91063f09b8
obligations-document, tom-document, loeschfristen-document, compliance-scope-triggers, sdk-flow/flow-data, processing-activities, loeschfristen-baseline-catalog, catalog-registry, dsfa mitigation-library + risk-catalog, vvt-baseline-catalog, vendor contract-review checklists + findings, demo-data, tom-compliance. Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
254 lines
13 KiB
TypeScript
254 lines
13 KiB
TypeScript
/**
|
|
* SDK Flow Steps — Paket 5: Betrieb (seq 4000+)
|
|
*/
|
|
import type { SDKFlowStep } from './types'
|
|
|
|
export const STEPS_BETRIEB: SDKFlowStep[] = [
|
|
{
|
|
id: 'dsr',
|
|
name: 'DSR Portal',
|
|
nameShort: 'DSR',
|
|
package: 'betrieb',
|
|
seq: 4000,
|
|
checkpointId: 'CP-DSR',
|
|
checkpointType: 'REQUIRED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Einrichtung des Portals fuer Betroffenenrechte (Auskunft, Loeschung, Widerspruch).',
|
|
descriptionLong: 'Das DSR-Portal (Data Subject Rights) ermoeglicht es betroffenen Personen, ihre Rechte nach Art. 15-22 DSGVO auszuueben: Auskunftsrecht, Berichtigungsrecht, Loeschungsrecht ("Recht auf Vergessenwerden"), Einschraenkung der Verarbeitung, Datenportabilitaet und Widerspruchsrecht. Das Portal generiert automatisch Formulare, verwaltet Fristen (30 Tage) und dokumentiert die Bearbeitung jeder Anfrage fuer die Nachweispflicht.',
|
|
legalBasis: 'Art. 15-22 DSGVO (Betroffenenrechte)',
|
|
inputs: ['vvt', 'consents'],
|
|
outputs: ['dsrConfig'],
|
|
prerequisiteSteps: ['workflow'],
|
|
dbTables: [],
|
|
dbMode: 'none',
|
|
ragCollections: ['bp_compliance_recht'],
|
|
ragPurpose: 'Art. 15-21 DSGVO Betroffenenrechte',
|
|
isOptional: false,
|
|
url: '/sdk/dsr',
|
|
completion: 100,
|
|
},
|
|
{
|
|
id: 'escalations',
|
|
name: 'Escalations',
|
|
nameShort: 'Eskalationen',
|
|
package: 'betrieb',
|
|
seq: 4100,
|
|
checkpointId: 'CP-ESC',
|
|
checkpointType: 'REQUIRED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Definition von Eskalationspfaden bei Compliance-Verstoessen und Datenpannen — vollstaendig backend-persistent.',
|
|
descriptionLong: 'Das Eskalationsmanagement definiert klare Eskalationspfade fuer verschiedene Szenarien: Datenschutzverletzungen (Art. 33/34 DSGVO), Compliance-Verstoesse, Betroffenen-Beschwerden und Aufsichtsbehoerden-Anfragen. Fuer jedes Szenario werden Verantwortliche, Fristen (72h bei Datenpannen), Kommunikationswege und Massnahmen festgelegt. Eskalationen koennen aus DSR, Incidents und Whistleblower-Modulen heraus erstellt werden. Alle Daten werden in compliance_escalations gespeichert.',
|
|
legalBasis: 'Art. 33, 34 DSGVO (Meldepflichten bei Datenpannen)',
|
|
inputs: ['risks', 'controls'],
|
|
outputs: ['escalationWorkflows'],
|
|
prerequisiteSteps: ['dsr'],
|
|
dbTables: ['compliance_escalations'],
|
|
dbMode: 'read/write',
|
|
ragCollections: [],
|
|
isOptional: false,
|
|
url: '/sdk/escalations',
|
|
completion: 100,
|
|
},
|
|
{
|
|
id: 'consent-management',
|
|
name: 'Consent Verwaltung',
|
|
nameShort: 'Consent Mgmt',
|
|
package: 'betrieb',
|
|
seq: 4300,
|
|
checkpointId: 'CP-CMGMT',
|
|
checkpointType: 'REQUIRED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Laufende Verwaltung aller erteilten und widerrufenen Einwilligungen — E-Mail-Templates + DSGVO-Prozesse aus DB.',
|
|
descriptionLong: 'Das Consent Management System verwaltet im laufenden Betrieb alle erteilten Einwilligungen. E-Mail-Templates (Bestaetigungen, DSR-Antworten, etc.) und DSGVO-Prozesse (Art. 15-21) werden in der Datenbank gespeichert und koennen inline bearbeitet werden. Das System stellt sicher, dass Einwilligungen nachweisbar sind (Art. 7 Abs. 1 DSGVO), Widerrufe sofort wirksam werden und bei geaenderten Zwecken neue Einwilligungen eingeholt werden.',
|
|
legalBasis: 'Art. 7 DSGVO (Bedingungen fuer die Einwilligung)',
|
|
inputs: ['consents', 'documents'],
|
|
outputs: ['consentManagement'],
|
|
prerequisiteSteps: ['vendor-compliance'],
|
|
dbTables: ['compliance_consent_email_templates', 'compliance_consent_gdpr_processes'],
|
|
dbMode: 'read/write',
|
|
ragCollections: [],
|
|
isOptional: false,
|
|
url: '/sdk/consent-management',
|
|
completion: 100,
|
|
},
|
|
{
|
|
id: 'notfallplan',
|
|
name: 'Notfallplan & Breach Response',
|
|
nameShort: 'Notfallplan',
|
|
package: 'betrieb',
|
|
seq: 4400,
|
|
checkpointId: 'CP-NOTF',
|
|
checkpointType: 'REQUIRED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Erstellung eines Notfallplans fuer Datenpannen und Sicherheitsvorfaelle — vollstaendig backend-persistent.',
|
|
descriptionLong: 'Der Notfallplan definiert das Vorgehen bei Datenschutzverletzungen (Data Breaches). Er enthaelt: Sofortmassnahmen zur Schadensbegrenzung, Meldeprozess an die Aufsichtsbehoerde (innerhalb 72h nach Art. 33 DSGVO), Benachrichtigung betroffener Personen (Art. 34 DSGVO), Dokumentation des Vorfalls und Massnahmen zur Verhinderung kuenftiger Vorfaelle. Alle Szenarien, Notfallkontakte, Checklisten und Uebungen werden in der Datenbank gespeichert — kein Mock-Data mehr.',
|
|
legalBasis: 'Art. 33, 34 DSGVO (Meldung von Datenpannen)',
|
|
inputs: ['risks', 'controls'],
|
|
outputs: ['incidentResponsePlan'],
|
|
prerequisiteSteps: ['consent-management'],
|
|
dbTables: ['compliance_notfallplan_scenarios', 'compliance_notfallplan_contacts', 'compliance_notfallplan_checklists', 'compliance_notfallplan_exercises'],
|
|
dbMode: 'read/write',
|
|
ragCollections: [],
|
|
generates: ['Notfallplan (PDF)'],
|
|
isOptional: false,
|
|
url: '/sdk/notfallplan',
|
|
completion: 100,
|
|
},
|
|
{
|
|
id: 'incidents',
|
|
name: 'Incident Management',
|
|
nameShort: 'Incidents',
|
|
package: 'betrieb',
|
|
seq: 4500,
|
|
checkpointId: 'CP-INC',
|
|
checkpointType: 'REQUIRED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Verwaltung und Dokumentation von Datenschutz-Vorfaellen und Sicherheitsereignissen.',
|
|
descriptionLong: 'Das Incident Management System ermoeglicht die strukturierte Erfassung, Bewertung und Bearbeitung von Datenschutzvorfaellen. Jeder Vorfall wird klassifiziert (Schweregrad, betroffene Daten, Anzahl Betroffener), der Notfallplan wird aktiviert und alle Massnahmen werden protokolliert. Das System berechnet automatisch, ob eine Meldepflicht an die Aufsichtsbehoerde oder eine Benachrichtigung der Betroffenen erforderlich ist. Historische Vorfaelle werden im Incident Registry archiviert.',
|
|
legalBasis: 'Art. 33 DSGVO (Meldung an Aufsichtsbehoerde)',
|
|
inputs: ['incidentResponsePlan'],
|
|
outputs: ['incidentRegistry'],
|
|
prerequisiteSteps: ['notfallplan'],
|
|
dbTables: [],
|
|
dbMode: 'none',
|
|
ragCollections: [],
|
|
isOptional: false,
|
|
url: '/sdk/incidents',
|
|
completion: 100,
|
|
},
|
|
{
|
|
id: 'whistleblower',
|
|
name: 'Hinweisgebersystem',
|
|
nameShort: 'Whistleblower',
|
|
package: 'betrieb',
|
|
seq: 4600,
|
|
checkpointId: 'CP-WB',
|
|
checkpointType: 'REQUIRED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Einrichtung eines anonymen Meldekanals nach HinSchG.',
|
|
descriptionLong: 'Das Hinweisgebersystem erfuellt die Anforderungen des Hinweisgeberschutzgesetzes (HinSchG). Es bietet Mitarbeitern und externen Personen einen sicheren, anonymen Kanal zur Meldung von Verstoessen gegen Compliance-Regeln, Datenschutzrecht oder andere Vorschriften. Das System schuetzt die Identitaet des Hinweisgebers, dokumentiert den Bearbeitungsprozess und stellt die Einhaltung der gesetzlichen Fristen (7 Tage Eingangsbestaetigung, 3 Monate Rueckmeldung) sicher.',
|
|
legalBasis: 'HinSchG (Hinweisgeberschutzgesetz)',
|
|
inputs: ['companyProfile'],
|
|
outputs: ['whistleblowerConfig'],
|
|
prerequisiteSteps: ['incidents'],
|
|
dbTables: [],
|
|
dbMode: 'none',
|
|
ragCollections: [],
|
|
isOptional: false,
|
|
url: '/sdk/whistleblower',
|
|
completion: 100,
|
|
},
|
|
{
|
|
id: 'academy',
|
|
name: 'Compliance Academy',
|
|
nameShort: 'Academy',
|
|
package: 'betrieb',
|
|
seq: 4700,
|
|
checkpointId: 'CP-ACAD',
|
|
checkpointType: 'REQUIRED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Erstellung eines Schulungsplans fuer Mitarbeiter zu Datenschutz und Compliance.',
|
|
descriptionLong: 'Die Compliance Academy erstellt basierend auf dem Unternehmensprofil und den aktivierten Modulen einen massgeschneiderten Schulungsplan. Verschiedene Mitarbeitergruppen erhalten unterschiedliche Schulungsinhalte: Grundlagen-Datenschutz fuer alle, vertiefte DSGVO-Schulung fuer die IT, AI-Act-Schulung fuer KI-Entwickler, Fuehrungskraefte-Schulung fuer das Management. Der Plan definiert Schulungsintervalle, Pflicht- und Wahlmodule und Erfolgskontrolle.',
|
|
inputs: ['companyProfile', 'modules'],
|
|
outputs: ['trainingPlan'],
|
|
prerequisiteSteps: ['whistleblower'],
|
|
dbTables: [],
|
|
dbMode: 'none',
|
|
ragCollections: [],
|
|
isOptional: false,
|
|
url: '/sdk/academy',
|
|
},
|
|
{
|
|
id: 'training',
|
|
name: 'Training Engine',
|
|
nameShort: 'Training',
|
|
package: 'betrieb',
|
|
seq: 4800,
|
|
checkpointId: 'CP-TRAIN',
|
|
checkpointType: 'REQUIRED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Durchfuehrung und Tracking von Compliance-Schulungen mit Quizzes und Zertifikaten — vollstaendig backend-persistent.',
|
|
descriptionLong: 'Die Training Engine setzt den Schulungsplan der Academy um. Sie bietet interaktive Schulungsmodule (DSGVO, AI Act, ISO 27001 etc.) mit Quizzes, automatisch generierten Inhalten und Zertifikaten. 28 vordefinierte Schulungsmodule sind hinterlegt. Jede abgeschlossene Schulung wird dokumentiert (Teilnehmer, Datum, Ergebnis, Quiz-Versuch) und dient als Evidence fuer Audits. Die Engine ueberwacht Faelligkeiten, sendet Erinnerungen bei ausstehenden Pflichtschulungen und generiert Compliance-Reports ueber den Schulungsstand aller Mitarbeiter. Backend: ai-compliance-sdk (Go, Port 8093) via /sdk/v1/training/*. Schulungsmatrix ordnet Rollen Pflichtmodulen zu.',
|
|
inputs: ['trainingPlan', 'modules'],
|
|
outputs: ['trainingContent'],
|
|
prerequisiteSteps: ['academy'],
|
|
dbTables: ['training_modules', 'training_assignments', 'training_quiz_questions', 'training_quiz_attempts', 'training_matrix_entries', 'training_audit_log'],
|
|
dbMode: 'read/write',
|
|
ragCollections: [],
|
|
isOptional: false,
|
|
url: '/sdk/training',
|
|
},
|
|
{
|
|
id: 'security-backlog',
|
|
name: 'Security Backlog',
|
|
nameShort: 'Sec-Backlog',
|
|
package: 'betrieb',
|
|
seq: 4900,
|
|
checkpointId: 'CP-SEC',
|
|
checkpointType: 'RECOMMENDED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Verwaltung offener Sicherheits-Findings: Schwachstellen, Fehlkonfigurationen und Haertungsmassnahmen.',
|
|
descriptionLong: 'Der Security Backlog erfasst alle identifizierten IT-Sicherheitsprobleme: CVE-Schwachstellen, Fehlkonfigurationen, Compliance-Luecken und Haertungsmassnahmen. Jeder Befund wird nach Schweregrad (critical/high/medium/low) klassifiziert, CVSS-Scores und betroffene Assets werden dokumentiert.',
|
|
legalBasis: 'Art. 32 DSGVO (Sicherheit der Verarbeitung), BSIG / IT-SiG 2.0',
|
|
inputs: ['risks', 'controls'],
|
|
outputs: ['securityBacklog'],
|
|
prerequisiteSteps: ['training'],
|
|
dbTables: ['compliance_security_backlog'],
|
|
dbMode: 'read/write',
|
|
ragCollections: [],
|
|
isOptional: true,
|
|
url: '/sdk/security-backlog',
|
|
completion: 100,
|
|
},
|
|
{
|
|
id: 'quality',
|
|
name: 'KI-Qualitaetsmanagement',
|
|
nameShort: 'Quality',
|
|
package: 'betrieb',
|
|
seq: 5000,
|
|
checkpointId: 'CP-QUAL',
|
|
checkpointType: 'RECOMMENDED',
|
|
checkpointReviewer: 'NONE',
|
|
description: 'Kontinuierliches Monitoring von KI-Qualitaetsmetriken: Genauigkeit, Fairness, Erklaerbarkeit und Tests.',
|
|
descriptionLong: 'Das KI-Qualitaetsmanagement ueberwacht alle KI-Systeme auf Qualitaetsmetriken. Fuer jede Metrik wird ein Schwellenwert definiert; Ueberschreitungen loesen Warnungen aus. Qualitaetstests werden dokumentiert. Liefert Evidence fuer AI-Act High-Risk Anforderungen (Art. 9, Art. 15).',
|
|
legalBasis: 'Art. 9 AI Act (Risikomanagementsystem), Art. 15 AI Act (Genauigkeit)',
|
|
inputs: ['aiActClassification'],
|
|
outputs: ['qualityMetrics'],
|
|
prerequisiteSteps: ['security-backlog'],
|
|
dbTables: ['compliance_quality_metrics', 'compliance_quality_tests'],
|
|
dbMode: 'read/write',
|
|
ragCollections: [],
|
|
isOptional: true,
|
|
url: '/sdk/quality',
|
|
completion: 100,
|
|
},
|
|
{
|
|
id: 'isms',
|
|
name: 'ISMS (ISO 27001)',
|
|
nameShort: 'ISMS',
|
|
package: 'betrieb',
|
|
seq: 5100,
|
|
checkpointId: 'CP-ISMS',
|
|
checkpointType: 'RECOMMENDED',
|
|
checkpointReviewer: 'DSB',
|
|
description: 'Informationssicherheits-Managementsystem: Scope, Policies, SoA, Audits, CAPA, Management-Reviews und Readiness-Check.',
|
|
descriptionLong: 'ISO 27001 Zertifizierungsvorbereitung. Verwaltet den ISMS-Scope (Kap. 4.3), Kontextanalyse (4.1/4.2), Sicherheitspolicies (5.2), Security Objectives mit SMART-KPIs (6.2), Statement of Applicability fuer alle 93 Annex-A-Controls, interne Audits (9.2), Management-Reviews (9.3), Audit-Findings mit CAPA-Workflow und einen automatischen Readiness-Check der potenzielle Major/Minor-Findings vor der externen Zertifizierung identifiziert.',
|
|
legalBasis: 'ISO/IEC 27001:2022, Art. 32 DSGVO (Sicherheit der Verarbeitung)',
|
|
inputs: ['risks', 'controls', 'requirements'],
|
|
outputs: ['ismsReadiness'],
|
|
prerequisiteSteps: ['quality'],
|
|
dbTables: [
|
|
'compliance_isms_scope', 'compliance_isms_context', 'compliance_isms_policy',
|
|
'compliance_security_objectives', 'compliance_soa',
|
|
'compliance_audit_findings', 'compliance_corrective_actions',
|
|
'compliance_management_reviews', 'compliance_internal_audits',
|
|
'compliance_audit_trail', 'compliance_isms_readiness_checks',
|
|
],
|
|
dbMode: 'read/write',
|
|
ragCollections: [],
|
|
isOptional: true,
|
|
url: '/sdk/isms',
|
|
completion: 100,
|
|
},
|
|
]
|