Sicherheit

Wie wir deine Daten
schützen.

Transparent dokumentiert. Kein Marketing-Geschwurbel.

Datenminimierung

Wir speichern nur was wir wirklich brauchen:

  • E-Mail-Adresse — für Report-Zustellung und Login
  • Website-URL — Ziel des Scans
  • Scan-Ergebnisse — Score, Findings, Fix-Dateien
  • IP-Adresse — nur 7 Tage, dann anonymisiert (Rate-Limiting, Fraud-Prevention)
  • Zahlungsdaten — ausschließlich bei Stripe, nie bei uns

Wir speichern keine Website-Inhalte, keine Passwörter, keine Cookies deiner Besucher, keine User-Agents deiner Kunden.

Infrastruktur

Frontend-HostingVercel (AWS, EU-Region)
Datenbank + AuthSupabase (Postgres, Frankfurt)
Scan-WorkerHetzner Cloud (CX22, Nürnberg)
E-Mail-VersandResend (transaktional), IONOS (persönlich)
PaymentStripe (Irland, SEPA + Karten)
KI-TexteAnthropic Claude (USA, via Standardvertragsklauseln)
DomainIONOS (Karlsruhe)

Alle Dienstleister haben AVV (Auftragsverarbeitungsvertrag) gemäß Art. 28 DSGVO.

Technische Schutzmaßnahmen

🔐 Transport-Verschlüsselung
TLS 1.3 für alle Verbindungen. Automatisches HTTPS (Let's Encrypt). HSTS aktiv.
🛡️ Firewall + DDoS
Cloudflare vor der Website. UFW + fail2ban auf dem Server.
🔒 Rate-Limiting
Max 3 Free-Scans pro IP/Tag. Automatischer Block bei Missbrauch.
🚫 SSRF-Schutz
Scan-Worker blockiert interne IPs (AWS/GCP/Azure Metadata) und Private-Netze.
🔑 Zugriffsrechte
Supabase Row-Level-Security. User sehen nur eigene Scans.
📦 Backups
Supabase tägliche automatische Backups. 30-Tage-Retention.

Was wir NICHT tun

  • ❌ Kein Weiterverkauf deiner Daten
  • ❌ Keine Tracking-Cookies ohne deine Einwilligung
  • ❌ Kein automatisches Ändern deiner Website (keine Credentials)
  • ❌ Kein Scraping deiner Wettbewerber
  • ❌ Keine Facebook-Pixel, keine TikTok-Pixel, keine Third-Party-Werbung

Responsible Disclosure

Du hast eine Sicherheitslücke gefunden? Bitte melde sie uns — wir sind dankbar und reagieren schnell.

Antwort: innerhalb 24 h
Vorgehen: Bestätigung → Bewertung → Fix → Credit im Hall of Fame (optional)
Aktuell: Kein formelles Bug-Bounty-Programm, aber wir verschenken Starter-Reports an Reporter:innen

Transparenz

Sollte trotz aller Schutzmaßnahmen ein Sicherheitsvorfall auftreten, informieren wir alle betroffenen Nutzer innerhalb 72 h (DSGVO-Anforderung) sowie die zuständige Aufsichtsbehörde (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit).

— Fragen zur Sicherheit? —

Kontaktiere uns direkt.
Wir antworten ehrlich.

Kontakt →