegen
Pavicore entwirft und betreibt Azure-Workloads in der Region, an die Sie gebunden sind. Für deutsche Projekte ist das die Azure-Region Germany West Central, konfiguriert als Sovereign Landing Zone.
Während eines Assessments arbeiten wir in Ihrem Tenant mit lesendem Zugriff, beschränkt auf das Projekt und nach Abschluss entzogen. Keine Daten werden aus Ihrer Umgebung kopiert.
DSGVO-Haltung und Datenverarbeitung
Wir benennen die Regulierung, die das Design adressiert. Die DSGVO-Artikel-44-Beschränkungen zu Transfers in Drittländer werden in der Architektur adressiert, nicht in einem Policy-Anhang notiert.
Die Verarbeitung bleibt in der Region, der Zugriff folgt dem Least-Privilege-Prinzip, und jede Kontrolle bildet auf eine konkrete Anforderung ab statt auf eine allgemeine Absicht.
Auftragsverarbeitungsverträge
Wir unterzeichnen Ihren Auftragsverarbeitungsvertrag, bevor ein Projekt beginnt. Wo die Arbeit auf Subprozessoren beruht, wird die Kette dokumentiert und geteilt, damit Ihre Unterlagen vom ersten Tag an vollständig sind.
Einordnung nach der EU-KI-Verordnung
Bei KI-Systemen beginnen wir mit der Klassifizierung. Wir ordnen jedes System vor dem Design seiner Risikoklasse nach der EU-KI-Verordnung zu und bauen dann die Pflichten dieser Klasse in die Lieferung.
In der Praxis heißt das: Dokumentation nach Anhang IV als technisches Arbeitsergebnis, die Risikoklassifizierung festgehalten und die Marktüberwachung nach Inverkehrbringen von Beginn an mitgeplant. Keine Vorlage, die am Ende übergeben wird.
Die Qualifikationen hinter den Aussagen
Governance wird hier von Menschen mit den passenden Qualifikationen geführt: einem IAPP AI Governance Professional für KI, AZ-500 für Cloud-Security und Microsoft-Architektur-Zertifizierungen im ganzen Team.
Die formale Absicherung
Das Verbindliche steht in unseren Rechtsseiten. Die Datenschutzerklärung legt dar, wie wir personenbezogene Daten verarbeiten. Das Impressum nennt die Entität.
Haben Sie eine konkrete Compliance-Anforderung?
Nennen Sie die Regulierung oder den Standard. Wir sagen Ihnen, wie die Architektur sie erfüllt.