Vollständige Dokumentation der idvault-Anwendung zur Erfassung, Klassifizierung und Überwachung von Eigenentwicklungen (einschließlich Individueller Datenverarbeitungen (IDV) nach MaRisk AT 7.2), DORA (Art. 28, 30) und BAIT.
Begriffsklärung: „Eigenentwicklung" ist in dieser Anwendung der Oberbegriff für alle erfassten Datenverarbeitungen (Arbeitshilfen, IDVs, Eigenprogrammierungen, Auftragsprogrammierungen). „IDV" bezeichnet ausschließlich das regulatorische Klassifikationsergebnis einer Eigenentwicklung nach MaRisk AT 7.2.
Diese Dokumentation ist so strukturiert, dass sie einer aufsichtsrechtlichen Prüfung durch die interne Revision, externe Wirtschaftsprüfer, die BaFin oder die Deutsche Bundesbank standhält. Die Gliederung folgt den branchenüblichen Dokumentationsanforderungen für bankfachliche IT-Anwendungen.
| Dokument | Inhalt | Zielgruppe |
|---|---|---|
| 01 – Anwendungsdokumentation | Vollständiger Funktionsumfang, Workflows, Rollen, Bedienung | Fachbereich, Koordinator, Anwender |
| 07 – Aufsichtsrechtliche Konformität | Mapping MaRisk AT 7.2 · DORA · BAIT · MaGo · KAIT | Revision, Compliance, Prüfer |
| Dokument | Inhalt | Zielgruppe |
|---|---|---|
| 02 – Pflichtenheft | Funktionale und nicht-funktionale Anforderungen (FA/NFA) | Entwicklung, Auftraggeber |
| 03 – Architektur | Systemarchitektur, Komponenten, Schnittstellen | Architekten, Entwickler, Revision |
| 04 – Datenmodell | Datenbankschema, Tabellen, Beziehungen, Views | Entwickler, DBA, Revision |
| Dokument | Inhalt | Zielgruppe |
|---|---|---|
| 05 – Sicherheitskonzept | Authentifizierung, Autorisierung, Verschlüsselung, Audit-Trail | IT-Sicherheit, Revision |
| 06 – Betriebshandbuch | Installation, Konfiguration, Monitoring, Backup, Update | Betrieb, Administratoren |
| Dokument | Inhalt | Zielgruppe |
|---|---|---|
| 08 – Quellcodeanalyse | Code-Qualitätsbewertung, Metriken, technische Schulden | Revision, IT-Sicherheit |
| 09 – Schwachstellenanalyse | CVE-Mapping, OWASP-Top-10, Risikobewertung, Remediation | IT-Sicherheit, Revision |
| Dokument | Inhalt | Zielgruppe |
|---|---|---|
| 10 – Scanner | Scanner für Eigenentwicklungen (Dateisystem, Teams/SharePoint) | Administratoren |
| 11 – Build & Deployment | Build-Pipeline, PyInstaller, Sidecar-Updates | Entwicklung, Betrieb |
| 12 – Glossar | Begriffe, Abkürzungen, Rollen | Alle |
| Version | Datum | Autor | Änderungen |
|---|---|---|---|
| 1.0.0 | 2026-04-15 | Restrukturierung | Erstfassung strukturierter Dokumentation |
Diese Dokumentation gilt für idvault Version 0.1.0 und nachfolgende
Patch-Versionen innerhalb der Hauptversion 0.x, soweit nicht ausdrücklich
abweichende Angaben erfolgen. Die aktuell ausgelieferte Version ist in
version.json dokumentiert.
- MaRisk (Mindestanforderungen an das Risikomanagement) – BaFin, aktuelle Fassung
- BAIT (Bankaufsichtliche Anforderungen an die IT) – BaFin
- DORA (Digital Operational Resilience Act) – Verordnung (EU) 2022/2554
- MaGo (Mindestanforderungen an die Geschäftsorganisation) – BaFin
- ISO/IEC 27001:2022 – Informationssicherheitsmanagementsysteme
- OWASP Top 10 (2021) – Web Application Security
Die Freigabe dieser Dokumentation obliegt der Geschäftsleitung gemeinsam mit der IT-Leitung und dem Informationssicherheits- beauftragten (ISB). Jede produktive Änderung an der Anwendung ist mit einer entsprechenden Aktualisierung dieser Dokumentation zu begleiten (vgl. MaRisk AT 5 Tz. 1).
Copyright © 2026 Volksbank Gronau-Ahaus eG und Carsten
Volmer (Entwicklung). Alle Rechte vorbehalten. Das Lizenzmodell ist
in der Datei LICENSE im Projekt-Root dokumentiert.