Zum Hauptinhalt springen

Sicherheitsübersicht

Mehrschichtige Sicherheitskontrollen für Beschaffungs- und Vertriebsteams, die vor Pilot oder Rollout klare Datenschutz-Nachweise benötigen.

Datensicherheit

Transport- und Speicherschutz werden je Dienst geprüft; ohne Deployment-Nachweis wird kein fester Algorithmus für jeden Datenpfad behauptet.

Verschlüsselung im Ruhezustand

Je Deployment verifiziert

Der Schutz ruhender Daten folgt den konfigurierten Google-Cloud- und Firebase-Dienstkontrollen; Nachweise werden vor der Produktionsfreigabe gesammelt.

Verschlüsselung bei Übertragung

Je Deployment verifiziert

Der Transportschutz wird an bereitgestellten Endpunkten geprüft; hier wird keine universelle Protokollversion behauptet.

Cloud-Infrastruktur

Kundendaten werden auf verwalteten Google-Cloud- und Firebase-Diensten mit dienstspezifischer Regionskonfiguration verarbeitet.

Region

Dienstspezifisch

Standort

Je Deployment verifiziert

Anbieter

Google Cloud Platform / Firebase

Zugriffskontrollen

Mehrschichtige Zugriffskontrollen sollen Benutzer auf autorisierte Daten und Aktionen begrenzen; Backend-Prüfungen und Security Rules sind die maßgeblichen Durchsetzungspunkte.

  • Rollenbasierte Zugriffskontrolle (RBAC)

    Vordefinierte Rollen (Admin, Vertrieb, Distribution, Kunde) mit konfigurierbaren Berechtigungen auf Modulebene

  • Multi-Faktor-Authentifizierung (MFA)

    Firebase-Authentifizierung mit Unterstützung für E-Mail/Passwort, Telefon und Drittanbieter-Identitätsprovider

  • Sitzungsverwaltung

    Automatischer Sitzungsablauf, Ratenbegrenzung pro Benutzer und Firebase App Check-Unterstützung, sofern die Durchsetzung für das Deployment aktiviert ist.

Audit-Protokollierung

Unterstützte sicherheitsrelevante Änderungen erzeugen Audit-Ereignisse zur Betriebsprüfung; die Workflow-Abdeckung muss vor öffentlichen Produktionsaussagen verifiziert werden.

  • Audit-Ereignishistorie

    Geprüfte Workflows protokollieren Erstellungs-, Aktualisierungs-, Lösch- oder Statusmetadaten gemäß ihrem implementierten Ereignisvertrag.

  • GoBD-orientierte Nachvollziehbarkeit

    Audit-Protokollierung unterstützt prüfbare digitale Aufzeichnungen; konkrete Anforderungen sollten pro Unternehmen geprüft werden.

  • Änderungen auf Feldebene

    Wo unterstützt, erfassen Audit-Ereignisse geänderte Felder, Akteurskontext und Zeitstempel zur Prüfung.

Datenaufbewahrung

Konfigurierbare Datenaufbewahrungsrichtlinien, die rechtliche Prüfung unterstützen und Ihre Datenminimierungspräferenzen respektieren.

Rechnungsaufbewahrung

Konfigurierbare gesetzliche Frist

Aufbewahrungsdefaults für steuerrelevante Dokumente sollten gegen AO §147 und HGB §257 geprüft werden.

Konfigurierbare Richtlinien

Pro Mandant

Mandanten können Aufbewahrungsfristen über das gesetzliche Minimum hinaus in den Admin-Einstellungen konfigurieren

Backup und Wiederherstellung

Produktions-Wiederherstellung wird als Betriebsnachweis behandelt, nicht als Marketingversprechen.

  • Geplante Firestore-Sicherungen

    Die Produktionsvorprüfung verlangt eine geplante Firestore-Exportkonfiguration mit privatem, nicht standardmäßigem Sicherungs-Bucket, bevor die Produktionsprüfung bestehen kann.

  • Wiederherstellungsprobe erforderlich

    Eine Sicherung gilt erst dann als veröffentlichungsbereit, wenn eine Wiederherstellung in einer Nicht-Produktionsumgebung geprobt und dokumentiert wurde.

  • RPO/RTO nur mit Nachweis

    Kundenspezifische RPO/RTO-Zusagen werden erst in unterzeichneten Vereinbarungen genannt, nachdem Bereitstellungs-, Erstexport- und Wiederherstellungsnachweise vorliegen.

Sicherheitstests

Die Sicherheitsprüfung kombiniert Quellcode-Review, automatisierte Checks und eine klare Offenlegung noch ausstehender Testarbeiten.

  • Code- und Regelprüfung

    Mandantentrennung, Callable-Autorisierung, Firestore-Regeln, Storage-Regeln und Guard-Tests für öffentliche Aussagen werden vor der Veröffentlichung im Repository geprüft.

  • Abhängigkeits- und Geheimnisprüfungen

    Web- und Functions-Abhängigkeitsbasiswerte, Produktionskonfigurations-Vorprüfungen und Geheimnis-Hygiene-Scans sind Teil der Veröffentlichungscheckliste.

  • Externer Penetrationstest

    Es wird noch kein externer Penetrationstest-Bericht behauptet; dieser bleibt bis zur Terminierung und Nachweisablage ein Enterprise- bzw. kundenbezogener Vorbehalt.

Incident Response

Wir unterhalten einen dokumentierten Incident-Response-Prozess zur Erkennung, Eindämmung, Bewertung und Wiederherstellung bei Sicherheitsvorfällen.

Meldeprozess bei Sicherheitsvorfällen

Bei bestätigten Vorfällen mit Personenbezug bewerten wir Rolle und Risiko, grenzen den Vorfall ein und informieren betroffene Kunden unverzüglich, soweit dies gesetzlich oder vertraglich erforderlich ist; Fristen nach Art. 33 und 34 DSGVO werden zusammen mit den Pflichten des Kunden als Verantwortlichem behandelt.

Compliance-Roadmap

Eine Roadmap für Sicherheitskontrollen und unabhängige Prüfziele. Eine Zertifizierung wird nur behauptet, wenn der Status ausdrücklich aktiv ist.

DSGVO-orientierte Prozesse

Funktionen für Datenexport, Löschung und Einwilligungsverwaltung unterstützen Datenschutzprozesse.

Aktiv

GoBD-orientierter Audit-Trail

Audit-Protokollierung unterstützt die Prüfung gegen deutsche digitale Aufzeichnungspflichten; konkrete Anforderungen bleiben unternehmensbezogen.

Aktiv

ISO 27001

Readiness-Planung für ein Informationssicherheits-Managementsystem; keine ISO-27001-Zertifizierung wird behauptet.

Geplante Prüfung

BSI C5

Künftiges Prüffeld für deutsche Cloud-Kontrollen; keine BSI-C5-Testierung wird derzeit behauptet.

Spätere Prüfung

Sicherheitsteam kontaktieren

Nutzen Sie das sichere Kontaktformular für Sicherheitsfragen oder Meldungen; die bestätigte Anbieter-E-Mail steht im Impressum.

Sicheres Kontaktformular öffnen