Sicherheit & Datenschutz
Sicherheit, die wir belegen.
Vollständige Transparenz über Hosting, Verschlüsselung, Identitäten, Backups und Audit-Tätigkeiten – ohne Marketing-Floskeln.
Hosting & Datenresidenz
- Primär-RZ in Frankfurt am Main, ISO 27001 zertifiziert
- Backup-RZ in München, geografisch getrennt
- Datenresidenz: ausschließlich Deutschland
- Kein Einsatz von Microsoft / AWS / Google als Sub-Prozessor
Verschlüsselung
- Daten at rest: AES-256-GCM
- Per-Tenant-Verschlüsselungsschlüssel
- Transport: TLS 1.3 (HSTS preloaded, OCSP-Stapling)
- HSM / Kunden-eigene KMS-Schlüssel (Enterprise, auf Anfrage)
Identität & Zugriff
- RBAC mit feldbasierten Rechten
- MFA für alle Konten erzwingbar (TOTP, WebAuthn)
- Session-Management mit Audit-Trail
- Enterprise-SSO (SAML 2.0, OIDC, Entra ID, Google Workspace, LDAP) – in aktiver Entwicklung
Application Security
- OWASP Top 10 als Mindeststandard im SDLC
- Statische & dynamische Code-Analyse in jeder Pipeline
- Dependency-Scanning & SBOM (CycloneDX) für jede Auslieferung
- Responsible Disclosure für externe Security-Researcher
Operational Security
- 24/7 Monitoring mit deutschem Bereitschaftsdienst
- Backup-Strategie: 3-2-1 Regel, 35 Tage Aufbewahrung
- Disaster-Recovery getestet (RPO 1h / RTO 4h)
- Vollständiger Audit-Log jeder administrativen Aktion
Compliance & Verträge
- Auftragsverarbeitungs-Vertrag (AVV) nach Art. 28 DSGVO
- TOMs nach Art. 32 DSGVO und BSI-Grundschutz
- Sub-Prozessor-Liste öffentlich einsehbar
- Responsible Disclosure unter security@deveca.de
Schwachstelle gefunden?
Wir freuen uns über jede verantwortungsvolle Meldung. Bitte verschlüsseln Sie Ihre Mail mit unserem PGP-Key (auf Anfrage) und geben Sie uns 90 Tage Reaktionszeit, bevor Sie Details öffentlich machen.
Externer Penetrationstest durch eine spezialisierte Firma ist für die nächste Release-Phase vorgesehen; der Executive Summary wird hier veröffentlicht, sobald abgeschlossen.
security@deveca.de