Compliance — Freiwillige Sicherheitsmaßnahmen

Zuletzt aktualisiert: 2026-03-15

Unser Engagement für Sicherheit und Datenschutz

Wir nehmen die Sicherheit und den Schutz Ihrer Daten sehr ernst. Auch wenn wir derzeit noch nicht formal zertifiziert sind, richten wir unsere technischen und organisatorischen Maßnahmen freiwillig an international anerkannten Standards aus.

Diese Seite bietet Ihnen einen transparenten Überblick über die von uns umgesetzten Maßnahmen und die Standards, an denen wir uns orientieren.

Orientierung an der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) bildet das Fundament des europäischen Datenschutzrechts. Die folgenden Maßnahmen spiegeln unsere Ausrichtung an den zentralen Anforderungen wider:

• Grundsätze (Art. 5 DSGVO) — Verarbeitung im Einklang mit Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
• Rechtsgrundlage (Art. 6 DSGVO) — Jede Verarbeitungstätigkeit ist einer gültigen Rechtsgrundlage zugeordnet, einschließlich ausdrücklicher Einwilligung, sofern erforderlich.
• Datenminimierung — Wir erheben ausschließlich die personenbezogenen Daten, die für den angegebenen Zweck zwingend erforderlich sind, und löschen sie, sobald sie nicht mehr benötigt werden.
• Betroffenenrechte — Nutzerinnen und Nutzer können ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch jederzeit ausüben.
• Auftragsverarbeitung (Art. 28 DSGVO) — Alle Drittanbieter sind durch Auftragsverarbeitungsverträge gebunden, die den Anforderungen der DSGVO entsprechen.
• Verschlüsselung — Personenbezogene Daten werden bei der Übertragung (TLS 1.2+) und, soweit technisch möglich, im Ruhezustand verschlüsselt.
• Datenschutz durch Technikgestaltung (Art. 25 DSGVO) — Datenschutzgrundsätze sind von Beginn an in die Systemarchitektur und die Standardeinstellungen integriert.
• Meldung von Datenschutzverletzungen — Im Falle einer Verletzung des Schutzes personenbezogener Daten verpflichten wir uns, die zuständige Aufsichtsbehörde innerhalb von 72 Stunden zu benachrichtigen und betroffene Personen unverzüglich zu informieren, wie es Art. 33/34 DSGVO vorsieht.

Orientierung an ISO 27001

ISO/IEC 27001 definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS). Unsere technischen Kontrollen orientieren sich an den wesentlichen Zielen:

• Zugriffskontrolle — Der System- und Datenzugang ist durch getrennte Benutzer- und Administratorrollen auf autorisiertes Personal beschränkt. Administratorrechte werden bei jeder Anfrage erneut überprüft.
• Passwortrichtlinie — Passwörter werden mit modernen Algorithmen (bcrypt / Argon2) gehasht und müssen Mindestanforderungen an die Komplexität erfüllen.
• Sitzungsverwaltung — Sitzungen sind zeitlich begrenzt, an einen Geräte-Fingerabdruck gebunden, werden regelmäßig erneuert und bei Abmeldung vollständig ungültig gemacht.
• HTTPS-Erzwingung — Der gesamte Datenverkehr wird über HTTPS mit HSTS-Headern bereitgestellt, um Protokoll-Downgrade-Angriffe zu verhindern.
• Sicherheits-Header — Antworten enthalten Content-Security-Policy-, X-Content-Type-Options-, X-Frame-Options- und Referrer-Policy-Header.
• Ratenbegrenzung — API- und Authentifizierungsendpunkte sind ratenbegrenzt, um Brute-Force- und Denial-of-Service-Angriffe abzuwehren.
• Audit-Protokollierung — Sicherheitsrelevante Ereignisse wie Anmeldungen, fehlgeschlagene Authentifizierungen und Berechtigungsänderungen werden mit Zeitstempeln und pseudonymisierten Kennungen protokolliert. Wir erweitern die Protokollabdeckung schrittweise auf alle Dienste.
• Eingabevalidierung — Alle Benutzereingaben werden serverseitig validiert und bereinigt, um Injection-, XSS- und andere gängige Angriffsvektoren zu verhindern.

Orientierung an SOC 2

SOC 2 definiert Kriterien für vertrauenswürdige Dienste zur Verwaltung von Kundendaten. Unsere Maßnahmen orientieren sich an folgenden Prinzipien:

• Sicherheit — Systeme werden durch Web-Application-Firewalls, Ratenbegrenzung, CSRF-Schutz und Sitzungs-Fingerprinting vor unbefugtem Zugriff geschützt.
• Verfügbarkeit — Die Infrastruktur wird bei Anbietern gehostet, die hohe Verfügbarkeitsgarantien bieten. Zusätzliche Redundanz- und Sicherungsmaßnahmen werden mit dem Wachstum der Plattform evaluiert.
• Vertraulichkeit — Vertrauliche Daten werden klassifiziert, zugriffskontrolliert und verschlüsselt, um eine unbefugte Offenlegung zu verhindern.
• Datenschutz — Personenbezogene Daten werden in Übereinstimmung mit unserer Datenschutzerklärung und den geltenden Vorschriften erhoben, verwendet, aufbewahrt und offengelegt.

Infrastruktur und Unterauftragsverarbeiter

Wir setzen auf sorgfältig ausgewählte Drittanbieter, die jeweils aufgrund ihrer eigenen Compliance-Standards ausgewählt wurden:

• Hosting — Anwendungsserver werden in EU-Rechenzentren betrieben, deren Betreiber über ISO-27001- und SOC-2-Zertifizierungen verfügen.
• CDN und DDoS-Schutz — Inhaltsbereitstellung und DDoS-Abwehr erfolgen über ein global verteiltes Netzwerk mit unternehmenstauglicher Sicherheit.
• Zahlungsabwicklung — Alle Zahlungstransaktionen werden von einem PCI-DSS-Level-1-zertifizierten Anbieter abgewickelt; Kartendaten werden nicht auf unseren Servern gespeichert.
• Analyse und Tracking — Wir verwenden keine Analyse-Dienste von Drittanbietern, keine Tracking-Pixel und keine seitenübergreifenden Cookies. Aggregierte Nutzungsdaten werden bei Bedarf intern und anonym erhoben.

Kontakt

Wenn Sie Fragen zu unseren Sicherheitsmaßnahmen haben oder eine Schwachstelle melden möchten, kontaktieren Sie uns bitte über die im Impressum angegebenen Kontaktdaten.

privacy@veleiras.com

---

Diese Seite beschreibt freiwillige Sicherheitsmaßnahmen. Sie stellt weder eine rechtliche Garantie noch eine formale Zertifizierung dar.

← Zurück zu Veleiras