Sicherheitsübersicht
Mehrschichtige Sicherheitskontrollen für Beschaffungs- und Vertriebsteams, die vor Pilot oder Rollout klare Datenschutz-Nachweise benötigen.
Datensicherheit
Transport- und Speicherschutz werden je Dienst geprüft; ohne Deployment-Nachweis wird kein fester Algorithmus für jeden Datenpfad behauptet.
Verschlüsselung im Ruhezustand
Je Deployment verifiziert
Der Schutz ruhender Daten folgt den konfigurierten Google-Cloud- und Firebase-Dienstkontrollen; Nachweise werden vor der Produktionsfreigabe gesammelt.
Verschlüsselung bei Übertragung
Je Deployment verifiziert
Der Transportschutz wird an bereitgestellten Endpunkten geprüft; hier wird keine universelle Protokollversion behauptet.
Cloud-Infrastruktur
Kundendaten werden auf verwalteten Google-Cloud- und Firebase-Diensten mit dienstspezifischer Regionskonfiguration verarbeitet.
Region
Dienstspezifisch
Standort
Je Deployment verifiziert
Anbieter
Google Cloud Platform / Firebase
Zugriffskontrollen
Mehrschichtige Zugriffskontrollen sollen Benutzer auf autorisierte Daten und Aktionen begrenzen; Backend-Prüfungen und Security Rules sind die maßgeblichen Durchsetzungspunkte.
Rollenbasierte Zugriffskontrolle (RBAC)
Vordefinierte Rollen (Admin, Vertrieb, Distribution, Kunde) mit konfigurierbaren Berechtigungen auf Modulebene
Multi-Faktor-Authentifizierung (MFA)
Firebase-Authentifizierung mit Unterstützung für E-Mail/Passwort, Telefon und Drittanbieter-Identitätsprovider
Sitzungsverwaltung
Automatischer Sitzungsablauf, Ratenbegrenzung pro Benutzer und Firebase App Check-Unterstützung, sofern die Durchsetzung für das Deployment aktiviert ist.
Audit-Protokollierung
Unterstützte sicherheitsrelevante Änderungen erzeugen Audit-Ereignisse zur Betriebsprüfung; die Workflow-Abdeckung muss vor öffentlichen Produktionsaussagen verifiziert werden.
Audit-Ereignishistorie
Geprüfte Workflows protokollieren Erstellungs-, Aktualisierungs-, Lösch- oder Statusmetadaten gemäß ihrem implementierten Ereignisvertrag.
GoBD-orientierte Nachvollziehbarkeit
Audit-Protokollierung unterstützt prüfbare digitale Aufzeichnungen; konkrete Anforderungen sollten pro Unternehmen geprüft werden.
Änderungen auf Feldebene
Wo unterstützt, erfassen Audit-Ereignisse geänderte Felder, Akteurskontext und Zeitstempel zur Prüfung.
Datenaufbewahrung
Konfigurierbare Datenaufbewahrungsrichtlinien, die rechtliche Prüfung unterstützen und Ihre Datenminimierungspräferenzen respektieren.
Rechnungsaufbewahrung
Konfigurierbare gesetzliche Frist
Aufbewahrungsdefaults für steuerrelevante Dokumente sollten gegen AO §147 und HGB §257 geprüft werden.
Konfigurierbare Richtlinien
Pro Mandant
Mandanten können Aufbewahrungsfristen über das gesetzliche Minimum hinaus in den Admin-Einstellungen konfigurieren
Backup und Wiederherstellung
Produktions-Wiederherstellung wird als Betriebsnachweis behandelt, nicht als Marketingversprechen.
Geplante Firestore-Sicherungen
Die Produktionsvorprüfung verlangt eine geplante Firestore-Exportkonfiguration mit privatem, nicht standardmäßigem Sicherungs-Bucket, bevor die Produktionsprüfung bestehen kann.
Wiederherstellungsprobe erforderlich
Eine Sicherung gilt erst dann als veröffentlichungsbereit, wenn eine Wiederherstellung in einer Nicht-Produktionsumgebung geprobt und dokumentiert wurde.
RPO/RTO nur mit Nachweis
Kundenspezifische RPO/RTO-Zusagen werden erst in unterzeichneten Vereinbarungen genannt, nachdem Bereitstellungs-, Erstexport- und Wiederherstellungsnachweise vorliegen.
Sicherheitstests
Die Sicherheitsprüfung kombiniert Quellcode-Review, automatisierte Checks und eine klare Offenlegung noch ausstehender Testarbeiten.
Code- und Regelprüfung
Mandantentrennung, Callable-Autorisierung, Firestore-Regeln, Storage-Regeln und Guard-Tests für öffentliche Aussagen werden vor der Veröffentlichung im Repository geprüft.
Abhängigkeits- und Geheimnisprüfungen
Web- und Functions-Abhängigkeitsbasiswerte, Produktionskonfigurations-Vorprüfungen und Geheimnis-Hygiene-Scans sind Teil der Veröffentlichungscheckliste.
Externer Penetrationstest
Es wird noch kein externer Penetrationstest-Bericht behauptet; dieser bleibt bis zur Terminierung und Nachweisablage ein Enterprise- bzw. kundenbezogener Vorbehalt.
Incident Response
Wir unterhalten einen dokumentierten Incident-Response-Prozess zur Erkennung, Eindämmung, Bewertung und Wiederherstellung bei Sicherheitsvorfällen.
Meldeprozess bei Sicherheitsvorfällen
Bei bestätigten Vorfällen mit Personenbezug bewerten wir Rolle und Risiko, grenzen den Vorfall ein und informieren betroffene Kunden unverzüglich, soweit dies gesetzlich oder vertraglich erforderlich ist; Fristen nach Art. 33 und 34 DSGVO werden zusammen mit den Pflichten des Kunden als Verantwortlichem behandelt.
Compliance-Roadmap
Eine Roadmap für Sicherheitskontrollen und unabhängige Prüfziele. Eine Zertifizierung wird nur behauptet, wenn der Status ausdrücklich aktiv ist.
DSGVO-orientierte Prozesse
Funktionen für Datenexport, Löschung und Einwilligungsverwaltung unterstützen Datenschutzprozesse.
GoBD-orientierter Audit-Trail
Audit-Protokollierung unterstützt die Prüfung gegen deutsche digitale Aufzeichnungspflichten; konkrete Anforderungen bleiben unternehmensbezogen.
ISO 27001
Readiness-Planung für ein Informationssicherheits-Managementsystem; keine ISO-27001-Zertifizierung wird behauptet.
BSI C5
Künftiges Prüffeld für deutsche Cloud-Kontrollen; keine BSI-C5-Testierung wird derzeit behauptet.
Sicherheitsteam kontaktieren
Nutzen Sie das sichere Kontaktformular für Sicherheitsfragen oder Meldungen; die bestätigte Anbieter-E-Mail steht im Impressum.
Sicheres Kontaktformular öffnen