Skip to content

Die englische Fassung dieses Dokuments ist maßgeblich. Diese Übersetzung dient nur der Bequemlichkeit.

Rechtliches

Security Overview

v1.0 · Gültig ab 2026-07-06

1. Überblick

Diese Seite beschreibt die Sicherheitsmaßnahmen, die Ihre Daten in Brainpercent schützen, betrieben von Brainpercent, LLC (Delaware, USA). Wir beschreiben nur, was heute tatsächlich vorhanden ist. Wir behaupten keine Zertifizierungen, die wir nicht besitzen. Wie wir personenbezogene Daten verarbeiten, erfahren Sie in unserer Datenschutzerklärung und unserem Auftragsverarbeitungsvertrag (DPA).

2. Verschlüsselung

Ihre Daten sind in jeder Phase verschlüsselt:

  • Im Ruhezustand: AES-256-Verschlüsselung für Datenbank und Dateispeicher (Supabase Postgres und Storage, gehostet in der EU, Region Frankfurt).
  • Tokens verbundener Konten: OAuth-Tokens Ihrer verbundenen Social-Media-Konten werden zusätzlich auf Anwendungsebene mit AES-256-GCM verschlüsselt, mit einem eindeutigen Initialisierungsvektor und Authentifizierungs-Tag pro Geheimnis.
  • Bei der Übertragung: TLS 1.2 oder höher für alle Verbindungen zwischen Ihrem Browser, unseren Servern und unseren Dienstleistern.

3. Zugriffskontrolle

Der Zugriff auf Ihre Daten ist auf mehreren Ebenen beschränkt:

  • Sicherheit auf Zeilenebene: Postgres Row-Level Security (RLS) beschränkt jede Abfrage auf Datenbankebene auf Ihren eigenen Benutzer, sodass ein Benutzer die Zeilen eines anderen nicht lesen kann.
  • Rollentrennung: Datenbank-Clients sind nach Rollen getrennt. Der Client in Ihrem Browser besitzt niemals administrative Zugangsdaten; privilegierte Operationen laufen ausschließlich serverseitig.
  • Verschlüsselte Geheimnisse: API-Schlüssel und Umgebungsgeheimnisse werden verschlüsselt in Vercel und Supabase gespeichert und niemals in die Versionskontrolle eingecheckt.

4. Anwendungssicherheit

Die Anwendung und ihre Integrationen sind gehärtet:

  • Sicherheitsheader: HSTS und weitere Sicherheitsheader werden auf Antworten gesetzt, um HTTPS zu erzwingen und gängige Web-Angriffsflächen zu reduzieren.
  • Webhook-Signaturprüfung: eingehende Webhooks (Stripe, Inngest) werden vor jeder Verarbeitung gegen ihre kryptografischen Signaturen verifiziert.
  • Ratenbegrenzung: verteilte Ratenbegrenzung auf Authentifizierungs-Endpunkten verlangsamt Credential Stuffing und Brute-Force-Versuche.

5. Zahlungssicherheit

Zahlungskartendaten werden vollständig von Stripe verarbeitet, einem PCI-DSS-zertifizierten Zahlungsdienstleister. Kartennummern erreichen niemals unsere Server, und wir speichern sie niemals. Wir speichern nur die nicht sensiblen Referenzen, die Stripe bereitstellt (wie Kunden- und Abonnement-IDs).

6. Überwachung und Vorfallreaktion

Wir achten auf Probleme und verpflichten uns, Sie zu benachrichtigen, wenn es darauf ankommt:

  • Fehlerüberwachung: Anwendungsfehler werden über Sentry erfasst und überwacht.
  • Benachrichtigung bei Datenpannen: wenn eine Datenpanne Ihre personenbezogenen Daten betrifft, benachrichtigen wir betroffene Nutzer und die zuständigen Behörden innerhalb von 72 Stunden, wo das Gesetz dies verlangt (etwa DSGVO Artikel 33).

7. Aktuelle Einschränkungen

Wir bevorzugen Ehrlichkeit gegenüber Sicherheitstheater. Das haben wir noch nicht:

  • Ein-Personen-Unternehmen: Brainpercent wird derzeit von einer Person aufgebaut und betrieben. Es gibt kein 24/7-Sicherheitsteam und keine Aufgabentrennung zwischen mehreren Personen. Der Produktionszugriff ist auf diese eine Person beschränkt, was auch die interne Angriffsfläche minimal hält.
  • SOC 2 / ISO 27001: noch nicht verfügbar. Wir behaupten weder SOC 2, ISO 27001 noch eine andere Zertifizierung, die wir nicht besitzen, und wir haben keinen Penetrationstest durch Dritte abgeschlossen.

8. Verantwortungsvolle Offenlegung

Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, schreiben Sie an edward@brainpercent.com mit dem Betreff "Security".

Fügen Sie Schritte zur Reproduktion bei. Bitte greifen Sie nicht auf Daten anderer Nutzer zu, beeinträchtigen Sie den Dienst nicht und legen Sie das Problem nicht öffentlich offen, bevor wir eine angemessene Gelegenheit hatten, es zu beheben. Wir lesen jeden Bericht und bemühen uns, innerhalb von 72 Stunden zu antworten.