Sicherheit
Was unter der Haube läuft. Konkret, ohne Buzzwords.
Hosting + Datenresidenz
- Hetzner Leipzig (DACH) — Server stehen physisch in Deutschland.
- Kein US-CLOUD-Act-Exposure — wir sind keine US-Tochtergesellschaft, keine US-eigene Infrastruktur.
- On-Prem-Option im Enterprise-Tier — Single-Tenant-Deployment auf Customer-Hardware.
Encryption
- At-Rest: LUKS-Full-Disk-Encryption auf allen Storage-Volumes.
- In-Transit: TLS 1.3 erzwungen, Caddy mit Auto-HTTPS und HSTS.
- API-Keys: gehashed in DB (Argon2id), nie im Plaintext geloggt.
Access Control
- NextAuth-basierte Authentifizierung mit Session-Cookies (HttpOnly, Secure, SameSite=Lax).
- SSO via OAuth (Google, GitHub, Microsoft) für Enterprise-Tier.
- Role-based: User, Admin, Org-Owner.
- API-Key-Scoping pro Subscription, Revocation jederzeit möglich.
Backup + Disaster Recovery
- Tägliches Snapshot via Hetzner-Storage-Box.
- Off-site Backup-Replication täglich an unabhängigen Standort.
- RTO: 4h, RPO: 24h für Pro/Unlimited; Enterprise SLA-spezifisch.
Penetration Testing
- Jährliches Pen-Test durch externe Auditoren.
- Bug-Bounty-Programm für Enterprise-Kunden in Vorbereitung.
Incident Response
- Email: security@covasyn.com
- Disclosure-Policy: 90 Tage Coordinated Disclosure.
- Breach-Notification innerhalb 72h (DSGVO-konform, Art. 33 DSGVO).
Was wir NICHT claimen
- SOC 2 Type II — in Vorbereitung, noch nicht zertifiziert.
- ISO 27001 — auf Roadmap.
- HIPAA — nicht relevant für Pharma-R&D in EU.
Security-Questionnaire benötigt?
Im Enterprise-Procurement-Pack inklusive. Standardfragen vorbeantwortet.