openESG Logo
Security & Compliance

Entwickelt für Banken – geprüft nach höchsten Sicherheitsstandards.

Sicherheit, Compliance und Datenintegrität bilden das Fundament jeder Bankenlösung. openESG wurde von Beginn an für die regulatorischen, technischen und organisatorischen Anforderungen von Finanzinstituten entwickelt – und schafft so die Voraussetzung für eine vertrauensvolle Zusammenarbeit mit Aufsicht, internen Revisionen und Geschäftspartnern.

openESG erfüllt die Anforderungen moderner Banken an Informationssicherheit, regulatorische Compliance und revisionssichere Datenverarbeitung. Die Plattform ist konsequent entlang etablierter aufsichtsrechtlicher Erwartungen (u. a. MaRisk, DORA, EBA Guidelines) konzipiert und unterstützt Institute bei der sicheren Integration von ESG-Daten in ihre Risiko- und Steuerungsprozesse.

DORA

Digital Operational Resilience Act – IKT-Risikomanagement, Resilienz-Tests und Incident-Reporting für Finanzinstitute (gilt seit Januar 2025).

MaRisk

Mindestanforderungen an das Risikomanagement (BaFin) – Governance, AT 7.2 IT-Sicherheit, Auslagerungssteuerung und ESG-Risikointegration nach 9. Novelle.

EBA Guidelines

EBA/GL/2019/04 zu ICT & Security Risk Management sowie EBA Guidelines on the management of ESG risks – verbindlicher europäischer Rahmen.

DSGVO

Vollständige Konformität zur EU-Datenschutz-Grundverordnung – inkl. Auftragsverarbeitung nach Art. 28, Privacy-by-Design und Betroffenenrechten.

BSI Pentests

Regelmäßige Penetrationstests nach BSI-Leitfaden durch unabhängige Sicherheitsdienstleister – Web-, API- und Infrastruktur-Layer.

EU-Datenspeicherung

Sicheres Hosting ausschließlich in ISO-27001-zertifizierten Rechenzentren in der EU – kein Datentransfer in Drittländer.

ISO 27001

Betrieb in nach ISO/IEC 27001 zertifizierten Rechenzentren – Informationssicherheits-Managementsystem nach internationalem Standard.

TLS 1.3 / AES-256

Verschlüsselung sämtlicher Daten in Transit (TLS 1.3) und at Rest (AES-256) – inklusive separatem Key-Management.

Audit-Trail

Vollständige, revisionssichere Data Lineage – jeder Datenpunkt mit Zeitstempel, Quelle und Bearbeiter dokumentiert.

DORA

Digital Operational Resilience Act – IKT-Risikomanagement, Resilienz-Tests und Incident-Reporting für Finanzinstitute (gilt seit Januar 2025).

MaRisk

Mindestanforderungen an das Risikomanagement (BaFin) – Governance, AT 7.2 IT-Sicherheit, Auslagerungssteuerung und ESG-Risikointegration nach 9. Novelle.

EBA Guidelines

EBA/GL/2019/04 zu ICT & Security Risk Management sowie EBA Guidelines on the management of ESG risks – verbindlicher europäischer Rahmen.

DSGVO

Vollständige Konformität zur EU-Datenschutz-Grundverordnung – inkl. Auftragsverarbeitung nach Art. 28, Privacy-by-Design und Betroffenenrechten.

BSI Pentests

Regelmäßige Penetrationstests nach BSI-Leitfaden durch unabhängige Sicherheitsdienstleister – Web-, API- und Infrastruktur-Layer.

EU-Datenspeicherung

Sicheres Hosting ausschließlich in ISO-27001-zertifizierten Rechenzentren in der EU – kein Datentransfer in Drittländer.

ISO 27001

Betrieb in nach ISO/IEC 27001 zertifizierten Rechenzentren – Informationssicherheits-Managementsystem nach internationalem Standard.

TLS 1.3 / AES-256

Verschlüsselung sämtlicher Daten in Transit (TLS 1.3) und at Rest (AES-256) – inklusive separatem Key-Management.

Audit-Trail

Vollständige, revisionssichere Data Lineage – jeder Datenpunkt mit Zeitstempel, Quelle und Bearbeiter dokumentiert.

Security Architecture

Sechs Sicherheitsebenen.
Ein revisionssicheres Fundament.

Jede Schicht der openESG-Plattform ist auf die Anforderungen regulierter Finanzinstitute ausgelegt – von der Infrastruktur bis zur Audit-fähigen Datenhaltung.

01 — Infrastruktur

Regulatorisch konforme Infrastruktur

  • Hosting in der Open Telekom Cloud (Deutschland) mit garantierter EU-Datenresidenz
  • Vollständige DSGVO-Konformität (Datenminimierung, Zweckbindung, Löschkonzepte)
  • Architektur ausgelegt auf DORA-Anforderungen an IKT-Risikomanagement und Resilienz
  • Unterstützung regulatorischer Anforderungen an Auslagerungsmanagement und Drittparteiensteuerung
02 — Identity & Access

Identity & Access Management

  • Granulares Role-Based Access Control (RBAC) nach Least-Privilege-Prinzip
  • Banktypische Funktionstrennung (Three Lines of Defense)
  • Integrierte Multi-Faktor-Authentifizierung (MFA / 2FA)
  • Adaptive Zugriffskontrollen mit IP-Blockierung und Brute-Force-Schutz
≡ Compliance: Entspricht den Anforderungen an Zugriffssteuerung und Governance gemäß MaRisk AT 7.2 sowie DORA Artikel 9.
03 — Verschlüsselung

End-to-End Daten- und Kommunikationssicherheit

  • AES-256 Verschlüsselung (Data-at-Rest)
  • TLS 1.2 / 1.3 (Data-in-Transit) für sämtliche Kommunikationskanäle
  • Argon2id als state-of-the-art Verfahren zur Absicherung von Zugangsdaten
  • OAuth 2.0 (Client Credentials Flow) für abgesicherte System-zu-System-Kommunikation (API)
≡ Compliance: Gewährleistet Vertraulichkeit, Integrität und Authentizität gemäß aufsichtsrechtlichen Anforderungen.
04 — Secure Development

Applikationssicherheit & Secure Development

  • Schutz vor OWASP Top 10 Risiken (SQL Injection, CSRF, XSS)
  • Einsatz eines gehärteten Frameworks (Django) mit etablierten Security Controls
  • Content Security Policy (CSP) & HTTP Strict Transport Security (HSTS)
  • Konsequentes HTTPS-only Enforcement
≡ Compliance: Entspricht Best Practices aus EBA ICT & Security Risk Guidelines sowie DORA Secure Development Anforderungen.
05 — Monitoring & Resilienz

Monitoring, Testing & Resilienz

  • Kontinuierliche Vulnerability Scans mit KI-gestützter Anomalieerkennung
  • Regelmäßige, BSI-konforme Penetrationstests durch externe Spezialisten (z. B. Controlware)
  • Laufendes Security Monitoring und Angriffserkennung
  • Unterstützung von Anforderungen an Incident Detection & Response (DORA Kapitel II)
06 — Audit & Governance

Auditfähigkeit & Daten-Governance

  • Revisionssichere Audit-Trails und vollständige Data Lineage
  • Nachvollziehbare Dokumentation aller Datenänderungen und -quellen
  • Konsistente Datenbasis für Pillar III / CRR Art. 449a Offenlegung & ESG-Risikoberichterstattung
  • Belastbar für Prüfungen durch Aufsicht und Wirtschaftsprüfer
≡ Compliance: Unterstützt Anforderungen an Transparenz, Nachvollziehbarkeit und Prüfbarkeit (MaRisk AT 4.3, AT 7.2).
In-Product Security

Sicherheit, die Anwender direkt sehen.

Sicherheit ist in openESG kein Backend-Versprechen, sondern jederzeit nachvollziehbar – von der Zugriffskontrolle über Benutzereinstellungen bis zur Multi-Faktor-Authentifizierung.

Access Control

Granulare Zugriffskontrolle

Integrierte und transparente Rollen- und Rechtsverwaltung nach Least-Privilege-Prinzip

Granulare Zugriffskontrolle in openESG
2FA / MFA

2-Faktor-Authentifizierung

Integrierte MFA – aktivierbar für alle Nutzergruppen und API-Integrationen.

2-Faktor-Authentifizierung in openESG

Nahtlos integriert. Mandantensicher getrennt.

openESG fügt sich systembruchfrei in bestehende Bankenarchitekturen ein – über offene APIs, ohne Medienbrüche, mit strikter Mandantentrennung.

API-first
Architektur ohne Medienbrüche
100 %
Systembruchfreie Integration in bestehende Bankensysteme
Multi-Tenant
Strikte logische Mandantentrennung

Sie wollen tiefer einsteigen?

Erhalten Sie unser detailliertes Security Whitepaper inkl. aktueller Pentest-Zusammenfassung, DORA-Mapping und Architektur-Diagrammen.

Weitere Informationen anfordern Demo vereinbaren