NormPilot Trust Center

Vertrauen durch pruefbare Betriebsgrenzen

NormPilot Industrie verbindet Audit Evidence Workflows mit KI-Transparenz, Datenschutz, GoBD-Nachvollziehbarkeit, Tenant-Isolation und Normlizenzgrenzen.

EU AI Act limited_riskHuman Review PflichtTenant-Isolation / RLSDSGVO & GoBD Audit TrailKeine Norm-Volltexte

KI-Entwurf mit Reviewpflicht

⚠️ KI-generiert (NormPilot, limited_risk, EU AI Act). Vor Maßnahmenumsetzung durch Fachverantwortlichen prüfen.

Human-in-the-loop

Evidence, Gaps, Maßnahmen und Exporte bleiben Entwürfe, bis ein fachlicher Review abgeschlossen ist.

Normlizenzgrenze

NormPilot nutzt kundeneigene Anforderungen, Kapitelcodes, Locator und kurze Anchors. Norm-Volltexte werden nicht gespeichert oder ausgegeben.

EU AI Act Transparenz

NormPilot ist im Standardbetrieb als limited_risk Audit-Copilot ausgelegt. KI-Ausgaben bleiben Entwuerfe und benoetigen Human Review.

KI-Transparenz ansehen

DSGVO / AVV

Datensparsamkeit, Zweckbindung, Retention und AVV-Pruefung sind Teil der Pilot-Go/No-Go-Kriterien.

Datenschutz ansehen

GoBD / Audit Trail

Evidence Packs sollen Review-Status, Zeitstempel, Hash-/Locator-Kontext und technische Audit Events nachvollziehbar machen.

Audit Log oeffnen

Tenant-Isolation / RLS

Tenant-Kontext, Row-Level Security und serverseitige Guards bleiben die Grenze fuer produktive Evidence-Daten.

Security ansehen

Security Monitoring

CI, Gitleaks, Semgrep, Dependency Audit, NormPilot-Smoke und Production-Smoke-Checks bleiben blockierende Gates.

Systemstatus ansehen

Normlizenz-Policy

Keine Norm-Volltexte in UI, Prompts, Tests, Seeds oder Exporten. Erlaubt sind Kurzreferenzen, Codes, Locator, Hashes und kurze Anchors.

Compliance Uebersicht

Pilot-Go/No-Go

Was vor Public Pilot live sein muss

Diese Punkte sind operative Mindestgrenzen. Sie ersetzen keine AVV-, Datenschutz- oder fachliche Freigabe.

KI-Ausgaben als Entwurf kennzeichnen

Human-in-the-loop vor Maßnahmenumsetzung

Keine echten Kundendaten in Testsystemen

Keine Provider Keys ohne Governance-Freigabe

Keine Norm-Volltexte speichern oder ausgeben

Tenant-Isolation und RLS nicht umgehen

Data Retention

Quellen, Evidence Packs, Audit Events und Exporte benoetigen tenant-bezogene Aufbewahrungs- und Loeschregeln. Demo- und Preview-Daten werden getrennt von Production bewertet.

Incident Response

Security- und Datenschutzvorfaelle brauchen Triage, Scope, betroffene Tenants, Sofortmassnahmen, Kommunikationsweg und Nachbereitung mit konkreten Issues oder PRs.

Subprocessors

Transparente Betriebsbausteine

Detailseite ansehen

DienstleisterZweckStatus

VercelHosting, Deployment, RuntimeVor Pilot pruefen

NeonPostgreSQL EU Central / FrankfurtVor Pilot pruefen

MailanbieterTransaktionale E-Mails, falls aktivNur wenn konfiguriert

AI ProviderOptionale KI-Analyse nach FreigabeNicht Voraussetzung fuer v0.1

Fragen zu Security, Datenschutz oder Normlizenz?

Fuer Pilotfreigaben werden DNS/SSL, Runtime, Auth, Neon, Security Gates und Compliance-Hinweise anhand der Production-Smoke-Checkliste dokumentiert.

Pilotfreigabe besprechen AVV ansehen