Sicherheit & Vertrauen

Unser Sicherheitsversprechen

Wir verstehen Sicherheit als kontinuierliche Engineering-Praxis und nicht als einmaliges Audit. Unsere Prinzipien: möglichst wenig Daten erheben, alles im Transit verschlüsseln, Zugriffe streng kontrollieren, relevante Events protokollieren und Abhängigkeiten regelmäßig patchen. Wir verkaufen keine personenbezogenen Daten und trainieren keine externen KI-Anbieter mit Ihren Inhalten.

Infrastruktur und Hosting

ImmoStory läuft auf dedizierter EU-Infrastruktur: Produktions-Datenbank, Anwendungsserver und Object-Storage befinden sich in EU-Rechenzentren. Wir verwenden Container-basierte Deployments hinter einem Reverse-Proxy mit TLS-Termination. Produktions-, Staging- und Entwicklungsumgebungen sind getrennt, mit unabhängigen Zugangsdaten und ohne geteilte Secrets.

Verschlüsselung im Transit und im Ruhezustand

Der gesamte Datenverkehr zur und von der Plattform nutzt TLS 1.2 oder höher mit modernen Cipher Suites. Passwörter werden mit bcrypt und starkem Work Factor gespeichert. Anwendungs-Secrets liegen außerhalb des Code-Repositorys und werden bei Team-Änderungen rotiert. Datenbank-Backups sind im Ruhezustand verschlüsselt und rotieren in einem 30-Tage-Zyklus.

Zugriffskontrolle und Authentifizierung

Der Zugriff auf Produktionsdaten ist auf eine kleine Zahl namentlich benannter Engineers beschränkt, abgesichert durch SSH-Keys, IP-Allowlisting und Multi-Faktor-Authentifizierung. Kundenkonten unterstützen starke Passwörter; wir hashen Zugangsdaten und speichern keinen wiederherstellbaren Klartext. JWT-Sessions laufen bei Inaktivität ab und können vom Nutzer aus den Account-Einstellungen widerrufen werden.

Monitoring und Audit-Logging

Anwendungs-, Abrechnungs- und Authentifizierungs-Events werden zentral mit auf den Betriebsbedarf begrenzter Aufbewahrung protokolliert. Fehler werden in Echtzeit erfasst, damit das Team auf Regressionen und Missbrauchsmuster reagieren kann. Verdächtiges Verhalten führt automatisch zu Rate-Limiting der betroffenen Sessions.

Incident Response

Wir pflegen ein internes Incident-Response-Runbook mit Detection, Containment, Eradication, Recovery und Post-Mortem. Bei einem bestätigten Datenschutzvorfall, der voraussichtlich ein Risiko für die Rechte der Nutzer darstellt, melden wir diesen innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde gemäß DSGVO Art. 33 und informieren betroffene Nutzer unverzüglich, wenn das Risiko hoch ist.

DSGVO und Datenschutz

Wir sind in der EU ansässig und verarbeiten Kundendaten gemäß der Datenschutz-Grundverordnung. Unsere Datenschutzerklärung dokumentiert Rechtsgrundlagen, Datenkategorien, Speicherfristen, Auftragsverarbeiter und Ihre Betroffenenrechte. Internationale Übermittlungen stützen sich auf Standardvertragsklauseln oder gleichwertige Garantien. Eine Auftragsverarbeitungsvereinbarung ist für Geschäftskunden auf Anfrage erhältlich.

Verantwortungsvolle Offenlegung

Wenn Sie ein Sicherheitsproblem in ImmoStory vermuten, melden Sie es bitte vertraulich an [email protected], bevor Sie es öffentlich offenlegen. Wir bestätigen Meldungen innerhalb von zwei Arbeitstagen und koordinieren eine Behebung ohne rechtliche Schritte gegen gutgläubige Forscher, die die Privatsphäre der Nutzer respektieren und unsere Dienste nicht stören.

Auftragsverarbeiter

Für den Betrieb der Plattform setzen wir auf eine begrenzte Anzahl geprüfter Auftragsverarbeiter. Die Standortangaben zeigen, wo die Daten hauptsächlich verarbeitet werden. Bei Übermittlungen außerhalb des EWR stützen sich Transfers auf die Standardvertragsklauseln der Europäischen Kommission oder gleichwertige Garantien des Anbieters.

Diese Liste wird bei wesentlichen Änderungen aktualisiert. Für Auftragsverarbeitungsvereinbarungen oder weitere Details kontaktieren Sie [email protected].