Summie — Your mobile meeting assistant

Security und Data Privacy Whitepaper (German Version)

für Summie.ai, betrieben von der Solid Rock Ventures UG
20. Februar 2024 — Version 1.1

Einleitung

Im Zeitalter der Digitalisierung ist die Sicherheit privater Daten von entscheidender Bedeutung. Für Summie (www.summie.ai), eine mobile Applikation, die Audiodaten für Transkription und Zusammenfassung verarbeitet, steht der Schutz dieser sensiblen Informationen an erster Stelle. Dieses Whitepaper hebt die umfangreichen Maßnahmen hervor, die wir implementiert haben, um die Privatsphäre und Sicherheit unserer Nutzer zu gewährleisten.

Auswahl der Dienstleister

Bei der Auswahl unserer externen Dienstleister gehen wir äußerst sorgfältig vor, um sowohl sicherheitsrelevante als auch eine geschlossene Kette von höchsten Datenschutzstandards gewährleisten zu können. Mit allen Third-Party Anbietern außerhalb der EU haben wir ein Data Processing Agreement (DPA) unterzeichnet. Dies stellt sicher, dass alle Partner die von der EU geforderten Standards für Datenschutz und Datensicherheit einhalten.

Im Speziellen wird aktuell der Drittanbieter Modal (Modal Labs Inc.) mit Servern in den USA genutzt, um GPU-gestützte ML-Modelle für die Sprechererkennung auszuführen.

Alle anderen ML/KI Modelle hosten wir intern auf Servern der Microsoft Corporation in Europa (Zone Frankreich und Zone West-Europa), sowie der AWS Amazon Cloud in Deutschland (Rechenzentrum in Frankfurt).

Datenspeicherung

Unsere Dateninfrastruktur basiert auf der AWS Amazon Cloud in Frankfurt, Deutschland (Frankfurt). Hierbei werden ausschließlich Server in Deutschland genutzt, um die Speicherung von personenbezogenen Informationen (PII) gemäß EU-DSGVO zu gewährleisten. Nutzerdaten werden auf nicht-öffentlichen Langzeitspeichern wie Amazon S3 und DynamoDB sicher verwahrt.

Zertifizierungen des AWS Data Centers

AWS bietet für diese Speicherklassen umfassende Sicherheitsstandards und Compliance-Zertifizierungen, darunter SEC Rule 17a-4, PCI-DSS, HIPAA/HITECH, FedRAMP, EU-DSGVO und FISMA. Das AWS Data Center in Frankfurt ist zudem nach ISO 27001, SOC2 Type 2 und GDPR konform zertifiziert, was unsere Verpflichtung zu höchsten Sicherheitsstandards unterstreicht.

Die genutzten Rechenzentren der Microsoft Corporation für das KI System Azure OpenAI besitzt folgende Compliance Struktur:

Auf globaler Ebene: CIS Benchmark, CSA STAR Attestation, CSA STAR Certification, CSA STAR Self-Assessment, ISO 20000, ISO 22301, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 9001, SOC 1, SOC 2, SOC 3, WCAG 2.0.

Spezifische Compliance in der Region West-Europa (Rechenzentrum Niederlande) für das KI Modell Whisper (Speech-to-text): BIR 2012, EN 301 549, ENISA IAF, Standard Contractual Clauses, GDPR.

Spezifische Compliance in der Region Frankreich für das KI System GPT 3.5 und GPT 4.0: HDS, EN 301 549, ENISA IAF, Standard Contractual Clauses, GDPR.

Datentransfers zu Drittanbietern außerhalb der EU

Zum Zeitpunkt der Dokumentation werden ausschließlich Daten an den Drittanbieter Modal (Model Labs Inc., 222 Broadway, Floor 22, New York, NY 10038, United States) übermittelt. Summie nutzt Modal als Dienstleister für Cloud-basierte on-demand Nutzung von GPU Rechenleistung, um eine Sprechererkennung durchzuführen. Modal verpflichtet sich, gemäß den Bedingungen im DPA und den Terms of Service, EU-konforme Datensicherheitskonzepte einzuhalten.

Datenaufbewahrung

Audiodaten, sowie die Meeting Dokumentation werden ausschließlich auf dem Amazon AWS Cloud Service, im Speziellen auf Servern in Frankfurt gespeichert. Diese Daten verbleiben ebenso auf dem jeweiligen Endgerät des Nutzers (Caching).

Passwortsicherheit

Passwörter unserer Nutzer werden verschlüsselt gespeichert. Wir erzwingen die Erstellung sicherer Passwörter durch Vorgaben bezüglich der Länge, Nutzung von Sonderzeichen sowie Groß- und Kleinschreibung.

Sicherer Datentransfer

Die Übertragung von Daten erfolgt stets über TLS-gesicherte Endpunkte via Webhook an unsere AWS Server, um eine sichere Datenübermittlung zu gewährleisten.

Softwareentwicklung und Updates

Alle Updates durchlaufen vor der Implementierung in die Produktivumgebung eine sorgfältige Überprüfung und Tests nach dem 4-Augen-Prinzip. Dies stellt sicher, dass alle neuen Features den höchsten Sicherheitsstandards entsprechen.

Verarbeitung von PII

Die Verarbeitung von personenbezogenen Daten erfolgt strikt getrennt von Entwicklungssystemen. Kundendaten werden separat von PII behandelt und in unterschiedlichen Datenbanktabellen gespeichert. Nutzer haben zudem die Möglichkeit, einen verschlüsselten Dump ihrer PII zu beantragen.

Security & Privacy Roadmap

Summie setzt auf eine Kombination aus strengen Sicherheitsprotokollen, sorgfältiger Auswahl von Dienstleistern und ständiger Überwachung und Verbesserung unserer Datenschutzpraktiken. Unser Engagement für den Schutz der Privatsphäre und Sicherheit unserer Nutzer steht im Mittelpunkt unserer Unternehmensphilosophie und treibt unsere kontinuierlichen Bemühungen in diesem Bereich voran.

Dokumentation (Annex 1-6)

Im Anhang dieses Whitepapers finden Sie wichtige Dokumente, darunter:

Annex 1 —

Security Infrastructure Diagramm

Annex 2 —

DPA mit OpenAI Ireland Ltd. (Deprecated, OpenAI ist aktuell nicht mehr im System eingebunden)

Annex 3 —

DPA und NDA mit Modal Labs Inc.

Annex 4 —

Technisch Organisatorischen Maßnahmen (TOM)

Annex 5 —

Datenschutzhinweise nach Artikel 13 & 14 DSGVOrity Infrastructure Diagramm