Vertrauen & Sicherheit

Sicherheit by Architecture,
nicht als Nachgedanke.

Orqista ist so konzipiert, dass Ihr Code und Ihre Daten unter Ihrer Kontrolle bleiben. Ob Cloud oder Self-Hosted — Sicherheit steckt in jeder Schicht.

Datensouveränität

Ihr Code bleibt unter Ihrer Kontrolle. Self-hosted Orqista bedeutet keine externen Datenübertragungen, keine Cloud-Abhängigkeiten.

  • Self-hosted: kein externer Datentransfer
  • Cloud: isolierte, verschlüsselte Mandantenfähigkeit
  • Kein Modell-Training mit Ihrem Code — niemals
  • Vollständige Datenhaltungs- und Löschkontrollen

Agent-Capability-Isolation

Jeder Expert-Agent operiert unter expliziten Capability-Grants — standardmäßig verweigert. Capabilities werden bei der Agent-Definition deklariert und auf Kernel-Ebene durchgesetzt.

  • Pro-Expert-Tool-Allowlists: Agenten rufen nur auf, wozu sie autorisiert sind
  • Shell-Befehls-Allowlists nach Präfixmuster — kein offenes exec
  • Symlink-sichere Pfad-Kanonisierung bei allen Datei- und Ausführungstools
  • Gesperrte Systempfade: /etc, ~/.ssh, ~/.aws unabhängig von Workspace-Grenzen
  • Workspace-Isolation: Jeder Mini-Job läuft in seinem eigenen Verzeichnis
  • Loop Guard: Automatische Stuck-Agent-Erkennung beendet endlose Tool-Schleifen

Compliance-Standards

Eingebaute Compliance-Framework-Unterstützung mit automatischer Bewertung, Lückenanalyse und prüfungsfertigem Evidenz-Export.

  • NIS2, SOC 2, ISO 27001, HIPAA, PCI-DSS — pro Projekt aktivierbar
  • Standard-Konformitätswerte (0–100) mit Kontrollnachweisen
  • Hash-verkettetes Audit-Ereignislog — manipulationssicher, nur erweiterbar
  • Automatische Drift-Erkennung zwischen Compliance-Snapshots
  • Zeitlich begrenzte Exception-Verwaltung mit Begründungsauditpfad
  • Evidenz-Export für Prüfer (JSON, CSV)

Zugangskontrolle

Sichere Authentifizierung und Autorisierung für jeden Endpunkt.

  • API-Key-Authentifizierung für alle Anfragen
  • Secrets werden in Antworten und Logs automatisch geschwärzt
  • Vollständiger Audit-Trail für jede Expert-Agent-Aktion
  • Konfigurierbare Genehmigungsautorisierung pro Benutzer

Guardrails & Prompt-Sicherheit

Acht strukturierte Regelkategorien erzwingen Einschränkungen für KI-generierten Output, bevor er Ihre Codebasis erreicht.

  • Content-Pattern, Infrastruktur, Prozess, Abhängigkeit, Secret, Naming, Testing, Qualität
  • Code-bewusster Terraform-HCL-Evaluator für Infrastrukturregeln
  • Bereichsvererbung: global → Gruppe → Projekt, engerer Bereich gewinnt
  • Gesperrte Regeln können auf keiner Ebene überschrieben oder ausgenommen werden
  • Prompt-Injection-Schutz bei Skills und Tool-Ergebnis-Ingestion
  • Menschliche Genehmigungsgates vor der Ausführung bei Hochrisiko-Workflows

DSGVO-Compliance

Von Grund auf für europäische Compliance-Anforderungen konzipiert.

  • EU-Datenhaltung für Cloud-Deployments
  • Kein Modell-Training mit Kundendaten
  • Datensparsamkeit — Agenten greifen nur auf Benötigtes zu
  • Recht auf Löschung und Datenportabilität
  • Selbstgehostete, cookiefreie Webanalyse — keine Datenweitergabe an Dritte

Verschlüsselung & Offline

Datenschutz bei der Übertragung und im Ruhezustand. Für höchste Sicherheitsanforderungen ohne Internetverbindung betreiben.

  • TLS 1.2+ für alle Kommunikation
  • AES-256-Verschlüsselung im Ruhezustand
  • Secrets über Umgebungsvariablen oder Parameter Store
  • Lokale KI-Modelle via Ollama — keine Internet-Abhängigkeit nach dem Setup
  • Air-Gapped-Umgebungsunterstützung

Fragen zur Sicherheit? Sprechen wir darüber.

Zugang anfragen — wir besprechen unsere Sicherheitsarchitektur für Ihre spezifischen Compliance-Anforderungen.

Frühzugang anfragen