Sicherheit bei CompliantDesk
CompliantDesk verarbeitet Compliance-Daten europäischer Mittelständler. Diese Seite fasst zusammen, wie wir technisch und organisatorisch absichern - und wie du Schwachstellen meldest.
TLS 1.2+ überall, HSTS aktiv. Daten ruhend in Supabase (AES-256, EU-Region Frankfurt). Sensible Tokens nur als SHA-256-Hash.
Row Level Security in Postgres, MSP-Switching mit serverseitiger Partnerschaftsvalidierung. Jeder Datensatz trägt die organization_id.
Vercel (Hosting), Supabase (DB + Auth), Resend (Mail), Stripe (Zahlung), Azure OpenAI (KI, Frankfurt). Alles innerhalb der EU.
Audit-Log für alle relevanten Aktionen. Datenschutzfolgenabschätzungen (DSFA) für KI-Komponenten verfügbar.
Security-Prozess
- Dependabot läuft wöchentlich (Montag 06:00 UTC), siehe
.github/dependabot.yml - Dev-Dependencies werden gesammelt, Production-Dependencies einzeln zur Review gestellt
- Patch-/Minor-Bumps werden in der Regel innerhalb einer Woche gemerged, Critical-Advisories innerhalb 72 Stunden
- Major-Bumps von
next,react,stripe,supabase-*werden manuell reviewt
Sicherheitslücken werden vertraulich behandelt und gemeinsam mit dem Melder koordiniert veröffentlicht (Standard: 90 Tage). Bei aktiv ausgenutzten Lücken handeln wir schneller.
| Schweregrad | Erst-Reaktion | Behebung |
|---|---|---|
| Critical | 24h | 72h |
| High | 48h | 14 Tage |
| Moderate | 5 Werktage | 30 Tage |
| Low | 10 Werktage | nach Roadmap |
Schwachstellen melden
Bitte beschreibe betroffene Komponente / URL, Schritt-für-Schritt-Reproduktion, potenzielle Auswirkung. Tests gegen Demo-Daten statt Produktion bitte (Login: demo@compliantdesk.de). PGP-Key auf Anfrage.
Vollständige Security-Policy: siehe SECURITY.md im Repository.
Compliance-Frameworks
Technisch-organisatorische Maßnahmen
A.5.x, A.7.x, A.8.x umgesetzt
Lieferanten-Sicherheit, Vorfälle, Awareness
Automotive-Lieferantenkette
