Sicherheit & Architektur

Diese Seite fasst zusammen, was Ihre IT-Leitung, Ihr Datenschutzbeauftragter und Ihr Auditor für eine fundierte Entscheidung über einen Actio-Pilot brauchen. Sie ersetzt kein technisches Gespräch — sie macht es effizienter.

Ein Standard-Seitenaufruf auf actio-agents.com durchläuft vier Schritte:

• Browser → Vercel Edge (EU, z.B. Frankfurt oder Paris) über TLS 1.3

• Vercel Edge → Vercel Serverless-Funktion (Node.js 22, EU-Region)

• Serverless-Funktion → Resend (USA, EU-US DPF) für den E-Mail-Versand von Pilot-Anfragen

• Resend → Postfach des Actio-Teams

Bei einem Pilot-Deployment im Krankenhausumfeld läuft die Agent-Runtime entweder in einer dedizierten EU-Region auf Vercel oder — auf Wunsch — vollständig innerhalb Ihrer eigenen Infrastruktur (On-Premises).

Wir beschäftigen genau zwei Sub-Auftragsverarbeiter für den Betrieb der Marketing-Website und die Entgegennahme von Pilot-Anfragen:

Vercel Inc. — Hosting, Edge-Netzwerk und Serverless-Runtime. Sitz: 440 N Barranca Ave #4133, Covina, CA 91723, USA. Zertifizierungen: EU-US Data Privacy Framework, SOC 2 Type II. Datenverarbeitungsvertrag nach Art. 28 DSGVO vorhanden; Standardvertragsklauseln (SCC) nach Art. 46 DSGVO ergänzend.

Resend, Inc. — transaktionaler E-Mail-Versand für Pilot-Anfragen. Sitz: 2261 Market Street #4667, San Francisco, CA 94114, USA. Zertifizierungen: EU-US Data Privacy Framework. DPA nach Art. 28 DSGVO vorhanden; SCCs ergänzend.

Zusätzlich nutzen wir Vercel Web Analytics (gleicher Anbieter, cookielos, keine Speicherung auf dem Endgerät) zur aggregierten Reichweitenmessung. Weitere Dienste (CRM, Support-Tools, Drittanbieter-Analyse) setzen wir aktuell nicht ein. Jede Erweiterung dieser Liste wird transparent in der Datenschutzerklärung angekündigt.

• DSGVO (Art. 5–32): Architektur auf europäisches Datenschutzrecht ausgelegt, nicht nachträglich zertifiziert.

• Auftragsverarbeitungsverträge: Standard für jeden Sub-Auftragsverarbeiter (Art. 28 DSGVO).

• Standardvertragsklauseln (SCC): Für jeden Drittlandtransfer (Art. 46 DSGVO).

• EU-Datenresidenz: Standard-Setup läuft vollständig in EU-Regionen.

• On-Premises-Option: Vollbetrieb hinter Ihrer Firewall verfügbar.

• ISO 27001: Scoping für Q3 2026 geplant.

• MDR (Medizinprodukte-Verordnung): Review für klinische Anwendungsfälle in Arbeit; Actio-Agenten treffen keine medizinischen Entscheidungen, was die MDR-Klassifizierung signifikant vereinfacht.

• Cookies: Diese Marketing-Website setzt keine Cookies. Reichweitenmessung erfolgt ausschließlich cookielos und aggregiert (Vercel Web Analytics).

• Transport: TLS 1.3 verpflichtend für alle Verbindungen.

• Authentifizierung: Bei On-Prem-Deployments SSO via SAML/OIDC (Azure AD, Okta etc.). Bei SaaS-Deployments MFA verpflichtend für alle Admin-Rollen.

• Zugriffskontrolle: Rollenbasiert (Role-Based Access Control) — getrennte Rollen für Ärztinnen und Ärzte, Administration und Readonly-Viewer.

• Audit-Logs: Jede Agent-Entscheidung ist protokolliert, zeitgestempelt und exportierbar — ISO- und MDR-tauglich.

• Rate-Limiting: API- und Formular-Endpunkte mit IP-basierter Rate-Begrenzung und Honeypot-Schutz.

• Keine medizinischen Entscheidungen: Jeder Agent-Output wird dem zuständigen Arzt oder Administrator zur Freigabe vorgelegt — verpflichtend, nicht optional.

Wir integrieren über standardisierte HL7- und FHIR-Schnittstellen. Keine Migration Ihrer Kernsoftware, keine Ablösung Ihres bestehenden Krankenhausinformationssystems. Actio läuft parallel und agiert auf strukturierten Datenobjekten Ihres HIS.

Typische Integrationszeit von Vertragsunterzeichnung bis Live-Pilot: zwei Wochen — inklusive DSGVO-Freigabe durch Ihre IT und Abschluss des Datenverarbeitungsvertrags.

Für Ihre Due-Diligence-Prüfung stellen wir folgende Dokumente bereit:

• Datenverarbeitungsvertrag (DPA) nach Art. 28 DSGVO — Vorlage

• Technisches Architektur-Dossier (PDF)

• Sicherheitsfragebogen in SIG-Lite-Format

• Aktuelle Liste aller Sub-Auftragsverarbeiter mit Zertifikatsnachweisen

• Penetration-Test-Bericht (für Q3 2026 geplant, vorher auf Anfrage Einsicht in die Letter of Engagement)

Anfragen an david.rehrl@thesolvia.com oder über das Pilotformular mit Stichwort „Security Dossier".

Alle sicherheitsrelevanten Meldungen, einschließlich Schwachstellenberichte und potentielle Incidents, gehen bitte an david.rehrl@thesolvia.com.

Bei akuten Vorfällen während eines laufenden Pilots erreichen Sie den Gründer direkt telefonisch: +43 660 2350039.

Wir antworten auf Sicherheitsmeldungen innerhalb von 24 Stunden an Werktagen.