Datensicherheit

So schützen wir Ihre Daten: Verschlüsselung, Zugriffskontrollen, Schwachstellenoffenlegung und Incident-Response.

Sicherheit bei CRA Evidence

CRA Evidence läuft auf AWS-Infrastruktur in der EU (Dublin, Irland). Alle Kundendaten werden bei der Übertragung und im Ruhezustand verschlüsselt. Wir setzen strikte Mandantentrennung durch — die Daten Ihrer Organisation sind für andere Kunden niemals zugänglich. Wir sind ein gründergeführtes Unternehmen in der Beta-Phase und legen unsere aktuelle Sicherheitslage und Roadmap transparent offen.

Infrastruktur

Detail Wert
Cloud-Anbieter Amazon Web Services (AWS)
Region eu-west-1 (Dublin, Irland)
Datenresidenz Alle Kundendaten ausschließlich in der EU gespeichert
Netzwerk VPC mit privaten Subnetzen, NAT Gateway, keine öffentlichen IPs auf Anwendungscontainern
Admin-Zugang Zero-Trust-VPN mit gerätebasierter Authentifizierung und Zugangskontrollen nach dem Prinzip der minimalen Berechtigung
Interner Verkehr VPC-Endpunkte für S3 und SES (Datenverkehr durchquert nie das öffentliche Internet)
DDoS-Schutz AWS Shield Standard
Infrastruktur-Audit AWS CloudTrail für Management-Plane-Operationen
Anwendungs-Audit Unveränderliches Audit-Log aller Benutzeraktionen (165+ Ereignistypen, sequenzverifiziert)

Verschlüsselung

Schicht Methode
Bei Übertragung TLS 1.2 oder höher bei allen Verbindungen (HTTPS erzwungen)
Im Ruhezustand AES-256 über AWS (RDS, S3, EBS-Volumes)
Schlüsselmanagement AWS KMS (Schlüssel verlassen nie die KMS-Grenze)
Passwörter Argon2id-Hashing (speicherhart, resistent gegen GPU/ASIC-Angriffe)
API-Schlüssel SHA-256 gehasht vor der Speicherung (Klartext wird nie aufbewahrt)

Authentifizierung und Zugriffskontrolle

  • Anmeldung: E-Mail/Passwort mit Argon2id, OAuth (Google, Microsoft, GitHub), SAML SSO
  • MFA: TOTP-basierte Multi-Faktor-Authentifizierung mit Backup-Codes; Organisationen können MFA für alle Mitglieder erzwingen
  • Sitzungen: JWT-Zugriffstoken (kurzlebig) mit rotierenden Refresh-Token
  • Bot-Schutz: Cloudflare Turnstile an Authentifizierungsendpunkten
  • CSRF: Token-basierter Schutz bei allen zustandsändernden Operationen
  • RBAC: Vier Rollen pro Organisation — Eigentümer, Admin, Mitglied, Betrachter — nach dem Prinzip der geringsten Berechtigung
  • API-Schlüssel: Definierte Berechtigungen, SHA-256 gehasht, einzeln widerrufbar
  • SSO-Durchsetzung: Organisationen können SAML SSO für alle Mitglieder vorschreiben

Mandantentrennung

CRA Evidence ist eine Multi-Tenant-Plattform. Jede Datenbankabfrage filtert nach organisation_id auf Service-Ebene:

  • Organisationen können nicht auf Daten anderer Organisationen zugreifen, diese abfragen oder referenzieren
  • SBOM-Daten, Schwachstellendaten, Produkte und Compliance-Dokumente sind auf die besitzende Organisation beschränkt
  • Speicherpfade sind nach Organisations-ID getrennt
  • Audit-Logging verfolgt alle Datenzugriffe pro Organisation

Schwachstellenmanagement

  • SBOM-Scanning: Selbst gehosteter Trivy-Scanner für kontinuierliche Schwachstellenerkennung in SBOMs
  • Abhängigkeitsüberwachung: Automatisierte Prüfungen der Anwendungsabhängigkeiten
  • Patch-Management: Regelmäßige Updates von Anwendungs- und Infrastrukturkomponenten
  • Penetrationstest: Unabhängiger Penetrationstest geplant (siehe Roadmap)

Geschäftskontinuität und Notfallwiederherstellung

Detail Wert
Datenbank-Backups Verschlüsselte tägliche automatisierte RDS-Snapshots
SBOM-Speicher S3 mit 99,999999999% Haltbarkeit (11 Neunen)
Verfügbarkeitszusage 99,5% (gemäß Servicevereinbarung)
RPO 24 Stunden (tägliche Backups)
RTO Ziel 4 Stunden
Bereitstellung Einzelregion (eu-west-1) — Multi-AZ geplant
Incident Response Gründergeführtes Monitoring und Reaktion während der Beta-Phase

Datenaufbewahrung

  • Aktive Kontodaten: Aufbewahrt während das Abonnement aktiv ist
  • Gelöschte Konten: Daten werden innerhalb von 30 Tagen nach Anfrage entfernt
  • Audit-Logs: 10 Jahre aufbewahrt gemäß den Anforderungen von CRA Artikel 13(14)
  • Backups: Verschlüsselte tägliche automatisierte Snapshots

DSGVO und Datenschutz

  • Auftragsverarbeitungsvertrag (AVV/DPA): Auf Anfrage verfügbar (privacy@craevidence.com)
  • Verzeichnis von Verarbeitungstätigkeiten (VVT/ROPA): Geführt gemäß Art. 30 DSGVO
  • Unterauftragsverarbeiter: Veröffentlichte Liste mit 30-tägiger Änderungsbenachrichtigung
  • Datenportabilität: SBOM-Export in Standardformaten (CycloneDX, SPDX)
  • Datenlöschung: Konto und alle zugehörigen Daten werden innerhalb von 30 Tagen nach Anfrage gelöscht
  • Datenschutzrichtlinie: Unsere Datenschutzrichtlinie lesen

Compliance

Unsere Compliance

  • DSGVO-konform (EU 2016/679) — VVT, AVV, Unterauftragsverarbeiterliste, Datenschutzrichtlinie
  • EU-Datenresidenz — alle Daten in AWS eu-west-1 (Dublin, Irland)
  • RFC 9116 — security.txt veröffentlicht
  • ISO 29147/30111 ausgerichtet — Koordinierter Schwachstellen-Offenlegungsprozess

Zertifizierungen des Infrastrukturanbieters

AWS unterhält folgende Zertifizierungen für eu-west-1: SOC 1/2/3, ISO 27001, ISO 27017, ISO 27018, C5 (deutsches BSI).

Roadmap

  • Unabhängiger Penetrationstest — geplant
  • SOC 2 Type II — geplant
  • ISO 27001 — in Evaluierung

Wir bauen unsere Compliance-Postur parallel zu unserem Produkt auf. Diese Seite spiegelt wider, wo wir heute stehen.

Schwachstellenoffenlegung

Wir begrüßen verantwortungsvolle Sicherheitsforschung. Wenn Sie eine Schwachstelle in unserer Plattform entdecken, melden Sie diese bitte.

Wie melden

  • E-Mail: security@craevidence.com
  • Antwort: Bestätigung innerhalb von 24 Stunden, erste Bewertung innerhalb von 7 Werktagen

Geltungsbereich

  • Im Umfang: *.craevidence.com, die CRA Evidence API, die CRA Evidence CLI
  • Außerhalb des Umfangs: Drittanbieterdienste, Social Engineering, Denial-of-Service-Angriffe

Safe Harbor

Wir werden keine rechtlichen Schritte gegen Sicherheitsforscher unternehmen, die:

  • In gutem Glauben handeln
  • Datenschutzverletzungen, Datenzerstörung oder Dienstunterbrechungen vermeiden
  • Ergebnisse umgehend melden und angemessene Zeit für die Behebung einräumen

CVD-Richtlinie

Wir folgen den Standards ISO 29147/30111 für die Koordinierte Schwachstellenoffenlegung.

Kontakt

Zuletzt aktualisiert: Februar 2026.

Sicherheitskontakt
Sicherheitsteam
security@craevidence.com
Allgemeine Anfragen
Kontaktformular
Compliance

Unsere Compliance

  • Konform mit GDPR (EU 2016/679)
  • EU-Datenspeicherung (eu-west-1)
  • RFC 9116 (security.txt)
  • ISO 29147/30111 aligned (CVD)

Infrastrukturanbieter

AWS eu-west-1: SOC 1/2/3, ISO 27001/27017/27018, C5

Fahrplan

  • Unabhängige Penetrationstests
  • SOC 2 Type II
  • ISO 27001
Verwandte Seiten
Datenschutzrichtlinie Nutzungsbedingungen Cookie-Richtlinie security.txt

Fragen zu unseren Sicherheitspraktiken?

Wir setzen auf Transparenz. Melden Sie sich, wenn Sie Fragen zur Sicherheit haben.

Sicherheitsteam kontaktieren Allgemeiner Kontakt