Security Whitepaper
Stand: Februar 2025 · SimpleAct
SimpleAct wird als SaaS in einer klaren Schichtenarchitektur betrieben. Der Zugriff erfolgt ausschließlich über verschlüsselte Verbindungen (TLS). Die Anwendungs- und Datenebene liegen vollständig in der EU (Deutschland, Hetzner Nürnberg bzw. EU-West bei Supabase).
Komponenten: (1) Client/Browser mit HTTPS, (2) Application Layer mit API, RBAC/2FA, Audit-Log und Multi-Tenancy, (3) Data Layer mit PostgreSQL, verschlüsselter Speicherung und automatischen Backups alle 3 Tage. Alle Dienste laufen in der EU.
Hosting erfolgt bei Hetzner in Nürnberg (Deutschland). Die Datenbank (PostgreSQL) wird über Supabase in der Region EU-West betrieben. Damit liegt der Datenstandort durchgängig in der EU; es werden keine US-amerikanischen oder außereuropäischen Cloud-Provider für Anwendungs- oder Kundendaten genutzt.
Es werden automatisch Backups erstellt – alle 3 Tage. Die Backups werden in Falkenstein (Hetzner) vorgehalten. Aufbewahrungsfristen und Wiederherstellungsprozesse sind definiert und in den AVV-Dokumenten beschrieben.
Der Zugriff auf Funktionen und Daten wird über rollenbasierte Zugriffskontrolle (RBAC) gesteuert. Rollen definieren, welche Aktionen ein Nutzer ausführen darf; die Zuweisung erfolgt auf Mandantenebene.
Kundendaten sind strikt nach Mandanten (Tenants) getrennt. Abfragen und Zugriffe sind so umgesetzt, dass kein mandantenübergreifender Zugriff auf Daten möglich ist (Tenant-Isolation auf Anwendungs- und Datenebene).
Zwei-Faktor-Authentifizierung (2FA) per TOTP (z. B. Authenticator-Apps) wird angeboten und kann von Nutzern aktiviert werden, um den Account zusätzlich abzusichern.
Sessions werden bei Abmeldung invalidiert. Bei Passwortänderung oder sicherheitsrelevanten Aktionen können Sessions gezielt beendet werden. Tokens werden in httpOnly-Cookies gehalten, um XSS-Risiken zu mindern.
Sicherheits- und datenschutzrelevante Ereignisse (z. B. Login, Änderungen an KI-Systemen, Exporte, Rollenänderungen) werden in einem Audit-Log erfasst. Das Log ist append-only (nachträgliche Löschung/Änderung durch Anwender nicht vorgesehen), um Manipulationen zu erschweren und Nachvollziehbarkeit zu gewährleisten.
Wo fachlich erforderlich, werden Änderungen versioniert (z. B. Compliance-Dokumente, Risikobewertungen). Snapshotting bzw. Punkt-in-Zeit-Sichten können für Exporte und Nachweise genutzt werden.
Die Verarbeitung personenbezogener Daten erfolgt nach den Grundsätzen der DSGVO (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit). Wir führen ein Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
Ein Vertrag zur Auftragsverarbeitung (AVV/DPA) ist verfügbar. Mit allen eingesetzten Subprozessoren (z. B. Hetzner, Supabase, Stripe, Brevo) bestehen vertragliche Regelungen zur Auftragsverarbeitung bzw. werden Standardvertragsklauseln genutzt, soweit erforderlich.
Die Liste der Subprozessoren (Name, Zweck, Standort) wird auf Anfrage bzw. in unseren Datenschutz- und Vertragsdokumenten bereitgestellt. Bei Änderungen werden Kunden im Rahmen der vertraglichen Informationspflichten informiert.
Wir setzen auf regelmäßige Sicherheitsmaßnahmen im Entwicklungs- und Betriebsprozess (z. B. Abhängigkeitsprüfungen, sichere Konfiguration).
Für Fragen zu Sicherheit und Datenschutz: info@simpleact.de.
Vertragsdokumente zum Download:
SLA, DPA & AVV (PDF) herunterladen →