Sicherheit

Stand: 1. Mai 2025

1. Infrastruktur und Datenspeicherort

Alle Vindaris-Daten werden ausschließlich auf Servern der Hetzner Online GmbH im Rechenzentrum Nürnberg (DE-NBG), Deutschland, gespeichert und verarbeitet. Das Rechenzentrum befindet sich innerhalb der Europäischen Union. Im Zusammenhang mit der Kernplattform werden keine Daten in Rechenzentren außerhalb der EU/des EWR übertragen oder gespeichert.

Das Nürnberger Rechenzentrum von Hetzner ist nach ISO 27001 zertifiziert und betreibt hohe physische Sicherheitsstandards, einschließlich 24/7-Videoüberwachung, Zugangskontrolle und redundanter Stromversorgung.

2. Verschlüsselung

• Übertragung: Die gesamte Kommunikation zwischen deinem Browser/Client und Vindaris ist mit TLS 1.2 oder höher verschlüsselt (TLS 1.3 bevorzugt). HTTP-Anfragen werden automatisch auf HTTPS umgeleitet.
• Speicherung: Alle auf der Festplatte gespeicherten Kundendaten sind mit AES-256 verschlüsselt. Datenbank-Backups werden vor der Speicherung verschlüsselt.
• Passwörter: Nutzerpasswörter werden mit bcrypt mit einem Mindest-Kostenfaktor von 12 gehasht. Klartextpasswörter werden niemals gespeichert oder protokolliert.

3. Zugangskontrolle

• Der Produktionszugang ist auf namentlich benannte Ingenieure per SSH mit schlüsselbasierter Authentifizierung und Multi-Faktor-Authentifizierung (MFA) beschränkt.
• Der Zugang zu Produktionssystemen folgt dem Prinzip der minimalen Rechtevergabe. Zugriffsrechte werden vierteljährlich überprüft und bei Rollenwechsel oder Ausscheiden sofort entzogen.
• Alle administrativen Aktionen in der Produktionsinfrastruktur werden protokolliert und sind prüfbar.

4. Anwendungssicherheit

• Wir führen regelmäßige Code-Reviews mit Fokus auf die OWASP Top 10 Schwachstellen durch.
• Abhängigkeiten werden mithilfe automatisierter Tools auf bekannte Schwachstellen überwacht und zeitnah aktualisiert.
• Eingabevalidierung und Ausgabe-Encoding werden in der gesamten Anwendung angewendet, um Injection-Angriffe und XSS zu verhindern.
• CSRF-Schutz wird auf alle zustandsändernden Anfragen angewendet.
• Rate-Limiting wird auf Authentifizierungs-Endpunkte angewendet, um Brute-Force-Angriffe zu verhindern.

5. Monitoring und Protokollierung

Wir betreiben ein kontinuierliches Monitoring unserer Infrastruktur und Anwendungsschicht, einschließlich:

• Verfügbarkeitsmonitoring mit automatischen Benachrichtigungen
• Fehlerrate- und Latenzüberwachung
• Sicherheitsereignisprotokollierung (Authentifizierungsereignisse, Zugriffsversuche, Anomalien)
• Protokollaufbewahrung: Sicherheitsprotokolle werden 90 Tage aufbewahrt

6. Backup und Wiederherstellung

• Datenbank-Backups werden täglich erstellt und 30 Tage aufbewahrt.
• Backups werden in verschlüsselter Form an einem geografisch getrennten Standort innerhalb Deutschlands gespeichert.
• Wiederherstellungsverfahren werden mindestens vierteljährlich getestet.

7. Incident Response

Im Falle eines Sicherheitsvorfalls, der personenbezogene Daten betrifft, informieren wir betroffene Kunden innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls gemäß Art. 33 und 34 DSGVO. Die Benachrichtigung enthält eine Beschreibung des Vorfalls, seine voraussichtlichen Folgen und die ergriffenen oder geplanten Maßnahmen.

Um eine Sicherheitslücke zu melden, kontaktiere uns unter security@vindaris.com. Wir bemühen uns, Meldungen innerhalb von 48 Stunden zu bestätigen.

8. Technische und organisatorische Maßnahmen (TOM) – Art. 32 DSGVO

Wir setzen folgende TOM um, um eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme
• Fähigkeit zur Wiederherstellung personenbezogener Daten nach einem Vorfall
• Regelmäßige Überprüfung und Bewertung der Wirksamkeit der TOM
• Physische Zugangskontrolle im Hetzner-Rechenzentrum
• Logische Zugangskontrolle mit MFA für alle administrativen Zugriffe
• Datensparsamkeit – wir erheben nur die zur Diensterbringung notwendigen Daten
• Mitarbeiterschulung zum Datenschutz und zur Informationssicherheit

9. Auftragsverarbeiter

Unser primärer Infrastruktur-Auftragsverarbeiter ist die Hetzner Online GmbH (Nürnberg, Deutschland). Eine vollständige Liste der Auftragsverarbeiter findest du auf unserer DSGVO-Seite.