Tracelia Sicherheitsrichtlinie

1. Infrastruktur & Cloud-Sicherheit

Wir arbeiten auf einer „Zero Trust“-Architektur und nutzen erstklassige Cloud-Anbieter, um maximale Verfügbarkeit, Redundanz und Sicherheit zu gewährleisten.

1.1. Hosting & Rechenzentren

• Primäre Verarbeitung: Unsere Anwendungslogik wird auf Render (AWS-gestützte Infrastruktur) gehostet, hauptsächlich in der Region Frankfurt (EU-Central-1), um DSGVO-Konformität und geringe Latenz für europäische Märkte zu gewährleisten.
• Frontend-Bereitstellung: Wir nutzen das Vercel Edge Network für die globale Inhaltsbereitstellung, was schnelle Ladezeiten und Schutz vor DDoS-Angriffen gewährleistet.
• Physische Sicherheit: Wir besitzen oder betreiben keine physischen Rechenzentren. Unsere Infrastrukturanbieter verfügen über branchenübliche Zertifizierungen. Tracelia selbst ist derzeit nicht nach diesen Standards zertifiziert, verlässt sich aber auf zertifizierte Infrastrukturanbieter.

1.2. Netzwerksicherheit

• Cloudflare Proxy: Der Verkehr zu Tracelia läuft über Cloudflare, was eine Web Application Firewall (WAF), automatisierte DDoS-Mitigation und Bot-Schutz bietet.
• Verschlüsselung bei der Übertragung: Alle Daten, die zwischen Ihrem Gerät und unseren Servern übertragen werden, sind mit TLS 1.2 oder 1.3 verschlüsselt. Wir verwenden HSTS (HTTP Strict Transport Security), um sichere Verbindungen zu erzwingen.
• Verschlüsselung im Ruhezustand: Alle Produktionsdatenbanken und Dateispeicher-Buckets sind im Ruhezustand gemäß AES-256-Standards verschlüsselt.

2. Anwendungssicherheit

Unsere Plattform ist nach „Security by Design“-Prinzipien konzipiert, um Benutzerkonten und Datenintegrität zu schützen.

2.1. Authentifizierung & Autorisierung

• Passwort-Hashing: Benutzerpasswörter werden niemals im Klartext gespeichert. Wir verwenden Argon2id, einen hochmodernen, speicherintensiven Hashing-Algorithmus, der gegen GPU/ASIC-Brute-Force-Angriffe resistent ist.
• Token-Management: Der API-Zugriff ist durch kurzlebige JWT (JSON Web Tokens) für den Zugriff und sicher rotierte Refresh Tokens für das Sitzungsmanagement gesichert.
• RBAC: Die Plattformarchitektur erzwingt eine strikte rollenbasierte Zugriffskontrolle (Owner, Admin, Editor, Viewer) auf API-Ebene.
• 2FA: Zwei-Faktor-Authentifizierung (TOTP) wird nach dem kommerziellen Start verfügbar sein.

2.2. Entwicklungsstandards

• Statische Analyse: Wir verwenden automatisierte Tools (SAST), um Code vor jeder Bereitstellung auf Schwachstellen zu scannen.
• Lieferkettensicherheit: Wir scannen unsere Softwareabhängigkeiten regelmäßig mit automatisierten Tools (z. B. Dependabot, Snyk) auf bekannte Schwachstellen.
• Umgebungsisolation: Wir halten eine strikte Trennung zwischen Entwicklungs-, Staging- und Produktionsumgebungen aufrecht. Testdaten werden niemals in der Produktionsumgebung verwendet.

3. Datenschutz & Kontinuität

3.1. Datenbanksicherheit

• Wir verwenden verwaltete PostgreSQL-Datenbanken mit automatischen täglichen Backups.
• Backups werden verschlüsselt und in mehreren Verfügbarkeitszonen gespeichert, um die Datenbeständigkeit zu gewährleisten.
• Point-in-Time Recovery (PITR): Unsere Konfiguration ermöglicht die Wiederherstellung der Datenbank zu einem bestimmten Zustand im Falle eines kritischen Fehlers.

3.2. Dateispeicherung

• Produktzertifikate und Dokumente werden in Cloudflare R2 (S3-kompatibler Objektspeicher) gespeichert.
• Vorsignierte URLs: Private Dateien werden über zeitlich begrenzte, signierte URLs bereitgestellt, wodurch sichergestellt wird, dass nur autorisierte Benutzer auf bestimmte Dokumente zugreifen können, was unbefugtes Massen-Scraping verhindert.

4. Interner Zugang & Betrieb

Als gründergeführtes Projekt priorisieren wir das Prinzip der geringsten Rechte in allen operativen Verfahren.

• Zugriffskontrolle: Der Zugriff auf die Produktionsinfrastruktur ist ausschließlich autorisiertem technischem Personal (derzeit dem Gründer) vorbehalten und durch Multi-Faktor-Authentifizierung (MFA/2FA) geschützt.
• Audit-Trails: Sensible Aktionen innerhalb des Systems (z. B. Änderungen am Datenbankschema, Deployment-Trigger) werden zur Sicherheitsüberprüfung protokolliert.
• Gerätesicherheit: Entwicklungs-Workstations sind mit Festplattenverschlüsselung (FileVault/BitLocker) und starken Passwörtern gesichert.

5. Compliance & Datenschutz

5.1. DSGVO

Tracelia ist so konzipiert, dass es vollständig konform mit der Datenschutz-Grundverordnung (DSGVO) ist.

• Datenminimierung: Wir entwerfen unsere Datenmodelle so, dass nur das für den Dienst Notwendige erfasst wird.
• Recht auf Löschung: Unsere Architektur unterstützt die dauerhafte Löschung von Kundendaten auf Anfrage (vorbehaltlich gesetzlicher Aufbewahrungsfristen bezüglich Produktkonformität).
• Datenverarbeitung: Nach dem kommerziellen Start werden wir unseren B2B-Kunden einen Standard-Auftragsverarbeitungsvertrag (AVV/DPA) anbieten.

5.2. Audits durch Dritte

Während Tracelia als Datenverarbeiter fungiert, verlassen wir uns auf Unterauftragsverarbeiter, die über erstklassige Zertifizierungen wie ISO 27001, SOC 2 und FedRAMP verfügen.

6. Schwachstellenmanagement

6.1. Bearbeitungsprozess

Wir nehmen Sicherheitsberichte ernst.

• Triage: Gemeldete Schwachstellen werden basierend auf ihrem Schweregrad (CVSS) überprüft und priorisiert.
• Behebung: Wir streben an, kritische Schwachstellen prioritär zu beheben, typischerweise innerhalb von 48 Stunden, und Probleme mit hohem Schweregrad so schnell wie möglich.

6.2. Verantwortungsvolle Offenlegung

Wir begrüßen Feedback von Sicherheitsforschern. Wenn Sie glauben, eine Schwachstelle in Tracelia gefunden zu haben, melden Sie uns diese bitte verantwortungsvoll.

Kontakt

Bei sicherheitsrelevanten Fragen oder Bedenken wenden Sie sich bitte an unser Sicherheitsteam unter: security@tracelia.com.