Sicherheit

Sicherheitsinformationen

Beschreibung unserer technischen und organisatorischen Maßnahmen zum Schutz Ihrer Daten.

Sicherheitsinformationen

Datenverschlüsselung

Alle Verbindungen zwischen der App, Ihrem Gerät und unseren Servern – ebenso wie zu Drittanbieterdiensten, die wir einbinden – sind durch TLS-Verschlüsselung (HTTPS) geschützt. Das bedeutet, dass Daten während der Übertragung verschlüsselt werden und nicht von Unbefugten mitgelesen werden können. Zudem werden sensible Daten, die in unserer Datenbank gespeichert sind (z.B. Authentifizierungs-Token oder andere persönliche Angaben), von unseren Hosting-Anbietern verschlüsselt aufbewahrt. Wir setzen auf starke Verschlüsselungsprotokolle und aktuelle Cipher-Suites, um Ihre Informationen während der Übertragung bestmöglich zu schützen.

Kontosicherheit

Wir verwenden ein passwortloses Authentifizierungssystem mittels Magic Links, die an Ihre E-Mail-Adresse gesendet werden. Dadurch müssen wir keine Passwörter in unserem System speichern. Bedenken Sie jedoch: Der Zugriff auf Ihr E-Mail-Postfach bedeutet auch Zugriff auf Ihr App-Konto. Ihre Mitwirkung: Bitte sichern Sie Ihr E-Mail-Konto mit einem starken, einmaligen Passwort und – wenn möglich – mit Zwei-Faktor-Authentifizierung. Teilen Sie den Zugang zu Ihrem E-Mail-Konto niemals mit Dritten. Sobald Sie eingeloggt sind, hält die App einen Sitzungstoken vor, um Sie zu identifizieren. Wir schützen diese Token (sie werden nur verschlüsselt übertragen und sicher auf Ihrem Gerät gespeichert, z.B. in einem HttpOnly-Cookie oder einem geschützten Speicherbereich). Falls Sie vermuten, dass jemand Unbefugtes Zugriff auf Ihre E-Mail oder Ihr Konto erlangt hat, informieren Sie uns umgehend. Wir können dann beispielsweise alle aktiven Sitzungstokens ungültig machen und so Zugriffe unterbinden.

Sicherheit bei Zahlungsabwicklungen

Alle Zahlungsvorgänge werden von unserem Merchant of Record LemonSqueezy abgewickelt. Wir selbst sehen oder speichern Ihre vollständigen Kreditkartendaten zu keinem Zeitpunkt. LemonSqueezy ist PCI-DSS-konform und stellt verschlüsselte Checkout-Seiten bereit, auf denen Sie Ihre Zahlungsdaten direkt eingeben. Nach erfolgreicher Zahlung erhalten wir nur tokenisierte Informationen (Bestell-ID, Betrag, Steuerdetails), um Ihr Abonnement freizuschalten und Belege zu versenden. Wird ungewöhnliche Zahlungsaktivität festgestellt (z.B. wiederholte Fehlversuche oder Betrugsverdacht), informiert uns LemonSqueezy, sodass wir Sie kontaktieren und ggf. vorübergehend Maßnahmen (z.B. Sperrung des Abos) einleiten können.

Infrastruktur und Datenspeicherung

Unsere Backend-Infrastruktur wird auf Supabase (einer sicheren Cloud-Plattform auf Basis von PostgreSQL) und Microsoft Azure (für die EU-Cloud-KI-Dienste) gehostet. Wir nutzen die robusten Sicherheitsmechanismen dieser Plattformen:

  • Zugangskontrolle: Unsere Datenbanken und Server können nur von autorisierten Personen administriert werden. Wir verwenden starke Authentifizierungsverfahren (z.B. kryptografische Schlüssel und/oder Zwei-Faktor-Authentifizierung) für alle administrativen Zugriffe. Es gelten strenge Firewall-Regeln – nur notwendige Ports sind geöffnet und der Zugriff ist auf die erforderlichen Dienste beschränkt.
  • Isolation: Ihre Daten werden in einer dedizierten Datenbank und separaten Schema für unsere Anwendung gespeichert. Supabase bietet Row-Level-Security, und wir haben entsprechende Regeln eingerichtet, damit jeder Benutzer nur auf seine eigenen Daten zugreifen kann. Das bedeutet, Ihre Account-Daten und Inhalte sind logisch von denen anderer Nutzer getrennt.
  • Verschlüsselung im Ruhezustand: Alle Daten, die in unserer Datenbank und in eventuell genutztem Dateispeicher liegen, sind bei unseren Anbietern im Ruhezustand verschlüsselt. Das heißt, sollten die Speichermedien unbefugt zugänglich sein, könnten die darauf liegenden Daten nicht ohne Weiteres gelesen werden.
  • Regelmäßige Backups: Unser Datenbankdienst erstellt regelmäßig Backups, um im Falle eines Datenverlusts gewappnet zu sein. Diese Backups sind verschlüsselt und werden sicher aufbewahrt. Sollte es zu einer Beschädigung oder versehentlichen Löschung von Daten kommen, können wir auf diese Backups zurückgreifen. Die Backup-Dateien unterliegen denselben Zugriffsbeschränkungen wie die Live-Datenbank.
  • Monitoring und Protokollierung: Wir nutzen Überwachungstools, um die Performance unserer Server und mögliche Sicherheitsvorfälle im Blick zu behalten. System- und Anwendungslogs werden gesammelt (und ebenfalls geschützt), damit wir Unregelmäßigkeiten erkennen können. Beispielsweise protokollieren wir administrative Zugriffsvorgänge und wichtige Aktionen auf dem Backend. Bei ungewöhnlichen Ereignissen werden automatische Benachrichtigungen an unser Team gesendet, damit wir schnell reagieren können.

Anwendungssicherheit

Unser Anwendungscode wird unter Beachtung von Sicherheits-Best-Practices entwickelt:

  • Wir validieren und bereinigen Benutzereingaben, um gängige Schwachstellen (wie SQL-Injection oder Cross-Site-Scripting) zu verhindern. Beispielsweise werden Texte, die Sie eingeben, vor Weiterverarbeitung geprüft, und Sonderzeichen gegebenenfalls entschärft.
  • Authentifizierungs-Tokens und API-Schlüssel werden sicher verwaltet und niemals unnötig an den Client weitergegeben. Ihr Sitzungstoken wird z.B. nur in einem HttpOnly-Cookie oder einem vergleichbar geschützten Speicher gehalten, und die internen API-Schlüssel für unsere Drittanbieterdienste bleiben auf der Serverseite.
  • Wir implementieren sauberes Fehlermanagement, sodass im Fehlerfall keine intern kritischen Informationen an den Benutzer herausgegeben werden. Fehlerlogs werden intern gehalten, um uns bei der Fehlerbehebung zu helfen, ohne jedoch sensible Daten preiszugeben.
  • Die Softwarekomponenten und Bibliotheken, die wir verwenden, halten wir aktuell und spielen zeitnah Sicherheitsupdates ein. Wir prüfen regelmäßig die von uns eingesetzten Libraries und Frameworks auf bekannte Sicherheitslücken (z.B. über Security Bulletins oder automatisierte Dependabot-Meldungen).
  • Wir folgen intern dem Grundsatz der Minimalberechtigung: Jedes Systemkomponenten-Konto oder jeder Dienst hat nur die Zugriffsrechte, die unbedingt notwendig sind. Beispielsweise hat ein eventuelles Analyse-Skript keinen Zugriff auf Ihre privaten Nutzerdaten, sondern sammelt nur anonyme Nutzungsstatistiken.

Sicherheit bei Drittanbietern

Wir integrieren einige Dienste von Drittanbietern für KI-Verarbeitung (OpenAI, Microsoft Azure), Zahlungen (LemonSqueezy), Analysen (Google Analytics, Meta Pixel, Microsoft Clarity) und Hosting (Supabase, Azure). Wir haben diese Anbieter auch aufgrund ihrer hohen Sicherheitsstandards ausgewählt. Für jeden gilt:

  • OpenAI & Azure: Beide Dienste verfügen über umfassende Sicherheitsmaßnahmen und Compliance-Zertifizierungen. Azure erfüllt Standards wie ISO 27001 und SOC 2; unsere Azure-Deployments (GPT-4.1-mini und GPT-4o-mini-transcribe) laufen ausschließlich in EU-Rechenzentren, damit Prompts/Outputs die Region nicht verlassen. OpenAI speichert API-Daten nur kurzfristig (bis zu 30 Tage) zur Missbrauchskontrolle und nutzt sie ohne Ihre ausdrückliche Zustimmung nicht zum Training.
  • LemonSqueezy: LemonSqueezy ist PCI-DSS-konform, übernimmt die Mehrwertsteuerabrechnung und stellt sichere, gehostete Checkout-Seiten bereit. Wir haben einen Datenverarbeitungsvertrag mit EU-Standardvertragsklauseln abgeschlossen, der die Vertraulichkeit Ihrer Zahlungsdaten gewährleistet.
  • Supabase: Supabase läuft auf den Infrastrukturen großer Cloud-Anbieter (z.B. AWS) und nutzt deren Sicherheitsfunktionen wie Verschlüsselung, Netzwerk-Security-Groups und regelmäßige Sicherheitsprüfungen. Unsere Supabase-Instanz ist nur über definierte Schnittstellen mit gültigen API-Schlüsseln zugänglich, die nur unsere App nutzt.
  • Analyseanbieter (Google, Meta, Microsoft): Diese Tools werden nur geladen, wenn Sie zugestimmt haben. Sie sammeln primär technische Nutzungsdaten (Klicks, Seitenaufrufe usw.) und sind so eingebunden, dass sie keinen Zugriff auf sensible Inhalte unserer App haben. Sie laufen z.B. in eigenen Sandbox-Umgebungen bzw. sind auf den Domain-Kontext des jeweiligen Anbieters beschränkt. Wir nutzen stets aktuelle Versionen dieser Skripte, die mit den gängigen Browser-Sicherheitsmechanismen kompatibel sind.
  • Mit allen Dienstleistern haben wir – sofern verfügbar – Verträge geschlossen oder die Nutzungsbedingungen akzeptiert, die Datenschutz und Datensicherheit regeln. Wo zutreffend, haben wir z.B. Datenverarbeitungszusatzvereinbarungen unterschrieben. Viele dieser Anbieter verfügen über internationale Zertifizierungen, auf die wir uns stützen (Google und Microsoft z.B. haben ISO- und SOC-Zertifikate, OpenAI hat Sicherheits-Whitepaper veröffentlicht etc.). Durch die Verwendung solcher Dienste "erben" wir gewissermaßen auch deren Sicherheitsmaßnahmen.

Nutzerverantwortung und bewährte Vorgehensweisen

Während wir uns umfassend um die Sicherheit auf unserer Seite kümmern, hängt die Sicherheit der Nutzung auch von Ihnen ab:

  • Schützen Sie das E-Mail-Konto, das Sie für die Anmeldung in der App verwenden, mit einem sicheren, einzigartigen Passwort. Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung für Ihr E-Mail-Konto.
  • Geben Sie Magic-Login-Links niemals an Dritte weiter. Diese Links ermöglichen direkten Zugang zu Ihrem Konto. Wenn Sie einen Login-Link erhalten, den Sie nicht selbst angefordert haben, klicken Sie ihn nicht an – möglicherweise hat jemand versehentlich Ihre E-Mail benutzt; der Link wird nach kurzer Zeit ungültig.
  • Nutzen Sie aktuelle Sicherheitssoftware auf Ihren Geräten (z.B. Antivirensoftware) und halten Sie Ihr Betriebssystem und Ihren Browser auf dem neuesten Stand. Vermeiden Sie die Nutzung der App auf Geräten, denen Sie nicht vertrauen (z.B. öffentlichen Computern), ohne entsprechende Vorsichtsmaßnahmen.
  • Seien Sie aufmerksam gegenüber Phishing-Versuchen: Wir werden Sie niemals unaufgefordert per E-Mail nach vertraulichen Informationen fragen (schon gar nicht nach einem Passwort, da wir ein passwortloses System haben, oder nach Ihrer Kreditkartennummer außerhalb des gesicherten LemonSqueezy-Checkouts). Stellen Sie sicher, dass Sie unsere Website/App immer über die richtige URL verwenden und dass bei Zahlungen das LemonSqueezy-Bezahlfenster oder unser App-Fenster genutzt wird (achten Sie auf die Browser-Adresszeile und das HTTPS-Schloss).
  • Loggen Sie sich aus der App aus, wenn Sie ein fremdes oder öffentliches Gerät nutzen, sobald Sie fertig sind. Zwar verfallen unsere Sitzungstokens nach einer Weile automatisch, aber zur Sicherheit sollten Sie sich manuell abmelden, wenn auch andere Personen Zugriff auf das Gerät haben.

Reaktion auf Sicherheitsvorfälle

Trotz aller Vorkehrungen können Sicherheitsvorfälle (etwa durch neuartige Exploits oder menschliche Fehler) nie vollständig ausgeschlossen werden. Wir haben jedoch einen Plan für solche Fälle:

  • Wir überwachen unsere Systeme auf Auffälligkeiten (z.B. ungewöhnliche Aktivitäten auf dem Server, gehäufte fehlgeschlagene Login-Versuche usw.).
  • Wenn ein Sicherheitsvorfall vermutet oder bestätigt wird, werden wir:
    • Sofort Gegenmaßnahmen einleiten: Dazu kann gehören, betroffene Systeme vom Netz zu nehmen, Sicherheitsupdates einzuspielen, Tokens/Passwörter zurückzusetzen oder – in extremen Fällen – den Service vorübergehend zu pausieren, um weiteren Schaden zu verhindern.
    • Untersuchung durchführen: Wir analysieren mithilfe von Logdateien und forensischen Methoden, was genau passiert ist, welche Daten betroffen sein könnten und wo die Ursache liegt. Dabei isolieren wir den Vorfall so gut wie möglich.
    • Benachrichtigung vornehmen: Falls es zu einem ernsten Datenleck kommt, das Ihre personenbezogenen Daten betrifft, werden wir Sie unverzüglich über die uns bekannten Fakten informieren. Entsprechend gesetzlicher Vorgaben (z.B. DSGVO) würden wir auch die zuständige Datenschutzbehörde innerhalb der vorgeschriebenen Frist benachrichtigen. In der Benachrichtigung an Sie würden wir die Art des Vorfalls erklären und Hinweise geben, was Sie selbst tun können, um sich zu schützen (z.B. E-Mail-Passwort ändern, etc.).
    • Lehren ziehen: Wir werden aus dem Vorfall Konsequenzen ziehen und unsere Systeme verbessern. Das kann z.B. bedeuten, zusätzliche Sicherheitsmaßnahmen zu implementieren, Prozesse anzupassen oder das Personal entsprechend zu schulen, um ähnliche Ereignisse zukünftig zu verhindern.

Wir schätzen auch Rückmeldungen zur Sicherheit von außen. Sollte Ihnen eine Sicherheitslücke auffallen oder haben Sie Bedenken hinsichtlich unserer Sicherheitsmaßnahmen, können Sie uns gerne unter info@dictata.com kontaktieren. Wir sind dankbar für Hinweise von Nutzern oder Sicherheitsforschern und werden uns bemühen, erkannte Probleme umgehend zu beheben.

Einhaltung von Standards und Zertifizierungen

Wir setzen alles daran, die einschlägigen Sicherheits- und Datenschutzanforderungen einzuhalten:

  • Unsere Datenverarbeitungsprozesse entsprechen den Anforderungen der DSGVO (siehe hierzu auch unsere Datenschutzerklärung).
  • Obwohl wir als kleines Unternehmen keine förmlichen Sicherheitszertifizierungen (wie ISO 27001) vorweisen, orientieren wir uns an den Best Practices dieser Standards. Unsere Cloud-Dienstleister (z.B. Azure) sind hingegen zertifiziert und auditieren ihre Sicherheitsmaßnahmen regelmäßig. Durch die Nutzung dieser Plattformen profitieren wir von diesen hohen Standards.
  • Wir überprüfen regelmäßig unsere Richtlinien und technischen Maßnahmen im Hinblick auf neue gesetzliche Vorgaben und technologische Entwicklungen. So behalten wir beispielsweise neue Vorschriften (wie etwa den geplanten EU AI Act) im Auge, um bei Bedarf unsere Prozesse entsprechend anzupassen.

Fazit

Der Schutz Ihrer Daten hat für uns oberste Priorität. Wir arbeiten kontinuierlich daran, die Sicherheit unserer App zu gewährleisten und zu verbessern. Bitte nehmen Sie sich auch die Zeit, unsere Datenschutzerklärung sowie diese Sicherheitsinformationen zu lesen, um ein umfassendes Bild davon zu erhalten, wie wir mit Ihren Daten umgehen und diese schützen.

Wenn Sie weitere Fragen zu unseren Sicherheitsmaßnahmen haben, können Sie uns jederzeit unter info@dictata.com kontaktieren. Ihre Sicherheit liegt uns am Herzen – bleiben Sie vorsichtig und sicher!