Sicherheit bei Auditora.ai
Wir nehmen die Sicherheit Ihrer Daten ernst. So schützen wir die Informationen Ihrer Organisation.
Zuletzt aktualisiert: April 2026
Datenverschlüsselung
Alle Daten während der Übertragung sind mit TLS 1.3 geschützt. Ruhende Daten werden mit AES-256 verschlüsselt. Dies umfasst alle Prozesslandkarten, Risikobewertungen, Sitzungsprotokolle und Organisationsdaten auf unserer Plattform.
- TLS 1.3 bei Übertragung
- AES-256 im Ruhezustand
- Verschlüsselungsschlüssel verwaltet durch Cloud-Provider KMS
Infrastruktur
Auditora.ai wird auf unternehmenstauglicher Cloud-Infrastruktur gehostet. Unsere Anwendungsschicht läuft auf Railway (unterstützt von AWS) und unsere Datenbank wird auf Supabase (PostgreSQL auf AWS) gehostet. Alle Infrastrukturkomponenten befinden sich in SOC 2-konformen Rechenzentren.
- Anwendung gehostet auf Railway (AWS-gestützt)
- Datenbank auf Supabase (PostgreSQL)
- Automatisierte tägliche Backups mit Punkt-zu-Zeit-Wiederherstellung
- 24/7 Infrastrukturüberwachung und Alarmierung
Zugriffskontrollen
Wir implementieren strenge Zugriffskontrollen, um sicherzustellen, dass Ihre Daten nur autorisierten Benutzern innerhalb Ihrer Organisation zugänglich sind.
- Rollenbasierte Zugriffskontrolle (RBAC)
- Organisationsbezogene Datenisolierung
- Audit-Protokolle für alle administrativen Aktionen
- Minimalprinzip für interne Operationen
Authentifizierung
Auditora.ai verwendet Better Auth, ein modernes Authentifizierungsframework, das mehrere sichere Authentifizierungsmethoden unterstützt, um Ihr Konto zu schützen.
- Passkeys (WebAuthn) für passwortlose Anmeldung
- Magic-Link E-Mail-Authentifizierung
- OAuth 2.0 (Google, GitHub, Microsoft)
- Sichere Sitzungsverwaltung mit automatischem Ablauf
Compliance-Status
Wir befolgen SOC 2 Typ II Sicherheitspraktiken in unserer gesamten Organisation. Während wir aktiv auf eine formale Zertifizierung hinarbeiten, sind unsere Sicherheitskontrollen an den Trust Services Criteria ausgerichtet.
- An SOC 2 ausgerichtete Sicherheitspraktiken
- DSGVO-konforme Datenverarbeitung
- CCPA / CPRA-konform für Einwohner Kaliforniens
- Regelmäßige Sicherheitsüberprüfungen durch Dritte
Datenresidenz
Alle Kundendaten werden in der Region US East (Virginia) über unsere Supabase- und Railway-Infrastruktur auf AWS gespeichert. Wenn Sie spezifische Anforderungen an die Datenresidenz haben, kontaktieren Sie uns, um verfügbare Optionen zu besprechen.
- Primäre Region: US East (Virginia)
- Cloud-Anbieter: AWS (über Railway & Supabase)
- Mandantendatenisolierung auf Datenbankebene
Incident Response
Wir pflegen einen dokumentierten Incident-Response-Plan, der Identifizierung, Eindämmung, Beseitigung und Wiederherstellung abdeckt. Im Falle eines Sicherheitsvorfalls, der Ihre Daten betrifft, verpflichten wir uns, betroffene Kunden innerhalb von 72 Stunden zu benachrichtigen, wie von der DSGVO und Best Practices gefordert.
- Dokumentierte Incident-Response-Verfahren
- 72-Stunden-Benachrichtigungsverpflichtung
- Post-Incident-Überprüfung und Behebung
- Regelmäßige Incident-Response-Übungen
Verantwortungsvolle Offenlegung
Wir schätzen die Sicherheitsforschungsgemeinschaft und begrüßen die verantwortungsvolle Offenlegung von Schwachstellen. Wenn Sie ein Sicherheitsproblem entdecken, melden Sie es uns bitte.
- E-Mail: security@auditora.ai
- Wir antworten auf Meldungen innerhalb von 48 Stunden
- Wir würdigen Forscher (mit Zustimmung) für gültige Funde
- Wir werden keine rechtlichen Schritte gegen gutgläubige Forscher einleiten
Sicherheitspraktiken
Sicherheit ist in jede Phase unseres Softwareentwicklungszyklus integriert.
- Automatisiertes Scannen auf Schwachstellen in Abhängigkeiten
- Pflicht-Code-Review für alle Änderungen
- Sicherheitsorientierte CI/CD-Pipeline-Prüfungen
- Regelmäßige Penetrationstests
- Sicherheitsbewusstseinsschulung für alle Teammitglieder
Fragen zur Sicherheit?
Wenn Sie Fragen zu unseren Sicherheitspraktiken haben oder eine Schwachstelle melden möchten, helfen wir Ihnen gerne.
Sicherheitsteam kontaktieren