Security und Data Privacy Whitepaper (German Version)
für Summie.ai, betrieben von der Solid Rock Ventures UG
20. Februar 2024 — Version 1.1
Einleitung
Im Zeitalter der Digitalisierung ist die Sicherheit privater Daten von entscheidender Bedeutung. Für Summie (www.summie.ai), eine mobile Applikation, die Audiodaten für Transkription und Zusammenfassung verarbeitet, steht der Schutz dieser sensiblen Informationen an erster Stelle. Dieses Whitepaper hebt die umfangreichen Maßnahmen hervor, die wir implementiert haben, um die Privatsphäre und Sicherheit unserer Nutzer zu gewährleisten.
Auswahl der Dienstleister
Bei der Auswahl unserer externen Dienstleister gehen wir äußerst sorgfältig vor, um sowohl sicherheitsrelevante als auch eine geschlossene Kette von höchsten Datenschutzstandards gewährleisten zu können. Mit allen Third-Party Anbietern außerhalb der EU haben wir ein Data Processing Agreement (DPA) unterzeichnet. Dies stellt sicher, dass alle Partner die von der EU geforderten Standards für Datenschutz und Datensicherheit einhalten.
Im Speziellen wird aktuell der Drittanbieter Modal (Modal Labs Inc.) mit Servern in den USA genutzt, um GPU-gestützte ML-Modelle für die Sprechererkennung auszuführen.
Alle anderen ML/KI Modelle hosten wir intern auf Servern der Microsoft Corporation in Europa (Zone Frankreich und Zone West-Europa), sowie der AWS Amazon Cloud in Deutschland (Rechenzentrum in Frankfurt).
Datenspeicherung
Unsere Dateninfrastruktur basiert auf der AWS Amazon Cloud in Frankfurt, Deutschland (Frankfurt). Hierbei werden ausschließlich Server in Deutschland genutzt, um die Speicherung von personenbezogenen Informationen (PII) gemäß EU-DSGVO zu gewährleisten. Nutzerdaten werden auf nicht-öffentlichen Langzeitspeichern wie Amazon S3 und DynamoDB sicher verwahrt.
Zertifizierungen des AWS Data Centers
AWS bietet für diese Speicherklassen umfassende Sicherheitsstandards und Compliance-Zertifizierungen, darunter SEC Rule 17a-4, PCI-DSS, HIPAA/HITECH, FedRAMP, EU-DSGVO und FISMA. Das AWS Data Center in Frankfurt ist zudem nach ISO 27001, SOC2 Type 2 und GDPR konform zertifiziert, was unsere Verpflichtung zu höchsten Sicherheitsstandards unterstreicht.
Die genutzten Rechenzentren der Microsoft Corporation für das KI System Azure OpenAI besitzt folgende Compliance Struktur:
Auf globaler Ebene: CIS Benchmark, CSA STAR Attestation, CSA STAR Certification, CSA STAR Self-Assessment, ISO 20000, ISO 22301, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 9001, SOC 1, SOC 2, SOC 3, WCAG 2.0.
Spezifische Compliance in der Region West-Europa (Rechenzentrum Niederlande) für das KI Modell Whisper (Speech-to-text): BIR 2012, EN 301 549, ENISA IAF, Standard Contractual Clauses, GDPR.
Spezifische Compliance in der Region Frankreich für das KI System GPT 3.5 und GPT 4.0: HDS, EN 301 549, ENISA IAF, Standard Contractual Clauses, GDPR.
Datentransfers zu Drittanbietern außerhalb der EU
Zum Zeitpunkt der Dokumentation werden ausschließlich Daten an den Drittanbieter Modal (Model Labs Inc., 222 Broadway, Floor 22, New York, NY 10038, United States) übermittelt. Summie nutzt Modal als Dienstleister für Cloud-basierte on-demand Nutzung von GPU Rechenleistung, um eine Sprechererkennung durchzuführen. Modal verpflichtet sich, gemäß den Bedingungen im DPA und den Terms of Service, EU-konforme Datensicherheitskonzepte einzuhalten.
Datenaufbewahrung
Audiodaten, sowie die Meeting Dokumentation werden ausschließlich auf dem Amazon AWS Cloud Service, im Speziellen auf Servern in Frankfurt gespeichert. Diese Daten verbleiben ebenso auf dem jeweiligen Endgerät des Nutzers (Caching).
Passwortsicherheit
Passwörter unserer Nutzer werden verschlüsselt gespeichert. Wir erzwingen die Erstellung sicherer Passwörter durch Vorgaben bezüglich der Länge, Nutzung von Sonderzeichen sowie Groß- und Kleinschreibung.
Sicherer Datentransfer
Die Übertragung von Daten erfolgt stets über TLS-gesicherte Endpunkte via Webhook an unsere AWS Server, um eine sichere Datenübermittlung zu gewährleisten.
Softwareentwicklung und Updates
Alle Updates durchlaufen vor der Implementierung in die Produktivumgebung eine sorgfältige Überprüfung und Tests nach dem 4-Augen-Prinzip. Dies stellt sicher, dass alle neuen Features den höchsten Sicherheitsstandards entsprechen.
Verarbeitung von PII
Die Verarbeitung von personenbezogenen Daten erfolgt strikt getrennt von Entwicklungssystemen. Kundendaten werden separat von PII behandelt und in unterschiedlichen Datenbanktabellen gespeichert. Nutzer haben zudem die Möglichkeit, einen verschlüsselten Dump ihrer PII zu beantragen.
Security & Privacy Roadmap
Summie setzt auf eine Kombination aus strengen Sicherheitsprotokollen, sorgfältiger Auswahl von Dienstleistern und ständiger Überwachung und Verbesserung unserer Datenschutzpraktiken. Unser Engagement für den Schutz der Privatsphäre und Sicherheit unserer Nutzer steht im Mittelpunkt unserer Unternehmensphilosophie und treibt unsere kontinuierlichen Bemühungen in diesem Bereich voran.
Dokumentation (Annex 1-6)
Im Anhang dieses Whitepapers finden Sie wichtige Dokumente, darunter:
Annex 1 —
Security Infrastructure Diagramm
Annex 2 —
DPA mit OpenAI Ireland Ltd. (Deprecated, OpenAI ist aktuell nicht mehr im System eingebunden)
Annex 3 —
DPA und NDA mit Modal Labs Inc.
Annex 4 —
Technisch Organisatorischen Maßnahmen (TOM)
Annex 5 —
Datenschutzhinweise nach Artikel 13 & 14 DSGVOrity Infrastructure Diagramm
Annex 6 —
Links zu den Terms of Service, Privacy Policy und GDPR-relevanten Dokumenten von Summie und den genutzten Drittanbietern.
Annex 1 – Security Infrastructure Diagramm
Annex 2 – DPA mit OpenAI Ireland Ltd. (Deprecated)
(Nur zu Dokumentationszwecken) Das DPA (Data Processing Agreement) mit OpenAI Ireland Ltd. kann hier eingesehen und heruntergeladen werden.
Einen Auszug der relevanten EU-Standardvertragsklauseln (EU SCCs)nachfolgend:
Annex 3 – DPA und NDA mit Modal Labs Inc.
Das DPA (Data Processing Agreement) mit der Modal Labs Inc. kann hier eingesehen und heruntergeladen werden, sowie das NDA mit der Modal Labs Inc.
Annex 4 – Technisch Organisatorischen Maßnahmen (TOM)
Die TOM können hier eingesehen und heruntergeladen werden.
Annex 5 – Datenschutzhinweise nach Artikel 13 & 14 DSGVO
Die entsprechenden Informationen nach Art. 13 DSGVO / Datenschutzerklärung können hier eingesehen und heruntergeladen werden.
Annex 6 – Weiterführende Links
Summie
Terms of Use
Privacy Policy
AWS Amazon
Amazon AWS DSGVO Zentrum
Microsoft Azure
Microsoft Azure OpenAI Privacy
OpenAI Ireland Ltd.
Security & Privacy Portal zu Sicherheits- und Privacybezogenen Maßnahmen, inkl. DSGVO, Pentest, sowie SOC 2 und SOC 3 Reports
Business Terms als Grundlage für API-Nutzung
Service Terms
Modal Labs Inc.
Auflistung von Security Maßnahmen
SOC2 Type 1 Report (06/2023)