Kurze, ehrliche Antworten auf die Fragen, die Ihr Sicherheitsteam stellen wird.

1. Datenschutzzentrierte Analysen

Gemäß ADR-0004 protokolliert die Scan-Pipeline niemals eine IP-Adresse oder einen rohen User-Agent. Bei der Erfassung lesen wir CF-IPCountry (Land) und leiten den UA durch einen Geräteklassen-Regex (mobile / tablet / desktop / unknown), dann verwerfen wir den Rohstring. Daten auf Stadtebene sind ein aggregiertes Rollup, aus request.cf.city befüllt, keine Per-Scan-Zeile, kein joinbarer Identifier. Länderaggregate unter 5 Scans fallen in "Sonstige", um Re-Identifikation zu verhindern.

2. Verschlüsselte Backups

Jede Nacht um 03:00 UTC macht ein separater Worker einen D1-Snapshot zu R2. Backups sind AES-GCM-verschlüsselt mit einem KDF-rotierten Datenschlüssel, der durch BACKUP_ENCRYPTION_KEY gewrappt ist. Jedes Bundle trägt einen SHA-256-Digest + Manifest zur Manipulationserkennung (siehe die backups-Tabelle). Aufbewahrung: 7 Jahre für Pro-Tenants. Der Verschlüsselungsschlüssel liegt in drei unabhängigen Kopien (Worker-Secret, 1Password-Vault, versiegeltes Offline), alle drei zu verlieren würde historische Backups unwiederherstellbar machen, daher behandeln wir ihn als einen einzigen operativen Wahrheitspunkt.

3. API Shield + strikte CSP

Unsere öffentliche OpenAPI 3.1 Spec wird in Cloudflare API Shield hochgeladen und jede Anfrage an /api/* wird dagegen validiert. Schema-Drift wird durch einen post_deploy-Hook eliminiert, der die Spec bei jedem Produktions-Deploy neu hochlädt. Auf der Frontend-Seite verbietet eine strikte Content Security Policy Inline-Scripts überall, jede Seite referenziert ihr JS über <script src>, und unser Pre-Deploy-make check lehnt es ab, eine Seite auszuliefern, die die Regel verletzt.

4. Audit-Log + GDPR-Ledger

Jede Mutation (Code erstellen/patchen/löschen, Team-Einladung, Schlüsselausstellung, Plan-Änderung, Webhook-Bearbeitung) schreibt eine Nur-Anhängen-Zeile in audit_log mit Akteur, Scope und Zeitstempel, 180 Tage aufbewahrt und vom Sweeper bereinigt. Das GDPR-Anfragenledger (gdpr_requests) verfolgt jede Export / Löschung / Wiederherstellung; Zeilen überleben die Kontolöschung (FK ON DELETE SET NULL, E-Mail erhalten), damit wir die pünktliche Einhaltung jeder gesetzlichen Anfrage noch Jahre nach der Kontolöschung beweisen können.

5. Authentifizierungsschutz

Auth ist an die gemeinsame abundera.ai-Identitätsschicht delegiert (EdDSA JWT über JWKS). Für Pro-Kunden verfügbar:

• 2FA (TOTP), RFC-6238-zeitbasierte Einmalpasswörter, jede Standard-Authenticator-App, Backup-Codes bei der Registrierung ausgestellt.
• SAML 2.0 SSO, Okta, Entra ID, JumpCloud, Google Workspace, benutzerdefinierte IdPs. Verfügbar auf Team+ (gebündelt bei Agency/Enterprise).
• SCIM 2.0 Provisionierung, RFC 7643/7644 Benutzer- + Gruppen-Lifecycle, pro Token rate-limitiert, Audit-geloggt. Off-by-Default; per Kunde aktiviert.
• API-Schlüssel, Business+, gespeichert als sha256(raw); Rohwert abnd_qrpro_... wird nur bei der Erstellung zurückgegeben und nie wieder.

6. Sub-Prozessoren

Die Kurzliste: Cloudflare (Hosting, D1, KV, R2, API Shield), Stripe (Zahlungen), Zoho / ZeptoMail (Transaktions-E-Mail), Twilio (Telefonverifizierung + SMS). Kanonische Liste mit Regionen, Datenkategorien und unserem 30-Tage-Änderungsbenachrichtigungs-Versprechen unter /trust/subprocessors/.

7. Datenverarbeitungsabkommen

Unser GDPR-konformes DPA (EU SCCs, UK-Addendum, Schweizer FADP-Addendum) ist unter abundera.ai/legal/dpa/ herunterladbar. Es gilt automatisch für alle zahlenden Tiers, keine separate Gegenunterzeichnung erforderlich, sofern Ihr Beschaffungsprozess keine benötigt (wir unterzeichnen auf Anfrage unter legal@abundera.ai).

8. SOC 2

SOC 2 Type II, in Bearbeitung, Ziel Q3 2026. Wir befinden uns in der Scoping- / Beobachtungsfenster-Planung mit einer Big-4-nahen Prüfungsfirma. Bis der Bericht ausgestellt ist, werden wir kein SOC 2 Badge anzeigen. Wenn SOC 2 Abschluss heute eine harte Beschaffungsanforderung für Sie ist, E-Mail an enterprise@abundera.ai, wir können aktuelle Kontrollnachweise, unsere Entwurfs-Systembeschreibung und das projizierte Attestierungsdatum unter NDA teilen.

9. Keine Drittanbieter-Pixel, jemals

Das ist ein tragendes Versprechen und eine Produktgrenze, keine Standardeinstellung, die wir still ändern könnten. Wir injizieren nicht Google Analytics, Google Tag Manager, Meta Pixel, TikTok Pixel, LinkedIn Insight, Hotjar, FullStory oder andere Drittanbieter-Tracker, nicht in unsere Redirect-Antworten, nicht in unsere gehosteten Landing Pages, nicht in Dashboard-Oberflächen, die Ihre Scanner sehen. Ihre Scanner werden niemals re-targeted. Wenn Sie Pixel-basierte Attribution auf Ihrem eigenen Ziel benötigen, fügen Sie Ihre eigenen UTM- (oder Pixel-)Parameter zur Ziel-URL hinzu; wir bleiben aus dem Loop. Der Redirect selbst ist ein 302 von unserem Worker zu Ihrer URL, nichts anderes läuft.

10. Verantwortungsvolle Offenlegung

Etwas gefunden? Starten Sie unter /.well-known/security.txt für den aktuellen Kontakt, PGP-Schlüssel und Scope. E-Mail an security@abundera.ai, wir bestätigen innerhalb von 24 Stunden (Werktage), triagieren innerhalb von 72 Stunden und koordinieren Fix + Offenlegung mit Ihnen. Forscher, die in gutem Glauben berichten, erhalten öffentliche Anerkennung unter abundera.ai/security/thanks/, sobald ein Fix ausgeliefert wird.

11. Status + Uptime

Live-Status, Komponentengesundheit und Vorfallshistorie unter /status/. Der Redirect-Hotpath wird alle 5 Minuten von einem externen Worker überwacht; degradierte oder ausgefallene Komponenten werden innerhalb eines Poll-Zyklus auf der Status-Seite angezeigt.