Custodi

Accord de Traitement des Données (DPA)

Cet accord régit le traitement des données personnelles pour le compte du responsable du traitement conformément à l'article 28 du RGPD.

Version 2025-12-21Date d'entrée en vigueur : 21 décembre 2025

Cet Accord de Traitement des Données définit les conditions dans lesquelles nous, en tant que sous-traitant, traitons les données personnelles pour votre compte.

Parties

Responsable du Traitement

Your company (as Data Controller)

Sous-traitant

David Huh

Lucian-Reich-Str. 16

76473 Iffezheim

Objet et Durée du Traitement

Objet du Traitement

Operation of the Custodi platform for property and facility management

Durée du Traitement

Duration of the contractual relationship

Nature et Finalité du Traitement

Storage, processing, and transmission of property, meter reading, and user data

Types de Données Personnelles

Contact data, authentication data, meter readings, property data, activity logs

Catégories de Personnes Concernées

Controller's employees, customers, property owners

Obligations du Sous-traitant

  • Traitement uniquement selon les instructions documentées
  • Obligation de confidentialité
  • Mesures techniques et organisationnelles (MTO)
  • Recours à des sous-traitants ultérieurs
  • Assistance pour les droits des personnes concernées
  • Suppression et restitution des données
  • Documentation et contrôle

Mesures Techniques et Organisationnelles (MTO)

Technische und Organisatorische Maßnahmen (TOMs)

Datensicherheit:

    Es erfolgt eine tägliche automatisierte Sicherung der Datenbanken beim Cloud-Provider (Neon Tech Inc., Deutschland/Frankfurt). Zusätzlich erfolgt eine regelmäßige, geo-redundante Archivierung kritischer Daten auf einem lokalen Speichersystem beim Auftragnehmer (Cold Storage).

Verschlüsselung:

  • Alle Datenübertragungen erfolgen über HTTPS/TLS 1.3
  • Passwörter werden mit bcrypt gehasht
  • Session-Tokens werden verschlüsselt gespeichert

Zugriffskontrolle:

  • Rollenbasierte Zugriffskontrolle (RBAC) auf Organisationsebene
  • Zwei-Faktor-Authentifizierung (2FA) verfügbar
  • Audit-Logs für sicherheitsrelevante Ereignisse

Datentrennung:

  • Strikte Mandantentrennung auf Datenbankebene
  • Automatische Filterung nach Organisations-ID
  • Keine Cross-Organisation-Zugriffe möglich

Backup & Recovery:

  • Tägliche automatisierte Backups
  • 30 Tage Backup-Aufbewahrung
  • Geo-redundante Speicherung kritischer Daten

Liste des Sous-traitants Ultérieurs

Une liste à jour de tous les sous-traitants ultérieurs se trouve dans notre Politique de Confidentialité, section Sous-traitants.

NamePurposeLocationSafeguards
Vercel Inc.Hosting & CDNGermany (Frankfurt)Standard Contractual Clauses (SCC)
Neon Tech Inc.Database HostingGermany (Frankfurt)Standard Contractual Clauses (SCC)
Resend Inc.Email ServiceIrelandStandard Contractual Clauses (SCC)
Perplexity AI Inc.AI-powered meter reading analysisUSAStandard Contractual Clauses (SCC)
Redis Labs Ltd.Real-time synchronization infrastructureGermany (Frankfurt)Standard Contractual Clauses (SCC)
Mapbox Inc.Address geocoding, map visualization, and location servicesGlobal CDN (EU nodes available)Standard Contractual Clauses (SCC)
Bright Sky API / Deutscher Wetterdienst (DWD)Weather data and forecasting servicesGermany (DWD Offenbach)Public sector data provider (DWD is a German federal authority); Server-side API calls only (no client IP addresses transmitted); Coordinates rounded to 2 decimals (~1.1km precision) for data minimization; Data licensed under CC BY 4.0

Dernière mise à jour: 21 décembre 2025