BrickGRC ist modular aufgebaut. Wählen Sie die Standards, die Sie tatsächlich erfüllen müssen, binden Sie Ihre vorhandene Speicher- und Identity-Infrastruktur ein und bringen Sie Ihre eigenen KI-Schlüssel mit, damit Prompts und Daten in Ihrem Konto bleiben. Unten die vollständige Liste der heute verfügbaren Bausteine.
Jeder Standard ist ein eigenständiger Baustein, Kontrollen, Nachweis-Vorlagen, audit-fertige Berichte. Einen aktivieren oder sechs. Der Preis skaliert mit dem, was Sie wirklich nutzen.
Alle 93 Anhang-A-Kontrollen (Revision 2022), ISMS-Klauseln 4–10, automatische Generierung der Anwendbarkeitserklärung und audit-fertige Exporte für Stufe 1 und Stufe 2.
Type-I- und Type-II-Unterstützung für die fünf Trust-Services-Kriterien. Continuous-Monitoring-Nachweise, auditorenfreundliche Exporte und Mapping zur ISO 27001.
Verzeichnis der Verarbeitungstätigkeiten, Rechtsgrundlagen, Workflow für Betroffenenanfragen, Auftragsverarbeiter-Inventar, Meldefristen für Datenschutzverletzungen und AVV-Bibliothek.
Risikomanagement, Vorfallmeldung, Lieferketten-Due-Diligence und Cybersecurity-Policy-Pflichten gemäß NIS2-Richtlinie.
Risikoklassifizierung, Konformitätsbewertung, Transparenzpflichten und Post-Market-Monitoring für KI-Systeme gemäß EU-KI-Verordnung.
Der Standard für KI-Managementsysteme. Richtlinien, Risiko, Lifecycle-Kontrollen und Nachweis-Vorlagen ausgerichtet an ISO/IEC 42001:2023.
Das NIST AI Risk Management Framework, Govern, Map, Measure, Manage. Crosswalk zum EU AI Act und ISO 42001, mit Nachweis-Vorlagen für jede Funktion.
BrickGRC legt sich über die Dokumenten-Infrastruktur, die Sie bereits betreiben. Nachweise, Richtlinien und Audit-Artefakte können in Ihrer Umgebung bleiben, keine erzwungene Migration in ein proprietäres Silo.
Nativer SharePoint-Online-Speicher-Backend. Dokumente, Nachweise und Richtlinien liegen in Ihren bestehenden SharePoint-Sites mit den bereits konfigurierten Zugriffskontrollen.
Azure Blob Storage als Dokumenten-Backend. Region und Lifecycle-Richtlinien bleiben unter Ihrer Kontrolle.
S3-kompatibles Backend. Bringen Sie Ihr eigenes AWS-Konto, KMS-Schlüssel und Lifecycle-Regeln mit.
Google-Workspace-Drive-Integration für Teams, die bereits auf Google standardisiert sind.
Dropbox-Business-Backend, mit übernommenen Berechtigungen für gemeinsame Ordner.
Selbstgehostetes Nextcloud als Backend, für Organisationen, die EU-residenten, kundeneigenen Speicher wollen.
Provisionieren Sie Nutzer aus Ihrem bestehenden Verzeichnis oder HR-System. Melden Sie sich über SAML, OIDC oder Social Login an. Keine separate Nutzerverwaltung nur für Compliance.
Generische SAML-2.0-Unterstützung, funktioniert mit jedem konformen Identity-Provider (Okta, Auth0, OneLogin, Ping, Keycloak, JumpCloud, ADFS …). Organisationsweite Erzwingung und JIT-Provisioning.
Generische OpenID-Connect-Unterstützung für moderne Identity-Provider. Beliebige Issuer-URL plus Client-Anmeldedaten.
Ein-Klick Google-OAuth-Anmeldung für einzelne Nutzer. Nützlich für schnelles Onboarding vor der organisationsweiten SSO-Einführung.
Ein-Klick Microsoft-OAuth-Anmeldung für einzelne Nutzer, geschäftliche oder persönliche Microsoft-Konten.
Nutzer- und Gruppen-Sync über Microsoft Graph API. Conditional Access und bestehende Rollenrichtlinien werden übernommen.
Verzeichnis-Sync und SSO. Compliance-Nutzer parallel zum Rest Ihres Stacks provisionieren und deprovisionieren.
Workspace-Verzeichnis-Sync mit gruppenbasiertem Rollen-Mapping.
Generischer SCIM-2.0-Endpunkt, provisionieren und deprovisionieren Sie Nutzer aus jedem IdP, der SCIM spricht. Bearer-Token-Auth, konfigurierbares Sync-Intervall.
JumpCloud-Verzeichnis-Sync mit org-ID-Scoping für mandantenfähige API-Schlüssel.
Synchronisieren Sie Mitarbeitende, Abteilungen und Positionen aus BambooHR, das HR-System wird zur Wahrheitsquelle dafür, wer Compliance-Zugang erhält.
Workday HCM-Verzeichnis-Sync via REST-API. OAuth 2.0 mit mandanten-scoped Client-Anmeldedaten.
Rippling Mitarbeiter-Verzeichnis-Sync, hält den Compliance-Mandanten mit Ihrer Live-Mitarbeiterliste abgestimmt.
Compliance-Fristen, Workflow-Updates und Engagement-Alerts landen im Posteingang oder Kanal, den Ihr Team bereits beobachtet, keine separate Compliance-App zum Verwalten.
Eigenes SMTP nutzen, Gmail, Office 365, SendGrid, Postmark, jeder konforme Server. STARTTLS oder SSL/TLS, Ihre Absenderadresse, Ihre Zustellbarkeit.
Pushen Sie Compliance-Alerts und Workflow-Benachrichtigungen in jeden Slack-Kanal via Incoming Webhooks.
Native Microsoft-Teams-Incoming-Webhook-Integration, Compliance-Updates erscheinen in denselben Kanälen, die Ihre Engineering- und Security-Teams bereits nutzen.
Compliance ist kein Nebenquest. Pushen Sie Behebungstickets in Ihren Issue-Tracker, synchronisieren Sie Audit-Meilensteine zum Team-Kalender, fächern Sie Ereignisse zu allem auf, was Sie per Webhook ansprechen können.
Erstellen Sie Behebungstickets und verknüpfen Sie Nachweise direkt aus BrickGRC-Kontrollen. Atlassian Cloud oder Server, scoped auf Ihr Standardprojekt.
Pushen Sie Work Items aus Compliance-Findings zu Azure Boards. Auth per Personal Access Token, konfigurierbares Standardprojekt.
Synchronisieren Sie Audit-Meilensteine, Review-Zyklen und Verlängerungsfristen zu einem Google Calendar, den Ihr Team bereits beobachtet.
Microsoft-365-Calendar-Integration, Compliance-Termine landen neben allem anderen im Kalender Ihres Teams.
Fächern Sie jedes BrickGRC-Ereignis zu jedem HTTP-Endpunkt auf. Signieren Sie Payloads mit einem Shared Secret, wählen Sie Ihre HTTP-Methode, leiten Sie in Ihre eigene Automatisierung.
Der AI Coach von BrickGRC läuft mit dem LLM-Schlüssel, den Sie bereitstellen. Prompts und Nachweise gehen über Ihre Anbieter-Beziehung, Ihre Datenisolations-Regeln und Ihre Abrechnung, niemals zwischen Mandanten geteilt, niemals mit Aufschlag.
GPT-4 / GPT-4o-Familie. Eigene baseURL unterstützt, daher funktionieren auch OpenAI-kompatible Gateways und Azure-OpenAI-Deployments.
Claude Sonnet, Opus, Haiku-Familien. Bringen Sie Ihren Anthropic-API-Schlüssel mit.
Gemini 2.5 Flash / Pro. Bringen Sie Ihren Google-AI-Studio- oder Vertex-AI-Schlüssel mit.
Command- und Embed-Modellfamilien.
Mistral Large, Medium, Small. Open-Weight-Modelle über die Mistral-API unterstützt.
Jede Änderung, wer, was, wann, vorher/nachher, wird auf Feld-Ebene für jede Entität erfasst. Unveränderliche Spur für Auditor und Aufsichtsbehörde.
Integrations-Anmeldedaten (Speicher-Backends, KI-Schlüssel, Identity-Provider) werden vor der Persistierung verschlüsselt. Operatoren können sie nicht im Klartext lesen.
Ihre KI-Prompts, Nachweise und Richtlinien sind auf Ihren Mandanten beschränkt. Kein modellweiterführendes Training mandantenübergreifend. Keine geteilten Embedding-Indizes.
Eine 15-minütige Demo ist der schnellste Weg zu sehen, wie sich die Bausteine für Ihren Stack kombinieren, Ihre Standards, Ihr Speicher, Ihr Identity-Provider, Ihre KI-Schlüssel.