Ihre Datensicherheit ist unsere höchste Priorität
STLUR ist mit einer Security-First-Architektur gebaut. Wir veröffentlichen unsere Sicherheitspraktiken, Compliance-Roadmap und Subprozessor-Liste.
SOC 2
Typ I in Vorbereitung
TLS 1.2+
Gesamter Datenverkehr verschlüsselt
AES-256
Verschlüsselung im Ruhezustand
GDPR
DPA verfügbar
Wie wir Ihre Daten schützen
Transportverschlüsselung
Gesamter Datenverkehr mit TLS 1.2+ verschlüsselt. HTTP wird auf HTTPS umgeleitet. HSTS erzwungen.
Verschlüsselung im Ruhezustand
Alle ruhenden Daten mit AES-256 verschlüsselt. Provider-verwaltete Schlüssel.
Zugriffskontrolle (RLS)
Row-Level Security gewährleistet Tenant-Isolation. Admin-Endpoints MFA-geschützt.
Schutz von Anmeldedaten
Enterprise-Authentifiziertes Scanning verwendet AES-GCM 256-Bit Client-seitige Verschlüsselung mit HKDF-basierter Zwei-Schicht-Schlüsselarchitektur.
Isolierte Scan-Umgebung
Scanner laufen in ephemeren Containern (AWS Lambda + Fargate), die nach jedem Scan zerstört werden.
Kontinuierliches Monitoring
Infrastruktur-Gesundheit, Pipeline-Status und Fehlerraten werden 24/7 überwacht mit automatischen Alerts.
Wir prüfen uns selbst mit STLUR — jeden Monat
STLUR führt dieselben automatisierten Scans auf der eigenen Produktionsinfrastruktur durch. Jeden Monat wird stlur.app einem vollständigen Nuclei + ZAP-Scan unterzogen.
STLUR ist sowohl Prüfer als auch Prüfungsgegenstand — wir nutzen unser eigenes Produkt. Kritische Findings werden innerhalb von 30 Tagen behoben.
SOC 2 Typ I in Bearbeitung — Typ II Ziel Q4 2026
STLUR-Berichte unterstützen bei der SOC-2-TSC-Evidenzsammlung. Sie sind ergänzende Nachweise — kein Bestätigungsvermerk. Hier ist STLURs eigene Zertifizierungs-Roadmap.
Interne Sicherheitskontrollen eingerichtet
Automatisiertes monatliches Self-Audit mit STLUR
SOC 2 Typ I Audit — in Bearbeitung
SOC 2 Typ I Bericht veröffentlicht
SOC 2 Typ II Zertifizierungsziel
Strukturierte Reaktion mit definierten SLAs
Erkennung & Triage
Automatisiertes Monitoring erkennt Anomalien. Bereitschaftsingenieur bewertet die Schwere.
Eindämmung
Betroffene Systeme isolieren. Kompromittierte Anmeldedaten widerrufen. Forensische Beweise sichern.
Kundenbenachrichtigung
Betroffene Kunden werden mit Auswirkungsumfang und empfohlenen Maßnahmen benachrichtigt.
Behebung & Post-Mortem
Ursachenanalyse, dauerhafte Korrektur bereitgestellt und Post-Incident-Review veröffentlicht.
Klare Aufbewahrungsfristen mit Löschrecht
Scan-Ergebnisse
13 Monate
Jahresvergleich und Trendanalyse
PDF-Berichte
13 Monate
Audit-Evidenz-Archiv; verschlüsselt in R2 (AES-256)
Datenbank-Backups
7 Tage PITR
Point-in-Time-Recovery für Katastrophenszenarien
Ephemere Scan-Payloads
0 — sofort zerstört
Keine Persistenz; Container wird nach Ausführung zerstört
Daten bei Kontolöschung
30 Tage
Karenzzeit; dann dauerhaft aus allen Systemen gelöscht
Audit-Logs
12 Monate
Sicherheitsuntersuchung und Compliance-Anforderungen
Drittanbieter, die Daten verarbeiten
Wir minimieren die Anzahl der Subprozessoren und bewerten die Sicherheitslage jedes Anbieters sorgfältig. Diese Liste wird bei Änderungen aktualisiert.
| Anbieter | Zweck | Verarbeitete Daten | Standort |
|---|---|---|---|
| Supabase | Datenbank, Authentifizierung & Row-Level Security | Kontodaten, Scan-Metadaten, RLS-geschützte Zeilen | US (AWS us-east-1) |
| Cloudflare | CDN, Edge Compute, R2-Speicher, DNS, DDoS-Schutz | PDF-Berichte (AES-256-verschlüsselt), Scan-Artefakte, Edge-Cache | Global |
| Vercel | Frontend-Hosting, Serverless-API-Routen, ISR | Keine persistenten Kundendaten; ephemere Verarbeitung | Global (Edge) |
| AWS (ap-northeast-1) | Scanner-Ausführung in isolierten Containern (Lambda + Fargate) | Ephemere Scan-Payloads; nach Ausführung zerstört | Asia-Pacific (Tokyo) |
| Stripe | Zahlungsverarbeitung, Abonnement-Abrechnung, Rechnungstellung | Nur Zahlungstoken; STLUR speichert keine Kartennummern | US / EU |
| Anthropic (Claude) | AI-Berichtsgenerierung (nur Textanalyse; keine Kunden-PII gesendet) | Anonymisierte Scan-Ergebnisse → strukturierter Berichtstext | US |
| Resend | Transaktions-E-Mail-Versand (Monatsberichte, Benachrichtigungen) | Empfänger-E-Mail-Adressen, Zustellmetadaten | US |
Richtlinie zur verantwortungsvollen Offenlegung (VDP)
Wir begrüßen Sicherheitsforscher, die Schwachstellen melden. Bestätigung innerhalb von 3 Werktagen, Erstbewertung innerhalb von 10 Werktagen, Behebung innerhalb von 90 Tagen.
Geltungsbereich
Im Umfang
stlur.app, app.stlur.app, API endpoints
Antwort-SLA
Bestätigung < 3 Tage, Bewertung < 10 Tage
Fix-SLA
Kritisch < 30 Tage, Hoch < 60 Tage, Sonstige < 90 Tage
Safe Harbor
Gutgläubige Forscher werden nicht rechtlich verfolgt
DSGVO / CCPA / APPI-konformer AVV verfügbar
Wir stellen auf Anfrage einen Auftragsverarbeitungsvertrag (AVV) bereit. Unser AVV deckt DSGVO, CCPA und APPI ab. Kontaktieren Sie security@stlur.app. Antwort innerhalb von 2 Werktagen.
Letzte Aktualisierung: 2025-05-13
Fragen zu unseren Sicherheitspraktiken? Kontaktieren Sie security@stlur.com