Datensicherheit

So schützen wir Ihre Daten: Verschlüsselung, Zugriffskontrollen, Schwachstellenoffenlegung und Incident-Response.

Sicherheit bei CRA Evidence

CRA Evidence wird auf AWS in der Europäischen Union gehostet. Alle Kundendaten werden bei der Übertragung und im Ruhezustand verschlüsselt. Wir setzen strikte Mandantentrennung durch: die Daten Ihrer Organisation sind für andere Kunden niemals zugänglich.

Infrastruktur

  • Cloud: Gehostet in der Europäischen Union (Dublin, Irland)
  • Datenresidenz: Alle Kundendaten ausschließlich in der EU gespeichert
  • Netzwerk: Anwendungscontainer laufen in privaten Netzwerken ohne öffentliche Exposition
  • Audit: Unveränderliches Audit-Log aller Benutzeraktionen (165+ Ereignistypen, sequenzverifiziert)

Verschlüsselung

  • Bei Übertragung: TLS 1.2 oder höher bei allen Verbindungen (HTTPS erzwungen)
  • Im Ruhezustand: AES-256-Verschlüsselung auf allen Datenspeichern
  • Schlüsselmanagement: Dedizierter Schlüsselverwaltungsdienst; Schlüssel werden nie der Anwendungsschicht offengelegt
  • Anmeldedaten: Passwörter mit speicherintensiven Algorithmen gehasht; API-Schlüssel vor der Speicherung gehasht (Klartext wird nie aufbewahrt)

Authentifizierung und Zugriffskontrolle

  • Anmeldung: E-Mail/Passwort, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: TOTP-basierte Multi-Faktor-Authentifizierung mit Backup-Codes; Organisationen können MFA für alle Mitglieder erzwingen
  • Rollen: Vier Rollen pro Organisation (Eigentümer, Admin, Mitglied, Betrachter), nach dem Prinzip der geringsten Berechtigung
  • API-Schlüssel: Definierte Berechtigungen, einzeln widerrufbar
  • SSO-Durchsetzung: Organisationen können SAML SSO für alle Mitglieder vorschreiben

Mandantentrennung

CRA Evidence ist eine Multi-Tenant-Plattform. Jede Datenbankabfrage filtert nach organisation_id auf Service-Ebene:

  • Organisationen können nicht auf Daten anderer Organisationen zugreifen, diese abfragen oder referenzieren
  • SBOM-Daten, Schwachstellendaten, Produkte und Compliance-Dokumente sind auf die besitzende Organisation beschränkt
  • Speicherpfade sind nach Organisations-ID getrennt
  • Audit-Logging verfolgt alle Datenzugriffe pro Organisation

Schwachstellenmanagement

  • Vulnerability Knowledge Base: Selbst gehostete Multi-Source-Schwachstellendatenbank mit 15-Minuten-Synchronisation von NVD, OSV.dev, GitHub Advisories, CISA KEV und EPSS. Unser Vulnerability-Scanner läuft als unabhängige Verifizierungsschicht.
  • Abhängigkeitsüberwachung: Automatisierte Prüfungen der Anwendungsabhängigkeiten
  • Patch-Management: Regelmäßige Updates von Anwendungs- und Infrastrukturkomponenten

Datenaufbewahrung

  • Aktive Kontodaten: Aufbewahrt während das Abonnement aktiv ist
  • Gelöschte Konten: Daten werden innerhalb von 30 Tagen nach Anfrage entfernt
  • Audit-Logs: 10 Jahre aufbewahrt gemäß den Anforderungen von CRA Artikel 13(14)
  • Backups: Verschlüsselte tägliche automatisierte Snapshots

DSGVO und Datenschutz

  • Auftragsverarbeitungsvertrag (AVV/DPA): Auf Anfrage verfügbar (privacy@craevidence.com)
  • Verzeichnis von Verarbeitungstätigkeiten (VVT/ROPA): Geführt gemäß Art. 30 DSGVO
  • Unterauftragsverarbeiter: Veröffentlichte Liste mit 30-tägiger Änderungsbenachrichtigung
  • Datenportabilität: SBOM-Export in Standardformaten (CycloneDX, SPDX)
  • Datenlöschung: Konto und alle zugehörigen Daten werden innerhalb von 30 Tagen nach Anfrage gelöscht
  • Datenschutzrichtlinie: Unsere Datenschutzrichtlinie lesen

Compliance

Unsere Compliance

  • DSGVO-konform (EU 2016/679): VVT, AVV, Unterauftragsverarbeiterliste, Datenschutzrichtlinie
  • EU-Datenresidenz: alle Daten in der Europäischen Union gehostet
  • RFC 9116: security.txt veröffentlicht
  • ISO 29147/30111 ausgerichtet: Koordinierter Schwachstellen-Offenlegungsprozess

Zertifizierungen des Infrastrukturanbieters

Unser Infrastrukturanbieter unterhält SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018 und C5 (deutsches BSI) Zertifizierungen für die von uns genutzte EU-Region.

Roadmap

  • Unabhängiger Penetrationstest (geplant)
  • SOC 2 Type II (geplant)
  • ISO 27001 (in Evaluierung)

Wir bauen unsere Compliance-Postur parallel zu unserem Produkt auf. Diese Seite spiegelt wider, wo wir heute stehen.

Schwachstellenoffenlegung

Wir begrüßen verantwortungsvolle Sicherheitsforschung. Wenn Sie eine Schwachstelle in unserer Plattform entdecken, melden Sie diese bitte.

Wie melden

  • E-Mail: security@craevidence.com
  • Antwort: Bestätigung innerhalb von 24 Stunden, erste Bewertung innerhalb von 7 Werktagen

Geltungsbereich

  • Im Umfang: *.craevidence.com, die CRA Evidence API, die CRA Evidence CLI
  • Außerhalb des Umfangs: Drittanbieterdienste, Social Engineering, Denial-of-Service-Angriffe

Safe Harbor

Wir werden keine rechtlichen Schritte gegen Sicherheitsforscher unternehmen, die:

  • In gutem Glauben handeln
  • Datenschutzverletzungen, Datenzerstörung oder Dienstunterbrechungen vermeiden
  • Ergebnisse umgehend melden und angemessene Zeit für die Behebung einräumen

CVD-Richtlinie

Wir folgen den Standards ISO 29147/30111 für die Koordinierte Schwachstellenoffenlegung.

Kontakt

Zuletzt aktualisiert: März 2026.

Sicherheitskontakt
Sicherheitsteam
security@craevidence.com
Allgemeine Anfragen
Kontaktformular
Compliance

Unsere Compliance

  • Konform mit GDPR (EU 2016/679)
  • EU-Datenspeicherung
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Infrastrukturanbieter

SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5

Fahrplan

  • Unabhängige Penetrationstests
  • SOC 2 Type II
  • ISO 27001
Verwandte Seiten
Datenschutzrichtlinie Nutzungsbedingungen Cookie-Richtlinie security.txt

Fragen zu unseren Sicherheitspraktiken?

Wir setzen auf Transparenz. Melden Sie sich, wenn Sie Fragen zur Sicherheit haben.

Sicherheitsteam kontaktieren Allgemeiner Kontakt