Unser Commitment

Das NOVA AVA Service Level Agreement garantiert 99,8% Systemverfügbarkeit rund um die Uhr, ausgenommen Wartungsfenster, und legt strenge Richtlinien für Datensicherheit und DSGVO-Konformität fest. Der Support erfolgt exklusiv über drei Ebenen, inklusive proaktiver Überwachung, und ist werktags von 08:00-17:00 Uhr (Fr 16:00 Uhr) MEZ erreichbar. Incidents werden nach Schweregrad priorisiert, während Service- und Change Requests nach Aufwand abgerechnet werden und letztere nicht zwingend genehmigt werden müssen.

NOVA AVA nutzt für seine SaaS-Lösung ISO 27001-zertifizierte AWS-Server in Deutschland, die DSGVO-konform sind und Daten mit AES-256 (ruhend) und SSL (übertragung) verschlüsseln. Die Anwendung wurde gemäß BSI-Penetrationstest und OWASP Top 10 gehärtet und ist zusätzlich durch AWS Shield und WAF geschützt. Regelmäßige Updates und ClamAV sind implementiert. Es bietet konfigurierbare Passwortrichtlinien, 2FA, SSO und ein umfassendes Backup-Konzept. Schnittstellen wie REST-API, GAEB, IFC, Excel und CSV sowie anwendungsspezifische Zertifikate sind vorhanden.

Der Auftragsverarbeitungsvertrag (AVV) zwischen NOVA BUILDING IT GmbH und dem Kunden regelt die datenschutzkonforme Verarbeitung personenbezogener Daten durch NOVA im Auftrag des Kunden, basierend auf Art. 28 Abs. 3 DS-GVO. Er definiert Pflichten, Kontrollrechte, den Einsatz von Unterauftragnehmern, Vertraulichkeit sowie technische und organisatorische Maßnahmen zur Datensicherheit.

Der Abschlussbericht des Penetrationstests für die Webanwendung NOVA AVA, durchgeführt von Secuvera zwischen dem 7. Januar und dem 13. Februar 2025, attestiert der Anwendung ein „sehr hohes Sicherheitsniveau“, da abschließend keine Schwachstellen identifiziert werden konnten. Der Test, ein White-Box-Test auf Anwendungsebene, wurde in einer Laborumgebung auf einer virtuellen Kali-Linux-Maschine durchgeführt, wobei Tools wie „sqlmap“ und „Burp Suite Pro“ zum Einsatz kamen. Ziele waren die Identifikation technischer Schwachstellen sowie die Überprüfung des Rechte- und Rollenkonzepts, basierend auf dem OWASP Testing Guide v4 und der BSI-Studie „Durchführungskonzept für Penetrationstests“. Alle während der Tests gefundenen Schwachstellen und Sicherheitshinweise wurden vom Kunden noch während der Prüfung behoben und die Behebung verifiziert.