SPHIOR

Sicherheit & Vertrauen

Ihre Datensicherheit ist unsere höchste Priorität

SPHIOR ist mit einer Security-First-Architektur gebaut. Wir veröffentlichen unsere Sicherheitspraktiken, Compliance-Roadmap und Subprozessor-Liste.

SOC 2

Typ I in Vorbereitung

TLS 1.2+

Gesamter Datenverkehr verschlüsselt

AES-256

Verschlüsselung im Ruhezustand

GDPR

DPA verfügbar

Sicherheitslage

Wie wir Ihre Daten schützen

Transportverschlüsselung

Gesamter Datenverkehr mit TLS 1.2+ verschlüsselt. HTTP wird auf HTTPS umgeleitet. HSTS erzwungen.

Verschlüsselung im Ruhezustand

Alle ruhenden Daten mit AES-256 verschlüsselt. Provider-verwaltete Schlüssel.

Zugriffskontrolle (RLS)

Row-Level Security gewährleistet Tenant-Isolation. Admin-Endpoints MFA-geschützt.

Schutz von Anmeldedaten

Enterprise-Authentifiziertes Scanning verwendet AES-GCM 256-Bit Client-seitige Verschlüsselung mit HKDF-basierter Zwei-Schicht-Schlüsselarchitektur.

Isolierte Scan-Umgebung

Scanner laufen in ephemeren Containern (AWS Lambda + Fargate), die nach jedem Scan zerstört werden.

Kontinuierliches Monitoring

Infrastruktur-Gesundheit, Pipeline-Status und Fehlerraten werden 24/7 überwacht mit automatischen Alerts.

Self-Audit

Wir prüfen uns selbst mit SPHIOR — jeden Monat

SPHIOR führt dieselben automatisierten Scans auf der eigenen Produktionsinfrastruktur durch. Jeden Monat wird sphior.app einer vollständigen externen und authentifizierten Schwachstellenbewertung unterzogen.

SPHIOR ist sowohl Prüfer als auch Prüfungsgegenstand — wir nutzen unser eigenes Produkt. Kritische Findings werden innerhalb von 30 Tagen behoben.

Monatliches Scanzielsphior.app

Scan-UmfangExterne + authentifizierte Bewertung

Kritisches SLA< 30 Tage

BerichtsformatIdentisch mit Kundenberichten

HäufigkeitMonatlich (automatisiert)

Compliance-Roadmap

SOC 2 Typ I in Bearbeitung — Typ II Ziel Q4 2026

SPHIOR-Berichte unterstützen bei der SOC-2-TSC-Evidenzsammlung. Sie sind ergänzende Nachweise — kein Bestätigungsvermerk. Hier ist SPHIORs eigene Zertifizierungs-Roadmap.

Q1 2025Abgeschlossen

Interne Sicherheitskontrollen eingerichtet

Q2 2025Abgeschlossen

Automatisiertes monatliches Self-Audit mit SPHIOR

Q3 2025In Bearbeitung

SOC 2 Typ I Audit — in Bearbeitung

Q4 2025

SOC 2 Typ I Bericht veröffentlicht

Q4 2026

SOC 2 Typ II Zertifizierungsziel

Incident Response

Strukturierte Reaktion mit definierten SLAs

Erkennung & Triage

Automatisiertes Monitoring erkennt Anomalien. Bereitschaftsingenieur bewertet die Schwere.

SLA: < 1 Stunde

Eindämmung

Betroffene Systeme isolieren. Kompromittierte Anmeldedaten widerrufen. Forensische Beweise sichern.

SLA: < 4 Stunden

Kundenbenachrichtigung

Betroffene Kunden werden mit Auswirkungsumfang und empfohlenen Maßnahmen benachrichtigt.

SLA: < 72 Stunden

Behebung & Post-Mortem

Ursachenanalyse, dauerhafte Korrektur bereitgestellt und Post-Incident-Review veröffentlicht.

SLA: < 30 Tage

Datenaufbewahrung & Löschung

Klare Aufbewahrungsfristen mit Löschrecht

Scan-Ergebnisse

13 Monate

Jahresvergleich und Trendanalyse

PDF-Berichte

13 Monate

Audit-Evidenz-Archiv; verschlüsselt in R2 (AES-256)

Datenbank-Backups

7 Tage PITR

Point-in-Time-Recovery für Katastrophenszenarien

Ephemere Scan-Payloads

0 — sofort zerstört

Keine Persistenz; Container wird nach Ausführung zerstört

Daten bei Kontolöschung

30 Tage

Karenzzeit; dann dauerhaft aus allen Systemen gelöscht

Audit-Logs

12 Monate

Sicherheitsuntersuchung und Compliance-Anforderungen

Subprozessoren

Drittanbieter, die Daten verarbeiten

Wir minimieren die Anzahl der Subprozessoren und bewerten die Sicherheitslage jedes Anbieters sorgfältig. Diese Liste wird bei Änderungen aktualisiert.

Anbieter	Zweck	Verarbeitete Daten	Standort
Supabase	Datenbank, Authentifizierung & Row-Level Security	Kontodaten, Scan-Metadaten, RLS-geschützte Zeilen	US (AWS us-east-1)
Cloudflare	CDN, Edge Compute, R2-Speicher, DNS, DDoS-Schutz	PDF-Berichte (AES-256-verschlüsselt), Scan-Artefakte, Edge-Cache	Global
Vercel	Frontend-Hosting, Serverless-API-Routen, ISR	Keine persistenten Kundendaten; ephemere Verarbeitung	Global (Edge)
AWS (ap-northeast-1)	Scanner-Ausführung in isolierten Containern (Lambda + Fargate)	Ephemere Scan-Payloads; nach Ausführung zerstört	Asia-Pacific (Tokyo)
Stripe	Zahlungsverarbeitung, Abonnement-Abrechnung, Rechnungstellung	Nur Zahlungstoken; SPHIOR speichert keine Kartennummern	US / EU
Anthropic (Claude)	AI-Berichtsgenerierung (nur Textanalyse; keine Kunden-PII gesendet)	Anonymisierte Scan-Ergebnisse → strukturierter Berichtstext	US
Resend	Transaktions-E-Mail-Versand (Monatsberichte, Benachrichtigungen)	Empfänger-E-Mail-Adressen, Zustellmetadaten	US

Schwachstellen-Offenlegung

Richtlinie zur verantwortungsvollen Offenlegung (VDP)

Wir begrüßen Sicherheitsforscher, die Schwachstellen melden. Bestätigung innerhalb von 3 Werktagen, Erstbewertung innerhalb von 10 Werktagen, Behebung innerhalb von 90 Tagen.

security@sphior.com

Geltungsbereich

Im Umfang

sphior.app, app.sphior.app, API endpoints

Antwort-SLA

Bestätigung < 3 Tage, Bewertung < 10 Tage

Fix-SLA

Kritisch < 30 Tage, Hoch < 60 Tage, Sonstige < 90 Tage

Safe Harbor

Gutgläubige Forscher werden nicht rechtlich verfolgt

Datenverarbeitungsvertrag

AVV automatisch generieren

Unser System generiert automatisch einen AVV gemäß DSGVO, CCPA und APPI. Füllen Sie das Formular aus und Ihr signiertes PDF wird in Kürze bereit sein.

Firmenname (juristische Person)

Kontakt-E-Mail

Zeichnungsberechtigter

Position (optional)

Eingetragene Adresse

Anwendbare Gerichtsbarkeit

Letzte Aktualisierung: 2025-05-13

Fragen zu unseren Sicherheitspraktiken? Kontaktieren Sie security@sphior.com

Datenschutzrichtlinie Nutzungsbedingungen Startseite