Sicherheit & Datenschutz
Ihre Messedaten sind geschäftskritisch. Wir schützen sie mit branchenüblicher Verschlüsselung, strikter Mandantenisolierung und EU-gehosteter Infrastruktur.
Europäische Infrastruktur
Alle Daten werden innerhalb der Europäischen Union gespeichert und verarbeitet.
Gehostet auf Hetzner
Deutscher Cloud-Anbieter mit ISO/IEC 27001-zertifizierten Rechenzentren in Nürnberg, Falkenstein und Helsinki.
Hetzner-Zertifizierungen
ISO/IEC 27001:2022
Informationssicherheitsmanagement, zertifiziert von SOCOTEC Certification
BSI C5 Type 2
Cloud Computing Compliance Controls Catalogue, verifiziert vom Bundesamt für Sicherheit in der Informationstechnik
EU-Datenjurisdiktion
Alle Datenverarbeitung innerhalb der EU-Grenzen. Keine Drittland-Datenübertragungen.
Technische Sicherheitskontrollen
Mehrere Schutzebenen vom Netzwerk bis zur Anwendung.
Transportverschlüsselung
Alle Verbindungen mit TLS 1.3 über automatische Let's Encrypt-Zertifikate gesichert. HTTP-Anfragen werden auf HTTPS umgestellt.
Authentifizierung
JWT-Zugriffstokens mit automatischer Refresh-Token-Rotation. Passwörter mit bcrypt gehasht (10 Salt-Runden). Passwort-Reset-Tokens sind einmalig und laufen nach 24 Stunden ab.
Rollenbasierter Zugriff
Dreistufige Zugriffskontrolle (Mitarbeiter, Koordinator, Superuser). Jeder API-Endpunkt erzwingt Rollenanforderungen. Mitarbeiter können nur auf zugewiesene Veranstaltungen zugreifen.
Mandantenisolierung
Strikte Datentrennung auf Unternehmensebene. Jede Datenbankabfrage ist auf den authentifizierten Mandanten beschränkt. Kein unternehmensübergreifender Datenzugriff möglich.
Eingabevalidierung
Alle API-Eingaben werden vor der Verarbeitung mit Zod-Schemas validiert. Prisma ORM gewährleistet parametrisierte Abfragen — kein SQL-Injection-Risiko.
Mobile Sicherheit
Authentifizierungstokens werden im Geräteschlüsselbund (iOS) oder verschlüsselten SharedPreferences (Android) gespeichert — niemals im Klartext.
Datenschutz
Wie wir Ihre Informationen handhaben und schützen.
Passwortsicherheit
Passwörter werden vor der Speicherung mit bcrypt gehasht. Wir speichern oder übertragen niemals Klartext-Passwörter. Passwort-Reset-Tokens sind kryptographisch zufällig und einmalig.
Token-Verwaltung
Refresh-Tokens sind SHA-256-gehasht in der Datenbank. Token-Rotation stellt sicher, dass kompromittierte Tokens sofort ungültig werden. Abmeldung widerruft alle aktiven Sitzungen.
API-Sicherheit
CORS-Whitelist beschränkt den API-Zugriff auf autorisierte Domains. Datei-Uploads sind größenbeschränkt. Fehlermeldungen sind generisch, um Informationslecks zu verhindern.
Audit-Protokollierung
Authentifizierungsereignisse, Datenänderungen und administrative Aktionen werden mit Zeitstempeln, Benutzerkontext und IP-Adressen protokolliert.
Infrastruktur & Deployment
Produktionsreife containerisierte Architektur.
Docker-Container
Alle Dienste laufen in isolierten Docker-Containern mit Gesundheitschecks und automatischen Neustarts.
PostgreSQL 16
Enterprise-Datenbank mit persistenten Volumes. Nicht öffentlich erreichbar — nur von Anwendungscontainern zugänglich.
Traefik Reverse Proxy
Automatische TLS-Zertifikatsverwaltung, gesundheitscheck-gesteuerte Traffic-Weiterleitung und Zero-Downtime-Deployments.
Automatisierte CI/CD
Alle Codeänderungen durchlaufen automatisierte Tests vor dem Deployment. Datenbankmigrationen werden atomar vor der Traffic-Umschaltung angewandt.
Unser Engagement
Sicherheit ist ein fortlaufender Prozess. Wir überprüfen und stärken kontinuerlich unsere Sicherheitslage, während die Plattform wächst. Bei Sicherheitsfragen oder zur Meldung einer Schwachstelle kontaktieren Sie uns.