Sicherheit · Vertrauen
Selbstgehostet konzeptionell. Ihre Daten verlassen Ihre Infrastruktur nie .
Olivares AI steuert den Zugriff auf die KI-Agenten in Ihrer Infrastruktur und ist deshalb von Grund auf auf Sicherheit ausgelegt. Es läuft innerhalb Ihrer eigenen Infrastruktur, beobachtet ausschließlich lesend und erfasst die Zugriffskarte — nicht die Daten, die durch sie hindurchfließen. Auf dieser Seite zeigen wir ehrlich, wie wir das belegen.
Datenverarbeitung
Was wir berühren und was Ihre Umgebung nie verlässt
Die stärkste Datenschutzgarantie ist architektonisch, kein Zertifikat: Weil Olivares AI selbstgehostet ist, bleiben sensible Daten innerhalb Ihres Perimeters, und wir sehen sie nie.
Läuft in Ihrer Infrastruktur
Selbstgehostet auf Ihren eigenen Hosts, Clustern oder Clouds — die Control Plane selbst kann vollständig air-gapped laufen und ihre Zugriffskarte ohne jeglichen Abfluss Ihrer Daten erfassen. Die von Ihnen gesteuerten Agenten erreichen weiterhin die APIs, die sie aufrufen, etwa einen gehosteten Modellanbieter; nur selbst hostbare Modelle laufen vollständig offline. Selbstgehostet heißt: Ihre Daten verlassen Ihre Umgebung nicht.
Kanten, keine Payloads
Es erfasst Zugriffsbeziehungen — welcher Agent welche Ressource erreichen kann, lesend versus lesend/schreibend — nicht die Query-Inhalte, Payloads oder Secrets, die durch sie hindurchfließen. Was wir nicht speichern, können wir nicht preisgeben.
Secrets und personenbezogene Daten geschwärzt
Eingaben, die Secrets oder personenbezogene Daten enthalten können, werden geschwärzt und einem Secret-Scan unterzogen, bevor irgendetwas geschrieben wird. Mehr Detailtiefe muss ein Betreiber bewusst aktiv freischalten.
Nur lesende Beobachtung
Der Collector beobachtet; er schreibt nie in Ihre Datenbanken und verändert nie Ihre Hosts. Er liest Identitäten wie eine Rolle oder einen Anwendungsnamen — keine Credential-Werte. Er ist kein Data Sniffer.
Keine Telemetrie nach Hause
Secure by default bedeutet kein Phone-Home: Anbieter-Telemetrie ist deaktiviert, solange Sie sie nicht ausdrücklich einschalten. Nichts über Ihre Umgebung wird an uns gesendet.
Sie steuern die Aufbewahrung
Aufbewahrung und Löschung sind konfigurierbar, und in air-gapped Deployments verlässt überhaupt nichts Ihre Umgebung.
Schwachstellenoffenlegung
Ein Sicherheitsproblem melden
Wir begrüßen koordinierte Offenlegung und handeln in guter Absicht gegenüber Forschenden, die es ebenso halten. Befunde am Sicherheitsmodell selbst sind ausdrücklich willkommen.
Vertraulich melden an
security@olivares.aiBitte eröffnen Sie für eine vermutete Schwachstelle kein öffentliches Issue, keinen Pull Request und keine Diskussion. PGP ist auf Anfrage verfügbar, bevor Sie Details senden.
Was Sie erwartet
- Eingangsbestätigung innerhalb von 3 Werktagen
- Erstbewertung innerhalb von 10 Werktagen
- Koordinierte Offenlegung bis zu 90 Tage, früher, sobald ein Fix ausgeliefert wird
Bitte nicht senden
Keine echten Secrets, Credentials oder Tokens (schwärzen Sie sie), keine personenbezogenen Daten von Kunden oder Dritten und keine Produktiv-Dumps sowie kein aktives Ausnutzen von Systemen, die Ihnen nicht gehören. Beschreiben Sie sensible Auswirkungen, anstatt sie anzuhängen — wir richten einen sicheren Kanal ein.
Olivares AI befindet sich im Pre-Release. Es gibt noch keine unterstützten getaggten Versionen; Sicherheitsfixes werden ausschließlich auf den main-Branch angewendet.
Subunternehmer
Wer sonst noch Daten verarbeitet
Diese Website verwendet keine Subunternehmer für Analyse, Werbung oder Tracking. Es ist eine statische Site mit selbstgehosteten Schriftarten, einer strikten Same-Origin-Content-Security-Policy und ohne Cookies. Sie wird über ein Content Delivery Network ausgeliefert, das nur die Verbindungsmetadaten verarbeitet, die zur Auslieferung der Seite nötig sind — beim Surfen erheben wir keine personenbezogenen Daten.
Für das Produkt selbst gilt: Weil Olivares AI auf Ihrer eigenen Infrastruktur selbstgehostet ist, gibt es keinen anbieterseitigen Subunternehmer für Ihre Daten. Sie bleiben in Ihrem Perimeter, und wir sehen sie nicht. Ein mögliches zukünftiges Managed-Angebot würde seine eigene Liste der Subunternehmer veröffentlichen; heute wird keines angeboten.
Datenverarbeitung
Auftragsverarbeitungsvertrag (DSGVO Art. 28)
Ein Auftragsverarbeitungsvertrag ist auf Anfrage für die Enterprise-Beschaffung verfügbar. Weil Olivares AI selbstgehostet ist, bleiben Sie in den meisten Deployments Verantwortlicher und Verarbeiter Ihrer eigenen Daten innerhalb Ihrer eigenen Infrastruktur; ein AVV kann dennoch geschlossen werden, um die Verantwortlichkeiten für eine Geschäftsbeziehung zu formalisieren.
Compliance-Haltung
Ehrlich, wo wir stehen
Olivares AI befindet sich im Pre-Release und ist weder nach SOC 2, ISO/IEC 27001, der EU-KI-Verordnung noch nach einem anderen Rahmenwerk zertifiziert, und es läuft kein Audit. Wir gestalten das Produkt so, dass es sich auf die Kontrollen abbilden lässt, die diese Rahmenwerke prüfen — Audit-Logging, Zugriffskontrolle, Integrität, Verschlüsselung und Änderungsmanagement — damit es auditbereit ist, wenn die Zeit gekommen ist. Eine formale Zertifizierung (zum Beispiel SOC 2 Type 2) ist ein späterer Schritt, den die Architektur ermöglichen soll; sie ist keine Voraussetzung für das erste Release.
Rahmenwerke, auf die wir hin entwickeln
-
SOC 2 / ISO 27001
Kontrollziele, auf die wir hin entwickeln — nicht zertifiziert, auf der Roadmap.
-
EU-KI-Verordnung
Darauf ausgelegt, ihre Kontroll- und Dokumentationsanforderungen zu unterstützen.
-
CSA MAESTRO
Eine Methodik zur Bedrohungsmodellierung, an der wir uns abbilden — kein zertifizierbarer Standard.
-
OWASP Agentic Threats
Abgebildet auf die Liste agentischer Bedrohungen und Gegenmaßnahmen.
-
CISA-/NIST-Leitlinien
Leitlinien, kein zertifizierbarer Standard — Design-toward, keine Konformitätsaussage.
Wo wir eine Übereinstimmung mit externen Rahmenwerken beschreiben, handelt es sich um eine technische Abbildung, nicht um eine Zertifizierung — und bei noch nicht finalisierten Standards um ein Design-toward-Signal ohne Konformitätsaussage.
Build-Integrität
- Releases sind kryptografisch signiert, werden mit einer Software Bill of Materials ausgeliefert und tragen Build-Provenance.
- Ein einziges, speichersicheres statisches Binary in minimalen, gehärteten Container-Images.
- Minimale, gepinnte Abhängigkeiten — keine Install-Skripte, die ungeprüften Code ausführen.
- Abhängigkeits- und Secret-Scans sperren jede Änderung in der CI, bis sie bestanden sind.
Diese Garantien greifen ab dem ersten getaggten Release; das Projekt ist heute Pre-Alpha.
Behebungsziele
- Kritisch 7 Tage
- Hoch 14 Tage
- Mittel 30 Tage
- Niedrig nächstes geplantes Release
Unsere zugesagte Behebungskadenz, gültig ab dem ersten getaggten Release. Aktiv ausgenutzte Schwachstellen werden als kritisch behandelt.
Vertrauensfragen
Wohin gehen meine Daten?
In der selbstgehosteten Edition bleiben Ihre Daten innerhalb Ihrer eigenen Infrastruktur; Olivares AI erhält sie nicht. Das Produkt erfasst die Zugriffskarte — nicht die Payloads, Secrets oder personenbezogenen Daten, die durch sie fließen.
Sind Sie nach SOC 2 oder ISO 27001 zertifiziert?
Noch nicht. Das Produkt ist darauf ausgelegt, sich auf die Kontrollziele von SOC 2 und ISO 27001 abzubilden, sodass es auditbereit ist, aber eine formale Zertifizierung steht auf der Roadmap und wurde nicht erlangt. Wir werden keine Zertifizierung behaupten, die wir nicht besitzen.
Wie melde ich eine Sicherheitsschwachstelle?
Schreiben Sie vertraulich an security@olivares.ai — bitte eröffnen Sie kein öffentliches Issue. Unsere vollständige Richtlinie steht in SECURITY.md, verlinkt aus /.well-known/security.txt (RFC 9116). Wir bestätigen den Eingang innerhalb von drei Werktagen.
Bieten Sie einen AVV an?
Ja, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist auf Anfrage für die Enterprise-Beschaffung verfügbar. Kontakt: enterprise@olivares.ai.
Fragen Ihres Sicherheits- oder Beschaffungsteams?
Melden Sie eine Schwachstelle an unseren Sicherheitskontakt oder wenden Sie sich an uns für Beschaffung, einen AVV oder ein Security Review.