From 95c371e9a548a005fd3f30cf60244689ee371736 Mon Sep 17 00:00:00 2001 From: Benjamin Admin Date: Fri, 20 Mar 2026 09:12:11 +0100 Subject: [PATCH] feat(sdk): update SDK Flow, Architecture, and StepHeader for vendor-compliance integration - flow-data.ts: vendor-compliance moved from betrieb/seq:4200 to dokumentation/seq:2500, prerequisite changed to vvt, added 5 DB tables - architecture-data.ts: added vendor tables and API endpoints to backend-compliance service definition - StepHeader.tsx: added vendor-compliance explanation with 4 tips (Art. 28, cross-module integration, third-country transfers, controls library). Updated obligations (12 checks, vendor-link, document), loeschfristen (vendor picker), tom (vendor-controls cross-ref), vvt (processor tab from vendor API) Co-Authored-By: Claude Opus 4.6 --- .../app/sdk/architecture/architecture-data.ts | 6 ++ .../app/sdk/sdk-flow/flow-data.ts | 16 ++--- .../components/sdk/StepHeader/StepHeader.tsx | 72 ++++++++++++++++--- 3 files changed, 76 insertions(+), 18 deletions(-) diff --git a/admin-compliance/app/sdk/architecture/architecture-data.ts b/admin-compliance/app/sdk/architecture/architecture-data.ts index 1256c89..71a6335 100644 --- a/admin-compliance/app/sdk/architecture/architecture-data.ts +++ b/admin-compliance/app/sdk/architecture/architecture-data.ts @@ -160,6 +160,8 @@ export const ARCH_SERVICES: ArchService[] = [ 'security_backlog', 'quality_entries', 'notfallplan_incidents', 'notfallplan_templates', 'data_processing_agreement', + 'vendor_vendors', 'vendor_contracts', 'vendor_findings', + 'vendor_control_instances', 'compliance_templates', 'compliance_isms_scope', 'compliance_isms_context', 'compliance_isms_policy', 'compliance_security_objectives', 'compliance_soa', 'compliance_audit_findings', 'compliance_corrective_actions', @@ -178,6 +180,10 @@ export const ARCH_SERVICES: ArchService[] = [ 'CRUD /api/compliance/vvt', 'CRUD /api/compliance/loeschfristen', 'CRUD /api/compliance/obligations', + 'CRUD /api/sdk/v1/vendor-compliance/vendors', + 'CRUD /api/sdk/v1/vendor-compliance/contracts', + 'CRUD /api/sdk/v1/vendor-compliance/findings', + 'CRUD /api/sdk/v1/vendor-compliance/control-instances', 'CRUD /api/isms/scope', 'CRUD /api/isms/policies', 'CRUD /api/isms/objectives', diff --git a/admin-compliance/app/sdk/sdk-flow/flow-data.ts b/admin-compliance/app/sdk/sdk-flow/flow-data.ts index 6524fce..5e64922 100644 --- a/admin-compliance/app/sdk/sdk-flow/flow-data.ts +++ b/admin-compliance/app/sdk/sdk-flow/flow-data.ts @@ -672,19 +672,19 @@ export const SDK_FLOW_STEPS: SDKFlowStep[] = [ id: 'vendor-compliance', name: 'Vendor Compliance', nameShort: 'Vendor', - package: 'betrieb', - seq: 4200, + package: 'dokumentation', + seq: 2500, checkpointId: 'CP-VEND', checkpointType: 'REQUIRED', checkpointReviewer: 'NONE', - description: 'Pruefung und Verwaltung aller Auftragsverarbeiter und Drittanbieter.', - descriptionLong: 'Vendor Compliance verwaltet alle externen Dienstleister, die im Auftrag personenbezogene Daten verarbeiten (Auftragsverarbeiter nach Art. 28 DSGVO). Fuer jeden Vendor wird geprueft: Gibt es einen AVV? Wo werden Daten gespeichert (EU/Drittland)? Welche TOMs hat der Vendor? Gibt es Subunternehmer? Die Pruefung umfasst auch regelmässige Re-Assessments und die Verwaltung von Standardvertragsklauseln (SCCs) fuer Drittlandtransfers.', + description: 'Pruefung und Verwaltung aller Auftragsverarbeiter und Drittanbieter — Cross-Modul-Integration mit VVT, Obligations, TOM und Loeschfristen.', + descriptionLong: 'Vendor Compliance verwaltet alle externen Dienstleister, die im Auftrag personenbezogene Daten verarbeiten (Auftragsverarbeiter nach Art. 28 DSGVO). Fuer jeden Vendor wird geprueft: Gibt es einen AVV? Wo werden Daten gespeichert (EU/Drittland)? Welche TOMs hat der Vendor? Gibt es Subunternehmer? Cross-Modul-Integration: VVT-Processor-Tab liest Vendors mit role=PROCESSOR direkt aus der Vendor-API, Obligations und Loeschfristen verknuepfen Vendors ueber linked_vendor_ids (JSONB), TOM zeigt Vendor-Controls als Querverweis.', legalBasis: 'Art. 28 DSGVO (Auftragsverarbeiter), Art. 44-49 (Drittlandtransfer)', inputs: ['modules', 'vvt'], - outputs: ['vendorAssessments'], - prerequisiteSteps: ['escalations'], - dbTables: [], - dbMode: 'none', + outputs: ['vendorAssessments', 'vendorControlInstances'], + prerequisiteSteps: ['vvt'], + dbTables: ['vendor_vendors', 'vendor_contracts', 'vendor_findings', 'vendor_control_instances', 'compliance_templates'], + dbMode: 'read/write', ragCollections: ['bp_compliance_recht'], ragPurpose: 'AVV-Vorlagen und Pruefkataloge', isOptional: false, diff --git a/admin-compliance/components/sdk/StepHeader/StepHeader.tsx b/admin-compliance/components/sdk/StepHeader/StepHeader.tsx index cdadb9a..e28ca6e 100644 --- a/admin-compliance/components/sdk/StepHeader/StepHeader.tsx +++ b/admin-compliance/components/sdk/StepHeader/StepHeader.tsx @@ -545,8 +545,8 @@ export const STEP_EXPLANATIONS = { }, 'tom': { title: 'Technische und Organisatorische Massnahmen', - description: 'Dokumentieren Sie Ihre TOMs nach Art. 32 DSGVO', - explanation: 'TOMs sind konkrete Sicherheitsmassnahmen zum Schutz personenbezogener Daten. Das Dashboard zeigt den Status aller aus dem TOM Generator abgeleiteten Massnahmen mit SDM-Mapping und Gap-Analyse.', + description: 'TOMs nach Art. 32 DSGVO mit Vendor-Controls-Querverweis', + explanation: 'TOMs sind konkrete Sicherheitsmassnahmen zum Schutz personenbezogener Daten. Das Dashboard zeigt den Status aller aus dem TOM Generator abgeleiteten Massnahmen mit SDM-Mapping und Gap-Analyse. Im Uebersicht-Tab werden zusaetzlich Vendor-TOM-Controls (VND-TOM-01 bis VND-TOM-06) aus dem Vendor-Compliance-Modul als Querverweis angezeigt.', tips: [ { icon: 'warning' as const, @@ -563,12 +563,17 @@ export const STEP_EXPLANATIONS = { title: 'SDM-Mapping', description: 'Kontrollen werden den 7 SDM-Gewaehrleistungszielen zugeordnet: Verfuegbarkeit, Integritaet, Vertraulichkeit, Nichtverkettung, Intervenierbarkeit, Transparenz, Datenminimierung.', }, + { + icon: 'success' as const, + title: 'Vendor-Controls', + description: 'Im Uebersicht-Tab werden Vendor-TOM-Controls (VND-TOM-01 bis 06) als Read-Only-Querverweis angezeigt: Verschluesselung, Zugriffskontrolle, Verfuegbarkeit und Ueberpruefungsverfahren Ihrer Auftragsverarbeiter.', + }, ], }, 'vvt': { title: 'Verarbeitungsverzeichnis', - description: 'Erstellen und verwalten Sie Ihr Verzeichnis nach Art. 30 DSGVO', - explanation: 'Das Verarbeitungsverzeichnis (VVT) dokumentiert alle Verarbeitungstaetigkeiten mit personenbezogenen Daten. Der integrierte Generator-Fragebogen befuellt 70-90% der Pflichtfelder automatisch anhand Ihres Unternehmensprofils.', + description: 'Verarbeitungsverzeichnis nach Art. 30 DSGVO mit integriertem Processor-Tab', + explanation: 'Das Verarbeitungsverzeichnis (VVT) dokumentiert alle Verarbeitungstaetigkeiten mit personenbezogenen Daten. Der integrierte Generator-Fragebogen befuellt 70-90% der Pflichtfelder automatisch. Der Tab "Auftragsverarbeiter (Abs. 2)" liest Vendors mit role=PROCESSOR/SUB_PROCESSOR direkt aus der Vendor-Compliance-API — keine doppelte Datenhaltung.', tips: [ { icon: 'warning' as const, @@ -585,6 +590,11 @@ export const STEP_EXPLANATIONS = { title: 'Kein oeffentliches Dokument', description: 'Das VVT ist ein internes Dokument. Es muss der Aufsichtsbehoerde nur auf Verlangen vorgelegt werden (Art. 30 Abs. 4).', }, + { + icon: 'success' as const, + title: 'Processor-Tab (Art. 30 Abs. 2)', + description: 'Auftragsverarbeiter werden direkt aus dem Vendor Register gelesen (Read-Only). Neue Vendors werden im Vendor-Compliance-Modul angelegt und erscheinen hier automatisch. PDF-Druck fuer Art. 30 Abs. 2 Dokument.', + }, ], }, 'cookie-banner': { @@ -611,8 +621,8 @@ export const STEP_EXPLANATIONS = { }, 'obligations': { title: 'Pflichtenuebersicht', - description: 'Alle regulatorischen Pflichten auf einen Blick', - explanation: 'Die Pflichtenuebersicht aggregiert alle Anforderungen aus DSGVO, AI Act, NIS2 und weiteren Regulierungen. Sie sehen auf einen Blick, welche Pflichten fuer Ihr Unternehmen gelten.', + description: 'Regulatorische Pflichten mit 12 Compliance-Checks und Vendor-Verknuepfung', + explanation: 'Die Pflichtenuebersicht aggregiert alle Anforderungen aus DSGVO, AI Act, NIS2 und weiteren Regulierungen. 12 automatische Compliance-Checks pruefen Vollstaendigkeit, Fristen, Nachweise und Vendor-Verknuepfungen. Art.-28-Pflichten koennen mit Auftragsverarbeitern aus dem Vendor Register verknuepft werden. Das Pflichtenregister-Dokument (11 Sektionen) kann als auditfaehiges PDF gedruckt werden.', tips: [ { icon: 'info' as const, @@ -621,15 +631,25 @@ export const STEP_EXPLANATIONS = { }, { icon: 'warning' as const, - title: 'Fristen', - description: 'Achten Sie auf die Umsetzungsfristen. Einige Pflichten haben feste Deadlines.', + title: 'Compliance-Checks', + description: '12 automatische Checks: Fehlende Verantwortliche, ueberfaellige Fristen, fehlende Nachweise, keine Rechtsreferenz, stagnierende Regulierungen, nicht gestartete High-Priority-Pflichten, fehlende Vendor-Verknuepfung (Art. 28) u.v.m.', + }, + { + icon: 'success' as const, + title: 'Vendor-Verknuepfung', + description: 'Art.-28-Pflichten (Auftragsverarbeitung) koennen direkt mit Vendors aus dem Vendor Register verknuepft werden. Check #12 (MISSING_VENDOR_LINK) warnt bei fehlender Verknuepfung.', + }, + { + icon: 'lightbulb' as const, + title: 'Pflichtenregister-Dokument', + description: 'Generieren Sie ein auditfaehiges Pflichtenregister mit 11 Sektionen: Ziel, Geltungsbereich, Methodik, Regulatorische Grundlagen, Pflichtenuebersicht, Details, Verantwortlichkeiten, Fristen, Nachweisverzeichnis, Compliance-Status und Aenderungshistorie.', }, ], }, 'loeschfristen': { title: 'Loeschfristen', - description: 'Definieren Sie Aufbewahrungsrichtlinien fuer Ihre Daten', - explanation: 'Loeschfristen legen fest, wie lange personenbezogene Daten gespeichert werden duerfen. Die 3-Stufen-Logik (Zweckende, Aufbewahrungspflicht, Legal Hold) stellt sicher, dass alle gesetzlichen Anforderungen beruecksichtigt werden.', + description: 'Aufbewahrungsrichtlinien mit VVT-Verknuepfung und Vendor-Zuordnung', + explanation: 'Loeschfristen legen fest, wie lange personenbezogene Daten gespeichert werden duerfen. Die 3-Stufen-Logik (Zweckende, Aufbewahrungspflicht, Legal Hold) stellt sicher, dass alle gesetzlichen Anforderungen beruecksichtigt werden. Policies koennen mit VVT-Verarbeitungstaetigkeiten und Auftragsverarbeitern aus dem Vendor Register verknuepft werden.', tips: [ { icon: 'warning' as const, @@ -646,6 +666,11 @@ export const STEP_EXPLANATIONS = { title: 'Backup-Behandlung', description: 'Auch Backups muessen ins Loeschkonzept einbezogen werden. Daten koennen nach primaerer Loeschung noch in Backup-Systemen existieren.', }, + { + icon: 'success' as const, + title: 'Vendor-Verknuepfung', + description: 'Loeschfrist-Policies koennen mit Auftragsverarbeitern verknuepft werden. So ist dokumentiert, welche Vendors Loeschpflichten fuer bestimmte Datenkategorien haben.', + }, ], }, 'consent': { @@ -716,6 +741,33 @@ export const STEP_EXPLANATIONS = { }, ], }, + 'vendor-compliance': { + title: 'Vendor Compliance', + description: 'Auftragsverarbeiter-Management mit Cross-Modul-Integration', + explanation: 'Vendor Compliance verwaltet alle Auftragsverarbeiter (Art. 28 DSGVO) und Drittanbieter. Fuer jeden Vendor werden AVVs, Drittlandtransfers, TOMs und Subunternehmer geprueft. Das Modul ist zentral mit vier weiteren Modulen integriert: VVT-Processor-Tab liest Vendors direkt aus der API, Obligations und Loeschfristen verknuepfen Vendors ueber linked_vendor_ids, TOM zeigt Vendor-Controls als Querverweis.', + tips: [ + { + icon: 'warning' as const, + title: 'Art. 28 DSGVO', + description: 'Jede Auftragsverarbeitung erfordert einen schriftlichen Vertrag (AVV). Pruefen Sie: Weisungsgebundenheit, TOMs, Subunternehmer-Genehmigung, Loeschpflicht und Audit-Recht.', + }, + { + icon: 'info' as const, + title: 'Cross-Modul-Integration', + description: 'Vendors erscheinen automatisch im VVT-Processor-Tab, koennen in Obligations und Loeschfristen verknuepft werden, und ihre TOM-Controls werden im TOM-Modul als Querverweis angezeigt.', + }, + { + icon: 'lightbulb' as const, + title: 'Drittlandtransfer', + description: 'Bei Datenverarbeitung ausserhalb der EU/EWR sind Standardvertragsklauseln (SCCs) oder andere Garantien nach Art. 44-49 DSGVO erforderlich.', + }, + { + icon: 'success' as const, + title: 'Controls Library', + description: '6 TOM-Domain Controls (VND-TOM-01 bis VND-TOM-06) pruefen Verschluesselung, Zugriffskontrolle, Verfuegbarkeit und Ueberpruefungsverfahren bei Ihren Auftragsverarbeitern.', + }, + ], + }, 'document-generator': { title: 'Dokumentengenerator', description: 'Generieren Sie rechtliche Dokumente aus lizenzkonformen Vorlagen',