Zum Inhalt springen
Transparente Sicherheits-Architektur

Wo deine Daten liegen. Wie wir sie schützen.

Eine ehrliche Bestandsaufnahme der technischen und organisatorischen Sicherheits-Maßnahmen — geprüft und dokumentiert im Rahmen des Amazon SP-API Restricted Data Access.

Diese Seite ergänzt die Datenschutzerklärung und den Auftragsverarbeitungsvertrag um die operativen Sicherheits-Details.

Verschlüsselung

2-fach

AES-256-GCM + SSE-KMS

HSM-Level

FIPS 140-2

Level 3 (140-3 in progress)

Backup-Distanz

~1.300 km

Dublin → Frankfurt

Audit-Score

A+

Mozilla · SecurityHeaders

Geografische Architektur

Zwei Regionen. Eine EU.

Deine Anwendungsdaten liegen primär in der EU-Region Dublin. Verschlüsselte Backups werden täglich nach Frankfurt repliziert — rund 1.300 km entfernt, in einer eigenständigen EU-Jurisdiktion.

Primary — Dublin

Supabase PostgreSQL mit Multi-AZ-Replikation und Point-in-Time Recovery für 7 Tage.

Backup — Frankfurt

AWS S3 mit Bucket-Versionierung und Lifecycle-Auto-Löschung nach 24 Tagen.

Trennung

Zwei eigenständige EU-Mitgliedstaaten (Irland, Deutschland) schaffen geografische und regulatorische Separation zwischen Primär- und Backup-Region.

Verschlüsselung

Zweischichtig — Defense in Depth

Backup-Dateien werden zweimal verschlüsselt, mit zwei vollständig getrennten Schlüsselsystemen. Ein Angreifer müsste beide gleichzeitig kompromittieren, um lesen zu können.

Layer 1 — Anwendungsebene

AES-256-GCM mit 96-bit IV pro Operation und 128-bit Auth-Tag. Schlüssel via crypto.randomBytes(32) generiert. Die Vercel-Plattform speichert Environment-Variablen at-rest mit AES-256.

Jährliche Rotation (nächster geplanter Termin: Januar 2027) wird im internen Key-Rotation-Log dokumentiert. PII-Spalten und Backup-Archive werden mit zwei getrennten Schlüsseln verschlüsselt — Rotation passiert unabhängig.

Layer 2 — Provider-Ebene

AWS KMS Customer-Managed-Key (fakturacloud-backups-fra), HSM-gestützt mit FIPS 140-2 Level 3 (FIPS 140-3 Level 3-Validierung lt. AWS in Bearbeitung).

Schlüsselmaterial verlässt das HSM nie. Auto-Rotation jährlich; Key-Deletion blockiert (verhindert Backup-Unreadability). Envelope-Encryption für jedes S3-Objekt.

Was zusätzlich verschlüsselt wird

  • · Käufer-PII-Spalten in der Datenbank (AES-256-GCM)
  • · OAuth-Tokens für Amazon, eBay, Etsy
  • · SMTP-Credentials pro Brand
  • · Telegram-Chat-IDs
  • · Stripe-Customer-IDs in Sessions
  • · Sämtlicher Disk-Storage bei Supabase und AWS

Zugriffskontrolle

Authentifizierung & Mandantentrennung

Passwort-Policy

Mindestens 12 Zeichen, alle 4 Zeichenklassen (a-z, A-Z, 0-9, Symbole). Prüfung gegen haveibeenpwned.com bei jedem Setzen.

Passwort-Historie: letzte 10 scrypt-Hashes blockieren Wiederverwendung. Min-Age 1 Tag, Max-Age 365 Tage. Serverseitiger Namens-Ausschluss (Vor-/Nach-/Voll-Name und E-Mail-Local-Part) verhindert identitäts-abgeleitete Passwörter.

Login-Schutz

Zwei-Faktor-Authentifizierung (TOTP) ist verfügbar und lässt sich in den Einstellungen aktivieren — inklusive Recovery-Codes für den Notfall.

Account-Lockout nach 5 fehlgeschlagenen Login-Versuchen binnen 15 Minuten (30 Min Cooldown). Plus Anwendungs- Layer Brute-Force-Alert via Sentry.

Row Level Security

PostgreSQL RLS auf jeder PII-Tabelle. Jede Query wird serverseitig auf brand_id des aufrufenden Nutzers gefiltert — auch bei vollständigem Schlüssel-Diebstahl bleibt fremder Datenzugriff ausgeschlossen.

Privilegierte Accounts

Owner-Logins für Supabase (32 Zeichen), AWS Root (32), GitHub (19), Vercel (16), Amazon Seller Central (19), DHL Business GKP (19) — jeweils TOTP-MFA.

Passwort-Manager 1Password mit 24+ Zeichen Master und FIDO2-Hardware-Token als zweitem Faktor.

Netzwerk-Schicht

Vercel-Edge mit TLS 1.2+, HSTS-Header max-age=63072000; includeSubDomains; preload.

Anti-DDoS und WAF werden auf der Vercel-Plattform vererbt und durch Sentry-Rate-Anomalie-Alerts auf Anwendungsebene ergänzt.

Test- ≠ Production

Vercel Preview Deployments sind netzwerk- und credential-isoliert. Development nutzt Amazon SP-API Sandbox, separate Supabase-Projekte, separate KMS-Keys.

Produktions-PII fließt nie in Preview oder lokale Umgebungen.

Monitoring & Logs

Wir sehen, wenn etwas ungewöhnlich ist.

Sentry-Alerts (EU-Region)

Application-Exceptions, Error-Rate-Spikes, Post-Resolve- Regressionen — alle mit beforeSend-Hook, der PII vor dem Versand strippt.

Custom-Rule Login Brute Force - Spike benachrichtigt den IMPOC per E-Mail und Sentry-Mobile-App-Push. Eine unabhängige Telegram-Bot-Pipeline aus den Order-Cron-Jobs reicht das Owner-Mobile als Redundanz-Kanal für operative Anwendungs-Events; sie ist nicht Sentry-geroutet und transportiert ausschliesslich interne Order/Feed-Metadaten.

AWS CloudTrail

Eigene CloudTrail-Spur fakturacloud-master-trail loggt jeden KMS-, S3- und IAM-API-Call mit Log-File-Integrity-Validation.

12+ Monate Forward-Retention seit Aktivierung 2026-05-21 via S3-Lifecycle: Übergang in S3-Glacier nach 90 Tagen, Expire nach 400 Tagen.

Supabase Auth Logs

Ungewöhnliche Login-Standorte, mehrfache Failures, IP-Changes pro User, geografische Anomalien.

Manueller Review auf zweiwöchentlicher Cadence durch den Owner; Auffälligkeiten lösen sofortige Credential-Rotation aus.

Vulnerability Scanning

GitHub Dependabot Alerts + Auto-Security-Fixes, npm audit --audit-level=critical blockierend im CI-Build, ESLint mit Security-Plugin auf jedem Commit.

Semgrep-SAST (OWASP Top 10 + JS/TS-Regelwerke) via .github/workflows/semgrep.yml auf jedem Push und PR, plus monatlicher externer Baseline-Scan (Mozilla Observatory, SecurityHeaders, Qualys SSL Labs). Critical Fixes binnen 7 Tagen, High binnen 30 Tagen, Medium binnen 90 Tagen.

Wiederherstellung

Wenn doch mal etwas schiefgeht

Backup ist nur wertvoll, wenn es sich auch wiederherstellen lässt. Wir messen und testen das vierteljährlich.

RTO

< 4 h

Full Cross-Region-Restore

RPO (Daily)

< 24 h

Backup-Cadence

RPO (PITR)

< 5 min

Supabase Point-in-Time

Restore-Test

quartalsweise

Verify-only 2026-05-21; Full E2E 2026-08-21

Restore-Pipeline

Runbook runbook-restore-from-s3-EN.md beschreibt Phase A–G des Wiederherstellungs-Prozesses: S3-Download → AES-Decrypt → Gzip-Decompress → Manifest- Parse → Validate → FK-ordered Insert → Sanity-Check.

Das Tool restore-from-s3.ts rekonstruiert die Daten gegen ein leeres Ziel-Projekt.

PII-Anonymisierung

Täglicher Cron um 02:00 UTC anonymisiert Käufer-PII 30 Tage nach Bestelldatum — innerhalb der DSGVO- und Amazon-DPP-Window.

Anonymisierungs-Audit-Log pii_anonymization_log ist append-only by table design (keine UPDATE/DELETE- Grants für Anwendungs-Rollen) und vom Restore-Overwrite ausgeschlossen. INSERT-Fehler werden via Sentry an den IMPOC gemeldet zur manuellen Rekonziliation.

Vorfallsreaktion

Was passiert, wenn ein Alarm losgeht

Incident Response Plan

Alle Eskalationsfristen sind im Incident-Response-Plan dokumentiert. Der IMPOC ist 24/7 per E-Mail unter info@fakturacloud.de erreichbar.

< 2 h

Scope-Assessment

Welche Daten sind betroffen?

< 24 h

Amazon DPP

Meldung an security@amazon.com

< 72 h

DSGVO Art. 34

Information betroffener Personen

  • Sofortige Credential-Rotation für die betroffenen Systeme
  • Forensische Auswertung der CloudTrail-Logs und Sentry-Events
  • Benachrichtigung der zuständigen Aufsichtsbehörde (BayLDA) gemäß Art. 33 DSGVO
  • Post-Incident Review mit dokumentierter Ursachenanalyse und Maßnahmen

Externe Audits

Nicht nur unsere Aussage

Drei unabhängige Scanner bewerten unsere Sicherheits-Konfiguration jeden Monat. Stand 2026-05-21:

A+

Mozilla HTTP Observatory

10 von 10 Tests bestanden, Score 110 / 100

A+

SecurityHeaders.com

Alle sechs Pflicht-Header inklusive HSTS-Preload

Trusted

Qualys SSL Labs

Zertifikatskette ohne Beanstandung, TLS 1.2+

Penetration-Test: Ein jährlicher externer Penetration-Test ist im Risikomanagement-Plan eingeplant (Action A-02, Oktober 2026). Der jährliche Risk-Review wird ebenfalls dokumentiert und aktualisiert (nächster Review-Termin: Dezember 2026).

Beleg auf Anfrage

Resource-Identifier hinter den Aussagen

Aufsichtsbehörden und Auditoren erhalten auf Anfrage die vollständige TOM-Baseline mit AWS-Console-Belegen. Die konkreten Resource-Identifier hier oberhalb der NDA-Linie:

ResourceIdentifierRegion
S3-Backup-Bucketfakturacloud-backups-eu-central-1-prodeu-central-1 Frankfurt
KMS Customer-Managed-Keyalias/fakturacloud-backups-fraeu-central-1 Frankfurt
CloudTrail-Audit-Spurfakturacloud-master-trailmulti-region
IAM-Backup-Cron-Rollefakturacloud-backup-cronglobal
IAM-Restore-Operator-Rollefakturacloud-backup-readonlyglobal

Vollständige TOM-Baseline mit Console-Screenshots, Key-Policy-JSON, S3-Lifecycle-Konfiguration und CloudTrail-Trail-Status liegt als internes Audit-Dokument docs/infrastructure/aws-baseline.md vor und wird im Rahmen eines AVV-Audits oder einer Behörden-Anfrage gegen NDA ausgehändigt. Reproduktion über AWS CLI (aws s3api get-bucket-encryption, aws kms describe-key, aws cloudtrail get-trail-status) ist jederzeit möglich.

Subprozessoren

Wer deine Daten technisch verarbeitet

Eine kompakte Übersicht. Vollständige Liste mit Rechtsgrundlagen und DPA-Referenzen steht im AVV.

SubprozessorZweckStandort
Vercel Inc.Hosting · Serverless · Edge-CDNUSA · EU-Edge Frankfurt
Supabase Inc.Datenbank · Auth · StorageUSA · EU-Region Dublin
AWS EMEA SARLVerschlüsselter Backup-Storage (S3 + KMS)EU · eu-central-1 Frankfurt
Stripe Inc.Subscription-BillingUSA
Functional Software (Sentry)Error-Monitoring · PII gescrubbtUSA · EU-Region
Zoho (ZeptoMail)Transaktionale E-MailEU · Niederlande
Anthropic PBCKI-Belegerkennung · Opt-in pro BrandUSA · via AWS Bedrock EU
Deutsche Post DHLVersandlabel · TrackingDeutschland
Telegram FZ-LLCPush-Benachrichtigungen · Opt-in · kein PIIUAE

Fragen zur Sicherheit?

Wir antworten persönlich und ohne Marketing-Sprech. B2B-AVV-Anfragen, Auditor-Fragen, Pen-Test-Reports — einfach eine E-Mail.

E-Mail an Owner / IMPOCAVV ansehen

Stand: 01.06.2026. Diese Seite wird bei jeder Architektur-Änderung aktualisiert.