Vertrauenszentrum
Sicherheit
Wie wir Ihre Daten, Infrastruktur und Ihr Unternehmen schützen.
Zuletzt aktualisiert: April 2026
1. Zertifizierungen
Stripe Partner
Zahlungen über Stripe, PCI DSS Level 1.
ActiveDSGVO
Datenverarbeitung gemäß DSGVO. AVV verfügbar.
ActiveOWASP
Selbst-attestierte OWASP Top 10 (2025) Konformität.
ActiveISO 27001
In Vorbereitung.
In Progress2. Daten & Datenschutz
Vollständige Details zu Datenerhebung, Aufbewahrung, DSGVO-Rechten und Unterauftragsverarbeitern finden Sie in unserer Datenschutzerklärung.
- Gast-PII mit AES-256-GCM verschlüsselt
- Audit-Protokolle: 12 Monate mit automatischer Löschung
- Login-Versuche: 90 Tage mit automatischer Löschung
- Keine Kartendaten gespeichert — Stripe verarbeitet alles
- Keine Tracking-Cookies, kein Datenverkauf
Ein Auftragsverarbeitungsvertrag (AVV) ist auf Anfrage verfügbar.
3. Infrastruktur
Gehostet bei SOC 2-konformen Anbietern:
| Service | Provider | Detail |
|---|---|---|
| Backend API | Railway | Node.js/Express |
| Datenbank | MongoDB Atlas | Verwaltet mit TLS |
| Marketing-Website | Netlify | Statisches Hosting |
| Zahlungen | Stripe | PCI DSS Level 1 |
| Resend | Transaktions-E-Mail | |
| IoT-Gateway | Railway | Shelly-Integration |
Netzwerksicherheit
- TLS auf allen Verbindungen
- CORS eingeschränkt
- CSP konfiguriert
- Rate-Limiting auf allen Endpoints
4. Sicherheitspraktiken
Verschlüsselung
- TLS 1.2+ im Transit
- AES-256-GCM im Ruhezustand
- bcrypt Faktor 12
- PBKDF2-SHA256 100k Iterationen
- API-Schlüssel SHA-256 gehasht
Authentifizierung
- JWT mit 45-Minuten-Token
- Refresh-Token-Rotation
- Token-Widerruf bei Abmeldung
- TOTP-basierte MFA
- Kontosperre nach 5 Fehlversuchen
- Rollenbasierte Zugriffskontrolle
- MFA-ausstehende Token blockiert
Eingabeschutz
- NoSQL-Injection-Prävention
- Parametrisierte Abfragen
- Payload auf 10KB begrenzt
- Passwortkomplexintät
- Content-Type-Validierung
- Längenbegrenzungen
Sicherheits-Header
- HSTS mit Preload
- CSP
- X-Frame-Options: DENY
- nosniff
- no-referrer
- Permissions-Policy
- Cache-Control: no-store
Überwachung
- Vollständiges Audit-Protokoll
- Login-Versuch-Tracking
- X-Request-Id-Korrelation
- Keine Stack-Traces in Antworten
5. OWASP Top 10 Konformität
Alle Kategorien bestanden:
| ID | Category | Status |
|---|---|---|
| A01 | Zugriffskontrolle | Bestanden |
| A02 | Kryptografie | Bestanden |
| A03 | Injection | Bestanden |
| A04 | Unsicheres Design | Bestanden |
| A05 | Fehlkonfiguration | Bestanden |
| A06 | Verwundbare Komponenten | Bestanden |
| A07 | Authentifizierung | Bestanden |
| A08 | Datenintegrität | Bestanden |
| A09 | Protokollierung | Bestanden |
| A10 | SSRF | Bestanden |
Tests
- 2.507 automatisierte Tests
- 37 OWASP-Penetrationstests
- 80+ manuelle Tests quartalweise
- Incident-Response-Runbook
Kontinuierliche Sicherheit
- Dependabot
- Wöchentliches npm-Audit
- Pre-Commit-Hooks
- 0 bekannte Schwachstellen
6. Sicherheitsmeldung
Melden Sie Schwachstellen verantwortungsvoll:
E-Mail: privacy@valepark.org
Keine öffentlichen GitHub-Issues.
Bestätigung innerhalb von 24 Stunden.