Sicherheit und Datenverarbeitung
Zuletzt aktualisiert: 2026-06-30
Die Fakten, die Ihre IT-/Sicherheitsprüfung benötigt, auf einer Seite. Die eigentlichen Berichte werden in Ihrem eigenen Google Drive gespeichert, und unsere Server bewahren die Quelldaten höchstens 24 Stunden auf (bei Genehmigung gelöscht). Unterauftragsverarbeiter, Datenstandorte und Maßnahmen folgen.
Vier Gestaltungsprinzipien
Der Kunde besitzt die Daten
Die eigentlichen Berichte liegen in einer Tabelle in Ihrem eigenen Google Drive (Google LLC). Die Daten gehören Ihnen, und Sie können sie jederzeit selbst einsehen oder löschen.
Höchstens 24 Stunden Aufbewahrung
Quelldaten auf unseren Servern (KV) bestehen höchstens 24 Stunden und werden bei Genehmigung sofort gelöscht. Wir speichern Berichte nicht dauerhaft (Zero-Retention-Konzept).
Verarbeitung in der Region Tokio
Hosting und Auslieferung (Vercel Functions) sowie temporäre Aufbewahrung (Upstash KV) laufen in der Region Tokio (innerhalb Japans).
SSO und geringste Rechte
Wir authentifizieren über die Google-Anmeldung (OAuth) und trennen Berechtigungen nach Abteilung und Rolle. Der Zugriff auf die Tabelle erfolgt über ein Dienstkonto mit geringsten Rechten.
Datenfluss
Wie ein Bericht von der Erstellung bis zur Speicherung fließt.
1. Eingabe
Die Nutzerin gibt einen Bericht im Browser ein (der Datenverkehr ist verschlüsselt).
2. Temporäre Aufbewahrung (≤24 h)
Der Entwurf liegt in unserem temporären Speicher (Upstash KV, Region Tokio) höchstens 24 Stunden.
3. Genehmigung
Wenn die Führungskraft genehmigt, werden die Quelldaten auf unseren Servern sofort gelöscht.
4. Speicherung (Kundenseite)
Genehmigte Inhalte werden an eine Tabelle in Ihrem Google Drive angehängt. Ab dann liegen sie unter Ihrer Kontrolle.
Nur wenn Sie KI-Assistenz, wöchentliche Auswertung oder den Abgleichbericht nutzen, wird der eingegebene Berichtstext zur Verarbeitung an den Anbieter generativer KI (Anthropic) gesendet. Wenn Sie das nicht möchten, können Sie ohne KI manuell eingeben. Die KI-Ausgabe ist ein Entwurf; die endgültige Entscheidung trifft die Nutzerin.
Unterauftragsverarbeiter
Dieser Dienst nutzt die folgenden Unterauftragsverarbeiter. Anwendbares Recht ist japanisches Recht.
| Unterauftragsverarbeiter | Zweck | Standort / Region | Verarbeitete Daten |
|---|---|---|---|
| Google LLC | Berichtsspeicherung (Sheets) und Google-Anmeldung (OAuth) | USA und andere (in Ihrem Google Drive) | Berichtstext; Anmelde-E-Mail-Adresse |
| Anthropic, PBC | Generative-KI-Verarbeitung (KI-Assistenz, wöchentliche Auswertung, Abgleichbericht) | USA | Bei Nutzung der KI-Funktionen gesendeter Berichtstext (optional) |
| Vercel Inc. | Hosting und Auslieferung (Functions); Zugriffsanalyse | Region Tokio (Japan) | Vorübergehende Verarbeitungsdaten; aggregierte, nicht identifizierende Analyse |
| Upstash, Inc. | Temporäre Aufbewahrung der Quelldaten über KV (≤24 h) | Region Tokio (Japan) | Vorübergehende Entwurfsdaten |
| Polar Software Inc. | Verkauf und Zahlung (Merchant of Record) | Außerhalb Japans (Zahlungsanbieter) | Zahlungsdaten (von Polar verarbeitet; von uns nicht aufbewahrt) |
Sicherheitsmaßnahmen
- Verschlüsselung bei der Übertragung (HTTPS / TLS).
- Rechtetrennung über ein Dienstkonto, mit geringsten Rechten gewährt.
- Automatisches Löschen der Quelldaten auf unseren Servern innerhalb von 24 Stunden (bei Genehmigung sofort).
- Manipulationserkennung über signierte Sitzungen und Zugriffskontrolle nach Abteilung und Rolle.
- Zahlungsdaten werden nicht auf unseren Servern aufbewahrt (von Polar verarbeitet).
Übermittlung an Dritte außerhalb Japans
Zur KI-Verarbeitung senden wir den Berichtstext an Anthropic, PBC (USA); zur Speicherung an Google LLC (USA und andere). Vercel Inc. und Upstash, Inc. (US-Gesellschaften), die für die temporäre Aufbewahrung genutzt werden, halten die Daten in der Region Tokio (innerhalb Japans). Bitte nutzen Sie den Dienst mit Ihrer Einwilligung in diese Übermittlungen an Dritte außerhalb Japans.
Verkauf und Zahlung
Der Verkauf dieses Dienstes erfolgt über Polar (Merchant of Record). Zahlungsdaten werden von Polar verarbeitet und von uns nicht aufbewahrt. Bitte beachten Sie auch unsere Angaben nach dem Handelsgesetz.
Ihre Rechte und Datenlöschung
Die eigentlichen Berichte liegen in Ihrem Google Drive, wo Sie sie selbst einsehen oder löschen können. Für Anträge auf Auskunft, Berichtigung, Einschränkung der Nutzung oder Löschung der von uns gehaltenen personenbezogenen Daten (wie Anmelde-E-Mail-Adressen) nutzen Sie bitte den untenstehenden Kontakt.
Kontakt für personenbezogene Daten:株式会社狼煙 (Norolu)(kakehashi@norolu.jp)
Verwandte Seiten
Es gilt die japanische Fassung dieser Seite; bei Abweichungen zu einer Übersetzung ist die japanische Fassung maßgeblich. Die Angaben werden mit den Einwilligungsbedingungen und der Implementierung konsistent gehalten.