Sicherheit & Compliance

Stand: August 2025

1. Hosting & Infrastruktur

Unsere Plattform wird auf der Vercel-Infrastruktur betrieben mit folgenden Sicherheitsmerkmalen:

• Region: FRA1 (Frankfurt, Deutschland)
• EU-Datenresidenz: Wir haben unsere Infrastruktur bewusst so konfiguriert, dass Datenverarbeitung und -speicherung innerhalb der EU erfolgen.
• Serverless-Architektur: Isolierte Ausführungsumgebungen mit automatischer Skalierung und Redundanz.
• CDN: Globales Content Delivery Network mit DDoS-Schutz und automatischer TLS-Zertifikatsverwaltung.

2. Datensicherheit

2.1 Verschlüsselung

• Übertragung: TLS 1.2+ für alle Verbindungen (HTTPS-only)
• Speicherung: Verschlüsselung ruhender Daten durch unsere Infrastruktur- und Dienstanbieter (AES-256)
• Secrets: Sichere Verwaltung von Zugriffsschlüsseln und Passwörtern über Vercel Environment Variables (verschlüsselt)

2.2 Datenminimierung

Wir erheben und verarbeiten nur die für den Dienst notwendigen Daten:

• Kontaktdaten für die Zustellung von Reports
• Antworten auf Compliance-Fragen zur Erstellung individueller Berichte
• Transaktionsdaten für die Zahlungsabwicklung (verarbeitet durch Stripe)
• Keine besonderen Kategorien: Wir verarbeiten keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.

3. Zugriffskontrolle

• Least Privilege: Mitarbeiterzugriffe nach dem Prinzip der geringsten Berechtigung
• Zwei-Faktor-Authentifizierung (2FA): Verpflichtend für alle Administratorzugänge
• Zugriffsprotokollierung: Aufzeichnung aller administrativen Zugriffe und Änderungen
• Regelmäßige Überprüfung: Vierteljährliche Revision aller Zugriffsberechtigungen

4. Schwachstellenmanagement

4.1 Responsible Disclosure

Wir nehmen Sicherheitslücken ernst und bitten um verantwortungsvolle Offenlegung:

• Meldung an: security@leakex.ai
• Angemessene Zeit zur Behebung vor öffentlicher Offenlegung (mind. 90 Tage)
• Anerkennung in unserer Security Hall of Fame (in Planung)
• Hinweis: Derzeit bieten wir kein formelles Bug-Bounty-Programm an.

4.2 Sicherheitsupdates

Wir halten unsere Systeme durch folgende Maßnahmen aktuell:

• Automatisierte Dependency-Scans und Vulnerability-Checks im CI/CD-Prozess
• Regelmäßige Updates aller Komponenten und Bibliotheken
• Kritische Sicherheitsupdates werden priorisiert und zeitnah eingespielt

5. Backups & Verfügbarkeit

Unser Dienst ist auf hohe Verfügbarkeit ausgelegt, jedoch ohne vertragliche SLA (Best-Effort):

• Redundanz: Serverless-Architektur mit inhärenter Redundanz
• Wartungsfenster: Geplante Wartungen werden, soweit möglich, vorab angekündigt
• Recovery Time Objective (RTO): Ziel 24 Stunden
• Recovery Point Objective (RPO): Ziel 24 Stunden

Hinweis: Für geschäftskritische Anwendungen empfehlen wir zusätzliche eigene Sicherungsmaßnahmen, insbesondere für generierte Reports.

6. Sub-Prozessoren

Wir arbeiten mit sorgfältig ausgewählten Dienstleistern zusammen, die unsere Sicherheits- und Datenschutzanforderungen erfüllen. Eine vollständige Liste finden Sie unter Sub-Prozessoren.

7. Compliance

7.1 Aktuelle Compliance

• DSGVO: Vollständige Einhaltung der Datenschutz-Grundverordnung
• AI Act: Vorbereitung auf die Anforderungen des EU AI Acts
• Auftragsverarbeitungsvertrag (AVV): Verfügbar unter DPA/AVV

7.2 Compliance-Roadmap

Wir arbeiten kontinuierlich an der Verbesserung unserer Compliance-Maßnahmen:

• Regelmäßige Datenschutz-Folgenabschätzungen (DPIA) für neue Funktionen
• Erweiterung der Dokumentation und Nachweise
• Vorbereitung auf zukünftige regulatorische Anforderungen

8. Kontakt

Bei Fragen zur Sicherheit oder Compliance unserer Dienste können Sie uns kontaktieren:

• Allgemeine Anfragen: info@leakex.ai
• Sicherheitsmeldungen: security@leakex.ai
• Datenschutzanfragen: privacy@leakex.ai

Dieser Sicherheitsüberblick wird regelmäßig aktualisiert, um aktuelle Maßnahmen und Best Practices widerzuspiegeln.