Konforme Sicherheit Zuletzt aktualisiert April 2026

Wie wir Ihre Daten schützen.

Sicherheit bei Konforme.

Als Compliance-Plattform halten wir uns an dieselben Standards, die wir unseren Kunden helfen zu erreichen. Alle Daten werden innerhalb der Europäischen Union verarbeitet und gespeichert. Wir folgen dem Prinzip Privacy-by-Design, verschlüsseln alle Daten im Ruhezustand und bei der Übertragung und pflegen strenge Zugriffskontrollen. Diese Seite beschreibt unsere Sicherheitspraktiken im Detail.

i. Infrastruktur & Hosting.
Ausschließlich EU-Hosting
Die gesamte Infrastruktur läuft in AWS eu-west-1 (Irland). Es werden keine Daten in Nicht-EU-Jurisdiktionen übertragen oder verarbeitet. Unsere Datenbank, Anwendungsserver und E-Mail-Dienste befinden sich alle innerhalb der EU.
Verschlüsselung im Ruhezustand
Alle in unserer PostgreSQL-Datenbank gespeicherten Daten werden im Ruhezustand mit AES-256 verschlüsselt. Von Benutzern bereitgestellte Cloud-Anmeldedaten werden vor der Speicherung zusätzlich auf Anwendungsebene verschlüsselt.
Verschlüsselung bei der Übertragung
Alle Verbindungen verwenden TLS 1.2 oder höher. HSTS wird mit einer max-age von einem Jahr einschließlich Subdomains durchgesetzt. Wir verwenden moderne Cipher-Suiten und aktualisieren unsere TLS-Konfiguration regelmäßig.
Netzwerksicherheit
Unsere Anwendung läuft in einer privaten VPC mit strengen Security-Group-Regeln. Die Datenbank ist nicht öffentlich zugänglich. Jeder administrative Zugriff erfordert VPN und MFA.
ii. Anwendungssicherheit.
Authentifizierung
JWT-basierte Authentifizierung mit kryptographisch sicheren Token (secrets.token_urlsafe). E-Mail-Verifizierung ist für alle Konten erforderlich. Passwort-Hashing verwendet bcrypt mit benutzerspezifischen Salts.
Rate Limiting
Alle Authentifizierungs-Endpunkte sind ratenbegrenzt: Login (5/Min.), Registrierung (3/Min.), E-Mail-Verifizierung (10/Std.), Passwort-Zurücksetzung (5/Std.). API-Endpunkte haben benutzerbezogene Ratenlimits, um Missbrauch zu verhindern.
CSRF-Schutz
Cross-Site-Request-Forgery-Schutz ist auf allen authentifizierten Endpunkten aktiviert. Wir verwenden das Double-Submit-Cookie-Verfahren mit SameSite-Cookie-Attributen.
Eingabevalidierung
Alle Benutzereingaben werden serverseitig mit Pydantic-Schemas validiert und bereinigt. Wir schützen gegen SQL-Injection, XSS und andere OWASP-Top-10-Schwachstellen.
Sicherheits-Header
Strikte Content Security Policy, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin und Permissions-Policy-Header bei allen Antworten.
Schreibgeschützter Cloud-Zugriff
Beim Scannen Ihrer AWS- oder Azure-Infrastruktur verwendet Konforme ausschließlich schreibgeschützte Anmeldedaten. Wir ändern niemals Ihre Cloud-Ressourcen. Anmeldedaten werden im Ruhezustand verschlüsselt und können jederzeit widerrufen werden.
iii. Datenschutz & DSGVO.

Konforme ist von Grund auf DSGVO-konform konzipiert. Wir erheben nur die Daten, die zur Erbringung unseres Dienstes erforderlich sind. Benutzerdaten werden niemals an Dritte verkauft. Die Kontolöschung entfernt dauerhaft alle zugehörigen Daten, einschließlich Scan-Ergebnissen, Bewertungsantworten und Anmeldedaten.

Praxis Details
Datenminimierung Wir erheben nur, was für die Compliance-Bewertung erforderlich ist. Keine Tracking-Pixel, keine Drittanbieter-Analyse.
Recht auf Löschung Die Kontolöschung entfernt alle Benutzerdaten. Cloud-Anmeldedaten werden bei der Soft-Delete-Aktion sofort gelöscht.
Datenübertragbarkeit Exportieren Sie Ihre Compliance-Daten jederzeit als PDF-Berichte. Bewertungsdaten können auf Anfrage exportiert werden.
Auftragsverarbeiter AWS (Hosting), Netlify (Marketing-Website), SES (Transaktions-E-Mails). Gesamte Verarbeitung in der EU.
Meldung von Datenschutzverletzungen Im Falle einer Datenschutzverletzung werden betroffene Benutzer innerhalb von 72 Stunden gemäß DSGVO-Anforderungen benachrichtigt.
iv. Verantwortungsvolle Offenlegung.

Wenn Sie eine Sicherheitslücke in Konforme entdecken, melden Sie diese bitte an konform@konforme.io. Wir nehmen alle Meldungen ernst und werden innerhalb von 48 Stunden antworten. Wir bitten Sie, uns angemessene Zeit zur Behebung des Problems zu geben, bevor Sie es öffentlich machen.