Grundsätze

Gravenos handhabt Daten nach dem Grundsatz, das zur Erbringung der Dienstleistung Notwendige zu erheben, sie für den im Hinblick auf diese Erbringung kürzestmöglichen Zeitraum aufzubewahren und sie mit den Kontrollen zu schützen, die ein vernünftiger Fachmann erwarten würde.

Wir verkaufen keine Daten. Wir teilen keine Daten mit Marketingpartnern. Wir setzen keine verhaltensbasierte Werbung ein. Dies sind keine werblichen Aussagen; es sind architektonische Verpflichtungen, sichtbar an der Abwesenheit jeder Integration in unserer Codebasis, die das Gegenteil bewirken würde.

Welche Daten wir vorhalten

Auf der Unternehmenswebsite (gravenos.com) erheben wir E-Mail-Adressen von Newsletter-Abonnenten und die Inhalte von Übermittlungen über das Kontaktformular. Auf der Drusus-Plattform (drusus.ai) halten wir die zur Bereitstellung eines Abonnementprodukts erforderlichen Daten vor: Kontoidentität (E-Mail und Passwort-Hash), vom Nutzer erfasste Portfoliobestände, Beobachtungslisten, Konfigurationen für Benachrichtigungen und analytische Historie.

Zahlungsdaten werden von Stripe verarbeitet. Gravenos speichert keine Kartennummern, CVCs oder vollständigen Bankkontoangaben auf seinen Servern. Die Integration ist so gestaltet, dass diese Daten unsere Systeme zu keinem Zeitpunkt durchlaufen.

Infrastruktur

Unsere Datenbank- und Authentifizierungsschicht wird von Supabase in der Region eu-north-1 betrieben. Die Drusus-Plattform und die Website gravenos.com sind auf Vercel bereitgestellt. E-Mail wird über Resend versandt. Domains sind über Cloudflare registriert. Zahlungen werden von Stripe verarbeitet.

Jeder dieser Anbieter arbeitet nach einem anerkannten Sicherheitsstandard. Keiner von ihnen ist Gravenos exklusiv; wir haben sie ausgewählt, weil sie die etablierten und glaubwürdigen Wahlmöglichkeiten in ihren jeweiligen Kategorien sind. Der mit dieser Wahl verbundene Trade-off besteht darin, dass unsere Sicherheitsposition zum Teil eine Funktion der ihren ist. Wir legen Vorfälle bei diesen Anbietern offen, die einen plausiblen Bezug zu unseren Nutzern haben (siehe den Bereich Aktuelles).

Authentifizierung

Konten auf der Drusus-Plattform werden über E-Mail und Passwort authentifiziert. Passwörter werden als gesalzene Hashes gespeichert; wir können das Klartext-Passwort eines Nutzers weder abrufen noch wiederherstellen. Single-Sign-On über die wichtigsten Anbieter ist verfügbar. Mehrfaktor-Authentifizierung wird vor dem öffentlichen Start eingeführt.

Regulatorische Stellung

Gravenos ist im Vereinigten Königreich eingetragen. Die Drusus-Plattform erstellt analytische Kommentare, Szenariomodelle und Risikoberechnungen; sie erstellt keine Anlageberatung im Sinne des regulatorischen Rahmens der FCA. Wir werden uns zu gegebener Zeit an den FCA Innovation Hub wenden, um eine förmliche Bestätigung dieser Rahmenposition einzuholen. Bis zum Abschluss dieser Befassung ist die hier dargelegte Position unsere bestmögliche fachliche Einschätzung, gestützt auf die Prüfung unseres Finanziellen Haftungsausschlusses durch Rechtsbeistand.

Die Datenschutz-Compliance erfolgt nach UK GDPR und dem Data Protection Act 2018. Die Registrierung beim Information Commissioner's Office ist im Gange.

Offenlegung von Vorfällen

Im Falle eines Sicherheitsvorfalls, der Gravenos-Systeme betrifft, oder eines beliebigen Drittanbieters in einer Weise, die einen plausiblen Bezug zu Gravenos-Nutzern aufweist, werden wir eine Mitteilung im Bereich Aktuelles dieser Website veröffentlichen, sobald die Tatsachenlage es erlaubt, und wir werden diese Mitteilung im Verlauf der Untersuchung aktualisieren.

Wir folgen nicht der Praxis, anfängliche Mitteilungen so vage zu fassen, dass sie nichts vermitteln. Wo die Tatsachen unsicher sind, sagen wir es; wo Daten möglicherweise oder möglicherweise nicht betroffen sind, sagen wir, welche; wo der Umfang unbekannt ist, sagen wir, was bekannt ist und was nicht. Die Folge ist, dass unsere Mitteilungen länger sein können als die Branchennorm. Wir halten dies für den richtigen Trade-off.

Meldung von Schwachstellen

Sollten Sie der Auffassung sein, eine Sicherheitsschwachstelle in einem Gravenos-System identifiziert zu haben, bitten wir Sie, sich mit den Einzelheiten zu wenden an legal@gravenos.com. Wir werden Ihren Bericht bestätigen und, wo angemessen, die Entdeckung nach Behebung des Problems öffentlich würdigen.