Diese Seite beschreibt die in Tracore integrierten Sicherheitsmaßnahmen. Wir konzentrieren uns auf konkrete, überprüfbare Praktiken statt auf Behauptungen, die wir nicht belegen können. Wir verfügen derzeit über keine formalen Sicherheitszertifizierungen und behaupten dies auch nicht.
Authentifizierung
Benutzerkonten werden über eine etablierte Authentifizierungsbibliothek
verwaltet. Passwörter werden vor der Speicherung gehasht; wir speichern sie
niemals im Klartext. Sitzungen verwenden Cookies, die httpOnly sind und mit
SameSite=Lax gesetzt werden, um die Anfälligkeit für seitenübergreifende
Angriffe zu verringern.
API-Schlüssel
Der API-Zugriff erfolgt über Schlüssel, die über unsere Authentifizierungsebene
ausgestellt werden. Schlüssel werden im Ruhezustand gehasht, tragen zur einfachen
Identifizierung das Präfix dsk_ und können jederzeit in Ihren Einstellungen
widerrufen werden. Behandeln Sie Ihre API-Schlüssel wie Geheimnisse und tauschen
Sie sie aus, wenn Sie eine Offenlegung vermuten.
Daten im Ruhezustand
- Dokumente werden in einem Objektspeicher in der Europäischen Union gespeichert.
- Anbieter-Schlüssel, die Sie verbinden (BYOK), werden vor der Speicherung mit AES-256-GCM verschlüsselt.
- Datenbank-Backups werden über unseren Hosting-Anbieter verwaltet.
Daten bei der Übertragung
Der gesamte Datenverkehr zu Tracore wird bei der Übertragung mit TLS 1.2 oder höher verschlüsselt. Wir nutzen Cloudflare im Modus Full (strict) SSL, sodass Verbindungen durchgängig verschlüsselt sind.
Mandantentrennung
Tracore ist mandantenfähig. Der Zugriff auf Ihre Daten wird durch Eigentümerprüfungen auf Workspace-Ebene begrenzt, und eine Kontextebene pro Anfrage setzt diese Begrenzung bei jedem API-Aufruf durch, sodass ein Mandant nicht auf die Daten eines anderen Mandanten zugreifen kann.
Zahlungssicherheit
Zahlungen werden über das gehostete Checkout unseres Zahlungsdienstleisters abgewickelt. Kartendaten werden direkt beim Dienstleister eingegeben und durchlaufen weder unsere Systeme noch werden sie dort gespeichert, wodurch unser PCI-Geltungsbereich minimal bleibt.
Meldung von Schwachstellen
Wir veröffentlichen einen Sicherheitskontakt unter /.well-known/security.txt. Wenn Sie glauben, ein Sicherheitsproblem gefunden zu haben, melden Sie es bitte an security@tracore.io. Wir betreiben noch kein bezahltes Bug-Bounty-Programm — dies ist geplant.
Reaktion auf Vorfälle
Tritt eine Verletzung des Schutzes personenbezogener Daten auf, die voraussichtlich Ihre Rechte beeinträchtigt, bemühen wir uns, betroffene Nutzer und die zuständige Behörde innerhalb von 72 Stunden zu benachrichtigen, im Einklang mit der DSGVO.