Sicherheit

Diese Seite beschreibt die technischen und organisatorischen Maßnahmen, die plus×plus tatsächlich einsetzt, um Ihre Daten zu schützen. Wir nennen, was wir tun — nicht, was wir anstreben. Wo wir noch keine formale Zertifizierung besitzen, sagen wir das offen — siehe Was wir nicht behaupten weiter unten.

Daten bei der Übertragung

Sämtlicher Datenverkehr wird ausschließlich über HTTPS (TLS) ausgeliefert. Wir senden einen HTTP-Strict-Transport-Security-Header (HSTS), sodass Browser nach dem ersten Besuch eine Verbindung über unverschlüsseltes HTTP verweigern. Verbindungen zwischen unserer Anwendung und ihrer Datenbank sowie den Unterauftragsverarbeitern sind ebenfalls bei der Übertragung verschlüsselt.

Daten im Ruhezustand

Konto-, Scan- und Abrechnungs-Spiegeldaten liegen in einer verwalteten PostgreSQL-Datenbank, betrieben von Neon und auf eine EU-Region (Frankfurt) festgelegt. Kartendaten berühren niemals unsere Server — alle Zahlungsdaten liegen bei Stripe, unserem PCI-konformen Zahlungsdienstleister. Wir speichern lediglich eine Stripe-Kundenreferenz und den daraus resultierenden Abonnementstatus.

Authentifizierung

• Passwörter werden mit bcrypt bei Kostenfaktor 12 gehasht. Wir speichern, protokollieren oder übertragen niemals ein Passwort im Klartext.
• Eine erfolgreiche Anmeldung stellt ein signiertes Session-Token aus (ein JOSE-HS256-JWT), das nur Ihre Konto-ID und E-Mail-Adresse enthält. Es wird in einem httpOnly-, Secure-Cookie ausgeliefert (SameSite=Lax, 30 Tage Gültigkeit), sodass es für JavaScript unzugänglich ist und nicht bei seitenübergreifenden Anfragen mitgesendet wird.
• Jede Anfrage an das Produkt wird gegen den Signaturschlüssel erneut verifiziert, bevor Kontodaten geladen werden; ein gefälschtes oder abgelaufenes Token wird abgewiesen.

Mandantentrennung

plus×plus ist mandantenfähig. Jede Datenbankabfrage, die Kundendaten liest oder schreibt, ist auf eine einzelne account_id beschränkt, sodass ein Konto niemals die Websites, Scans oder Empfehlungen eines anderen Kontos lesen, ändern oder auch nur erkennen kann. Die einzige bewusst nicht beschränkte Abfrage erfolgt über den Embed-Schlüssel einer Website — ein nicht erratbares 32-stelliges Geheimnis, das selbst die Zugangsberechtigung ist.

Anwendungshärtung

• Eine globale Content-Security-Policy, HSTS und ein Satz standardmäßiger Sicherheits-Header (Schutz für Frames, Content-Type und Referrer) werden auf jede Antwort angewendet.
• Der Scanner, der die von Ihnen übermittelten Seiten abruft, ist SSRF-geschützt: Er erlaubt nur http/https, löst DNS erneut auf und validiert die aufgelöste IP erneut und blockiert localhost sowie private, link-lokale und reservierte Adressbereiche, damit er nicht auf interne Infrastruktur gerichtet werden kann.
• Sensible und missbrauchsanfällige Endpunkte sind pro Client-IP ratenbegrenzt. Die IP wird zu diesem Zweck nur flüchtig im Arbeitsspeicher verarbeitet und niemals in die Datenbank geschrieben.
• Abrechnungs-Webhooks werden erst akzeptiert, nachdem ihre kryptografische Signatur gegen den rohen Anfragetext verifiziert wurde — die einzige, manipulationsgeprüfte Quelle der Wahrheit dafür, auf welchen Tarif ein Konto Anspruch hat.

Verwaltung von Geheimnissen

Alle Zugangsdaten — Datenbank-URLs, Signaturschlüssel, der OpenAI-Schlüssel und die Stripe-Schlüssel — werden der Anwendung ausschließlich als Umgebungsvariablen bereitgestellt, die von unserem Hoster verwaltet werden. Kein Geheimnis wird je in das Quellcode-Repository eingecheckt, in Logs ausgegeben oder im Browser-Bundle offengelegt (die einzige Ausnahme ist der publishable Schlüssel von Stripe, der öffentlich sein soll).

Hosting

Die Anwendung wird auf Vercel gehostet, mit Rechenleistung festgelegt auf eine EU-Region (Frankfurt, fra1), und die Datenbank auf Neon in der EU (Frankfurt). Einige Unterauftragsverarbeiter (z. B. Stripe, OpenAI, Resend) sind in den USA tätig; diese Übermittlungen stützen sich auf die EU-Standardvertragsklauseln und, wo zertifiziert, das EU-US Data Privacy Framework. Die vollständige Liste finden Sie in unserer Datenschutzerklärung.

Datenlöschung

Sie können uns jederzeit auffordern, Ihr Konto und die zugehörigen Daten zu löschen, und wir werden dies innerhalb einer angemessenen Frist tun — mit Ausnahme von Daten, die wir gesetzlich aufbewahren müssen (z. B. Abrechnungs- und Rechnungsunterlagen, die nach deutschem Steuer- und Handelsrecht aufbewahrt werden, §147 AO / §257 HGB). Für eine Löschanfrage kontaktieren Sie uns über die Adresse in unserem Impressum.

Was wir nicht behaupten

plus×plus ist ein unabhängiges, gründergeführtes Produkt. Wir besitzen derzeit keinen SOC-2-Bericht, keine ISO-27001-Zertifizierung und kein anderes formales Audit durch Dritte, und wir werden auch nicht den Eindruck erwecken, dass wir dies täten. Stattdessen veröffentlichen wir auf dieser Seite die konkreten Maßnahmen, die tatsächlich in Kraft sind — und wir aktualisieren sie, sobald das Sicherheitsprogramm reift, statt Behauptungen rückzudatieren. Ein Score ist eine Messung einer Seite zum Zeitpunkt des Scans, keine Garantie, und dieselbe Offenheit gilt dafür, wie wir unsere eigene Sicherheit beschreiben.

Eine Schwachstelle melden

Wenn Sie glauben, ein Sicherheitsproblem gefunden zu haben, schreiben Sie uns bitte über die Kontaktadresse in unserem Impressummit dem Wort “security” im Betreff. Wir begrüßen Meldungen in gutem Glauben und arbeiten mit Ihnen an einem verantwortungsvollen Offenlegungszeitplan.

Umgang mit Datenpannen

Im Falle einer Verletzung des Schutzes personenbezogener Daten, die voraussichtlich ein Risiko für Ihre Rechte mit sich bringt, benachrichtigen wir die zuständige Aufsichtsbehörde und die betroffenen Nutzer unverzüglich, im Einklang mit unseren Pflichten nach Artikel 33 und 34 DSGVO.