Verschlüsselung
TLS 1.2+ für jeden Request, AES-256 für Daten im Ruhezustand, gehashte Secrets in der Datenbank. Sensible API-Keys liegen ausschließlich verschlüsselt im serverseitigen Vault.
Diese Seite beschreibt, wie wir Hetrex-Projekte technisch und organisatorisch absichern. Sie ersetzt keine Zertifizierung – sie sagt klar, was wir tun und was Ihre Verantwortung als Auftraggeber:in bleibt.
Sicherheitsmaßnahmen, die in jedem Hetrex-Projekt aktiv sind – unabhängig von Care-Stufe oder Branche.
TLS 1.2+ für jeden Request, AES-256 für Daten im Ruhezustand, gehashte Secrets in der Datenbank. Sensible API-Keys liegen ausschließlich verschlüsselt im serverseitigen Vault.
Rollen in einer separaten Tabelle, geprüft über SECURITY-DEFINER-Funktionen. Multi-Faktor-Login, Passkeys und protokollierte Admin-Aktionen.
Hosting in der EU, Edge-Schutz durch Cloudflare, DDoS- und Bot-Mitigation. Trennung von Preview- und Produktionsumgebungen.
Uptime-Checks, Fehler-Capture, Web-Vitals und Audit-Logs für sicherheitsrelevante Aktionen – mit Alerts an das Hetrex-Team.
Automatisierte Dependency-Scans und ein verbindlicher Patch-Rhythmus für Sicherheits-Updates – nicht nur „wenn Zeit ist".
Tägliche Datenbank-Backups mit Point-in-Time-Recovery, regelmäßig getestet. Klare RTO/RPO-Ziele pro Care-Paket.
Diese vier Prinzipien leiten jede Architekturentscheidung – von der ersten Skizze bis zur Wartung.
Jeder Dienst, jede Rolle und jeder API-Key bekommt nur die Rechte, die für seine Aufgabe nötig sind – nicht mehr.
Wir verlassen uns nicht auf eine einzelne Schutzschicht. Edge-Firewall, Auth, RLS und serverseitige Validierung ergänzen einander.
Sicherheitsrelevante Aktionen sind nachvollziehbar protokolliert – ohne sensible Inhalte in den Logs zu spiegeln.
DSGVO ist Grundlage, nicht Add-on. Datenminimierung, klare Aufbewahrungsfristen, EU-Hosting, transparente Subprozessoren.
Sub-Auftragsverarbeiter nach Art. 28 DSGVO. Sitz und Zweck der Verarbeitung sind transparent gelistet. Änderungen werden hier dokumentiert.
| Dienst | Zweck | Region |
|---|---|---|
| Cloudflare | Edge-Hosting, CDN, DDoS- und Bot-Schutz | EU (Frankfurt/Amsterdam) + global Edge |
| Supabase / AWS Frankfurt | Datenbank, Auth, Storage | EU (eu-central-1) |
| Resend | Transaktionale E-Mails (Bestätigungen, Benachrichtigungen) | EU |
| Stripe | Zahlungsabwicklung (nur bei Online-Zahlung) | EU / Irland |
| Sentry / Web-Vitals | Fehler- und Performance-Telemetrie (anonymisiert) | EU |
Was passiert, wenn doch etwas passiert. Unser Incident-Response-Prozess in fünf Schritten.
Monitoring, Logs und Meldungen werden in einem zentralen Kanal zusammengeführt.
Schweregrad, Reichweite und betroffene Daten werden innerhalb von Stunden bewertet.
Betroffene Endpunkte werden isoliert, Schlüssel rotiert, ggf. Notfall-Patch eingespielt.
Betroffene Kund:innen werden zeitnah informiert; bei meldepflichtigen Vorfällen erfolgt eine Meldung an die zuständige Aufsichtsbehörde.
Post-Mortem mit Ursache, Maßnahme und Frist – als Grundlage für strukturelle Verbesserungen.
Wir freuen uns über jeden Hinweis. Bitte melden Sie potenzielle Schwachstellen direkt an unsere Sicherheits-Adresse und geben Sie uns angemessene Zeit zur Behebung, bevor Sie sie veröffentlichen. Wir bedanken uns mit einer namentlichen Erwähnung (sofern gewünscht) und – je nach Schweregrad – einem kleinen Dankeschön.
security@hetrex.de