Ihre Datensicherheit ist unsere höchste Priorität
SPHIOR ist mit einer Security-First-Architektur gebaut. Wir veröffentlichen unsere Sicherheitspraktiken, Compliance-Roadmap und Subprozessor-Liste.
SOC 2
Typ I in Vorbereitung
TLS 1.2+
Gesamter Datenverkehr verschlüsselt
AES-256
Verschlüsselung im Ruhezustand
GDPR
DPA verfügbar
Wie wir Ihre Daten schützen
Transportverschlüsselung
Gesamter Datenverkehr mit TLS 1.2+ verschlüsselt. HTTP wird auf HTTPS umgeleitet. HSTS erzwungen.
Verschlüsselung im Ruhezustand
Alle ruhenden Daten mit AES-256 verschlüsselt. Provider-verwaltete Schlüssel.
Zugriffskontrolle (RLS)
Row-Level Security gewährleistet Tenant-Isolation. Admin-Endpoints MFA-geschützt.
Schutz von Anmeldedaten
Enterprise-Authentifiziertes Scanning verwendet AES-GCM 256-Bit Client-seitige Verschlüsselung mit HKDF-basierter Zwei-Schicht-Schlüsselarchitektur.
Isolierte Scan-Umgebung
Scanner laufen in ephemeren Containern (AWS Lambda + Fargate), die nach jedem Scan zerstört werden.
Kontinuierliches Monitoring
Infrastruktur-Gesundheit, Pipeline-Status und Fehlerraten werden 24/7 überwacht mit automatischen Alerts.
Wir prüfen uns selbst mit SPHIOR — jeden Monat
SPHIOR führt dieselben automatisierten Scans auf der eigenen Produktionsinfrastruktur durch. Jeden Monat wird sphior.app einer vollständigen externen und authentifizierten Schwachstellenbewertung unterzogen.
SPHIOR ist sowohl Prüfer als auch Prüfungsgegenstand — wir nutzen unser eigenes Produkt. Kritische Findings werden innerhalb von 30 Tagen behoben.
Strukturierte Reaktion mit definierten SLAs
Erkennung & Triage
Automatisiertes Monitoring erkennt Anomalien. Bereitschaftsingenieur bewertet die Schwere.
Eindämmung
Betroffene Systeme isolieren. Kompromittierte Anmeldedaten widerrufen. Forensische Beweise sichern.
Kundenbenachrichtigung
Betroffene Kunden werden mit Auswirkungsumfang und empfohlenen Maßnahmen benachrichtigt.
Behebung & Post-Mortem
Ursachenanalyse, dauerhafte Korrektur bereitgestellt und Post-Incident-Review veröffentlicht.
Klare Aufbewahrungsfristen mit Löschrecht
| Datentyp | Aufbewahrung | Zweck |
|---|---|---|
| Scan-Ergebnisse | 13 Monate | Jahresvergleich und Trendanalyse |
| PDF-Berichte | 13 Monate | Audit-Evidenz-Archiv; AES-256-verschlüsselt |
| Datenbank-Backups | 7 Tage PITR | Point-in-Time-Recovery für Katastrophen |
| Ephemere Scan-Payloads | 0 — sofort | Keine Persistenz; nach Ausführung zerstört |
| Daten bei Kontolöschung | 30 Tage | Karenzzeit; dann dauerhaft gelöscht |
| Audit-Logs | 12 Monate | Sicherheitsuntersuchung und Compliance |
Drittanbieter, die Daten verarbeiten
Wir minimieren die Anzahl der Subprozessoren und bewerten die Sicherheitslage jedes Anbieters sorgfältig. Diese Liste wird bei Änderungen aktualisiert.
| Anbieter | Zweck | Verarbeitete Daten | Standort |
|---|---|---|---|
| Database Provider | Datenspeicherung, Authentifizierung & Zugriffskontrolle | Kontodaten, Scan-Metadaten, zugriffskontrollierte Datensätze | US |
| CDN & Edge Provider | Content-Delivery, Edge Compute, verschlüsselter Speicher, DDoS-Schutz | PDF-Berichte (AES-256-verschlüsselt), Scan-Artefakte | Global |
| Application Host | Anwendungshosting und Anfrageverarbeitung | Keine persistenten Kundendaten; ephemere Verarbeitung | Global (Edge) |
| Cloud Infrastructure | Scanner-Ausführung in isolierten, ephemeren Containern | Ephemere Scan-Payloads; nach Ausführung zerstört | Asia-Pacific (Tokyo) |
| Payment Processor | Zahlungsverarbeitung, Abonnement-Abrechnung, Rechnungstellung | Nur Zahlungstoken; SPHIOR speichert keine Kartennummern | US / EU |
| AI Provider | AI-Berichtsgenerierung (nur Textanalyse; keine Kunden-PII gesendet) | Anonymisierte Scan-Ergebnisse → strukturierter Berichtstext | US |
| Email Delivery | Transaktions-E-Mail-Versand (Monatsberichte, Benachrichtigungen) | Empfänger-E-Mail-Adressen, Zustellmetadaten | US |
Richtlinie zur verantwortungsvollen Offenlegung (VDP)
Wir begrüßen Sicherheitsforscher, die Schwachstellen melden. Bestätigung innerhalb von 3 Werktagen, Erstbewertung innerhalb von 10 Werktagen, Behebung innerhalb von 90 Tagen.
Geltungsbereich
Im Umfang
sphior.app, app.sphior.app, API endpoints
Antwort-SLA
Bestätigung < 3 Tage, Bewertung < 10 Tage
Fix-SLA
Kritisch < 30 Tage, Hoch < 60 Tage, Sonstige < 90 Tage
Safe Harbor
Gutgläubige Forscher werden nicht rechtlich verfolgt
AVV automatisch generieren
Unser System generiert automatisch einen AVV gemäß DSGVO, CCPA und APPI. Füllen Sie das Formular aus und Ihr signiertes PDF wird in Kürze bereit sein.
Letzte Aktualisierung: 2025-05-13
Fragen zu unseren Sicherheitspraktiken? Kontaktieren Sie security@sphior.com