Vertrauen #
Alles, wat e Procurement-Reviewer, en DPO oder e juristescht Team brauch, fir EthicsPortal ze evaluéieren.
Zulescht aktualiséiert: 2026-05-17.
Vertragspartei #
- Numm vum Service: EthicsPortal
- Bedreiwer: Yaroslav Shmarov
- Agetraagen Adress: ul. Obrzeżna 1A, 02-691 Warsaw, Poland
- Steieridentifikatiounsnummer (NIP): 5272755790
- Zeechnungsberechtegt fir kommerziell Verträg, DPAen a Sécherheetsfroeformulairen: Yaroslav Shmarov
- Kommerziellen Kontakt: support@ethicsportal.eu
- Sécherheetskontakt: security@ethicsportal.eu
- Dateschutzkontakt: privacy@ethicsportal.eu
Aktuell Registerbeleeër an ënnerschriwwe Vertragsdokumenter gi während dem Procurement op Ufro geliwwert.
Datenresidenz a Veraarbechterbezéiung #
Am Standard-Subscription-Modell ass de Client de Controller an EthicsPortal handelt als Processor fir Meldungsdaten.
D’Kärdaten aus Hiweisgeeber-Meldungen — Applikatioun, Datebank a Fichier-Späicherung — gi zu Nürnberg, Däitschland op Hetzner gehost. Den transaktionnellen E-Mail leeft iwwer Mailjet (Frankräich). D’Marketing-Site benotzt ee genannten Ënnerauftragsverschaffer baussent der EU, Cloudflare (CDN), vollstänneg opgelëscht op der Säit Ënnerauftragsverschaffer . D’Hiweisgeber-Portal an d’Handler-Portal lueden d’Cloudflare net.
Personal vum Ubidder a Kontinuitéit #
Personal. EthicsPortal huet keng Mataarbechter a keng Sous-Traitanten. All Clientendonnéeë gi just vum genannte Bedreiwer verschafft. D’Personalkontrolle vum Ubidder — Background-Screening, Sécherheetsschoulung, Joiner-/Leaver-Prozess — reduzéieren sech dofir op déi dokumentéiert Zesummefaassung vum privilegéierten Zougang, déi am Procurement-Review disponibel ass.
Kontinuitéit. Am Fall vun der Onfäegkeet vum Bedreiwer oder der Astellung vum Geschäftsbetrib hunn d’Clientenorganisatiounen den Recht op e komplette maschinneliesbaren Export vun hiren Donnéeën an op eng definéiert Iwwergangsphase, fir op en alternative Ubidder ze migréieren. Konkret Reegele si beim Vertrag zur Verarbeitung vun Donnéeën festgehalen an an de Materialien am Procurement-Review weider beschriwwen.
Zertifizéierungsstatus #
EthicsPortal beansprocht op dëser Websäit aktuell keng ISO 27001, SOC 2 oder gläichwäerteg Zertifizéierung. En onofhängege externe Penetratiounstest läit aktuell net vir. Wann eent vun deenen zwee ännert, ginn den Numm vun der Zertifizéierung (oder den Test-Ëmfang, d’Datum an eng Zesummefaassung vun den Ofhëllefmoossnamen) hei publizéiert.
Operationelle Liewenszyklus #
| Fro | Äntwert |
|---|---|
| Live-Verfügbarkeet | Publizéiert op secure.ethicsportal.eu/up fir déi ofgedeckten Uewerflächen. Kuck Service Level Agreement fir d’Miessmethod an d’Ausnahmen. |
| Liewenszyklus vu Sessiounen an Zougang | Sessiounen verfalen automatesch no 14 Deeg Inaktivitéit a ginn nuets opgeraumt. Benotzer kënnen hir eege Sessiounen zu all Moment iwwerpréiwen a widerrufen. All Sessioun späichert last_seen_at, sou datt al Apparater identifizéierbar sinn. D’Deaktivéierung vun engem Member ënnerbrécht den Zougang op der Ufrogrenz, hieft d’Zouweisung op oppe Meldungen op an entfernt d’Bedeelegungen, wärend d’Audit-Historique konservéiert bleift. Kuck Sécherheet
. |
| Backup a Restore | Deeglech verschlësselte PostgreSQL-Dumpen op Hetzner Object Storage (EU, 7 Deeg Späicherung) plus Hetzner Server-Snapshots (7 Deeg Späicherung). RPO 24 Stonnen, RTO 4 Stonnen. Lescht Restore-Iwwung: 2026-05-14. Kuck Sécherheet . |
| Ofhängegkeets- a Patch-Management | Kontinuéierlech SCA an der CI (Brakeman, bundler-audit, importmap audit) plus wëchentlech Dependabot-Updates. Keng End-of-Life-Komponenten am Asaz. Kuck Sécherheet . |
| Export a Läschung | E PDF-Export pro Fall ass an der Applikatioun verfügbar (Beschreiwung, Messagen, Audit-Spur, Uschlëss). E maschinneliesbare Bulk-Export vum kompletten Organisatiounsdatenset gëtt op Ufro während dem Vertragsausstig geliwwert. Vertraglech Engagementer stinn am Vertrag zur Verarbeitung vun Donnéeën . |
| Recovery-Ziler | Kuck Service Level Agreement . |
Vertraglech Positiounen #
Eng eenzeg Wourechtsquell fir déi vertraglech Froen, déi d’Beschaffungsservicer am dackste stellen. All Zeil verlinkt op d’maassgewend Dokument.
| Punkt | Position vun EthicsPortal |
|---|---|
| Aggregéiert Haftungsobergrenz | Zwielef Méint vun Entgelter, déi an den 12 Méint virum Eventualfall bezuelt goufen (AGBen §11 ). De Vertrag zur Verarbeitung vun Donnéeën, d’Service Level Agreement an d’IP-Freistellung falen all ënner déiselwecht aggregéiert Obergrenz. |
| Schutzrechts-Freistellung | De Bedreiwer verdeedegt de Verantwortlechen géint Usproch vun Drëttsperson wéinst Verletzung vun Urheberrecht, Mark oder Patent, déi aus der vertragsgeméisser Notzung vum Service entstinn, ënner Standardausnamen (Kundenännerungen, onerlaabt Notzung, net genehmegt Kombinatiounen) an der aggregéierter Haftungsobergrenz. Kuck AGBen §12 . |
| Meldefrist bei Verletzungen | Ouni ongerechtfäerdegt Verzögerung an op alle Fall bannent 72 Stonnen no der Kenntnisnam (DPA §6.6 ), an Iwwerstëmmung mat Art. 33 RGPD. Eng méi kuerz Frist gëtt vertraglech net ugebueden bei Self-Service-Pläng, well méi kuerz Fënster vir-zäitlech Meldungen riskéieren a mam RGPD-Forensik-Schwellt konfliktéieren. |
| Auditrechter | Geméiss Art. 28(3)(h) RGPD, mat op d’mannst 30 Deeg Préavis a wärend der normaler Geschäftszäit (DPA §6.9 ). De Veraarbecher äntwert op schrëftlech Sécherheetsfroebogen amplaz vun engem Vor-Ort-Audit, wann d’Préiwung vum Verantwortlechen domat zefriddegestallt ka ginn. |
| Service-Gutschrëften | Self-Service-Pläng enthalen keng monetär Service-Gutschrëften. Rechtsmëttele bei wesentlechen oder widderholten Disponibiliéitsausfäll ënnerleien der aggregéierter Haftungsobergrenz (SLA ). |
| Kundenverwalt Verschlësselungsschlësselen (BYOK / extern KMS) | Net ënnerstëtzt. Vum Veraarbecher verwalt Schlësselen sinn néideg, fir d’Schlëssel-Trennung tëscht Hiweisgeeber a Bearbeechter an d’Enn-zu-Enn-Läschgarantie ze halen. Kuck DPA §6.11 . |
| Quellcode-Hannerleeung | Net ugebueden. Kontinuitéit gëtt iwwer d’Bedreiwer-Ausfall-Reegelen am Geschäftsfortsetzungsplang an d’Daten-Export- a Läschrechter vum Verantwortlechen no DPA §6.8 sécheren. |
| Matdeelung iwwer Ënnerauftragsverschaffer-Ännerungen | Op d’mannst 30 Deeg ier en Ënnerauftragsverschaffer dobäikënnt oder ersat gëtt; de Verantwortleche kann widderspriechen an opléisen, wann keng Eenegung erreecht gëtt (DPA §6.4 ). |
| Datenexport a Läschung beim Vertragsausstig | Self-Service PDF-Fallexport am Produit, plus maschinneliesbare Bulk-Export op Ufro während dem Ausstig, plus Läschung bannent 30 Deeg no Beendegung vum Abonnement op schrëftlech Ufro (DPA §6.8 ). |
| Cyber-Haftpflichtversécherung | Gëtt gepréift. Deckungssumm a Versécherer ginn hei publizéiert, soubal et virhanden ass. |
| Onofhängege externe Penetratiounstest | Aktuell net duerchgefouert. Ëmfang, Datum a Sumëschung vun de Mängelbeséiteg ginn hei publizéiert, soubal et duerchgefouert gëtt. |
| Uwendbart Recht a Geriichtsstand | Recht vu Polen; Geriichter zu Warschau (AGBen §13 ). EU-Konsumente behalen d’Recht op Verfahren an hirem Wunnsëtzland. |
Dës Positiounen sinn an den ëffentleche AGBen , am Vertrag zur Verarbeitung vun Donnéeën an am Service Level Agreement ofgebillt. Wesentlech Ofweichunge gi bei Self-Service-Pläng net gewährt.
Ëffentlech Dokumenter #
Alles, wat e Beschaffungsrevisor brauch, ass ëffentlech publizéiert. Gruppéiert no der Funktioun vum Dokument.
Vertraglech #
Wat dat Verhältnis tëscht EthicsPortal an dem Client reegelt.
| Dokument | Zweck |
|---|---|
| Allgemeng Geschäftsbedingungen | Abonnementsbedingungen, Kënnegung, Remboursementer |
| Vertrag zur Verarbeitung vun Donnéeën | Processor-Bedingungen ënner GDPR Art. 28 |
| Service Level Agreement | Verfügbarkeetsziler a Moossnamen |
| Dateschutzerklärung | Wéi perséinlech Donnéeë behandelt ginn |
Operativ #
Wéi den Service am Alldag bedriwwen gëtt a wien soss bedeelegt ass.
| Dokument | Zweck |
|---|---|
| Sécherheet | Technesch an organisatoresch Moossnamen |
| Ënnerauftragsverschaffer | Genannten Ënnerauftragsverschaffer an hiren Ëmfang |
| Tëschefall-Register | Wesentlech Tëschefäll, déi perséinlech Donnéeë betreffen |
| Zougänglechkeet | EAA-Konformitéitsstatus |
Richtlinn-Referenz #
Wéi EthicsPortal d’EU-Richtlinn 2019/1937 abbildet an auslegt.
| Dokument | Zweck |
|---|---|
| Ofdeckung vun der Richtlinn 2019/1937 | Funktioun-zu-Artikel-Mapping vun der Richtlinn 2019/1937 |
| Interpretatiounen vun der Richtlinn 2019/1937 | Interpretativ Positiounen iwwer onbestëmmten Begrëffer vun der Richtlinn |
| Hiweisgeebergesetzer no Land | National Ëmsetzungen an zoustänneg Behörden |
| Strofen no Land | Geldstrofen a strofrechtlech Haftung an de Memberstaaten |
Op Ufro am Procurement-Review verfügbar #
Folgend Material gëtt a kontrolléierter Verëffentlechung gedeelt anstatt offen publizéiert:
- Ënnerschriwwe DPA
- Registerauszuch an NIP-/Steierbeweis
- Ausgefëllte Sécherheetsquestionnaire
- Zesummefaassung vum privilegéierte Production Access
- Zesummefaassung vun der Incident Response
- Äntwerten zu Business Continuity, Exit a Client-Export
- Zesummefaassung vum externen Penetratiounstest (wann eent virléit)
Fir dës ze froen, schreift un support@ethicsportal.eu . Fir Froen am Sécherheetsreview schreift un security@ethicsportal.eu .
Zulescht aktualiséiert: