Sicherheit
auf jeder Ebene.

Alle Daten, die in die Vowly Event-Plattform ein- und ausfließen, werden mit branchenüblichen Algorithmen verschlüsselt. Wir verwenden TLS 1.3 mit Perfect Forward Secrecy für Daten in Übertragung und AES-256 im GCM-Modus für Daten im Ruhezustand in unserer primären Datenbank, im Dateispeicher und in den Backups.

• TLS 1.3 für alle Client-Server-Verbindungen; Aufnahme in die HSTS-Preload-Liste
• AES-256-GCM-Verschlüsselung im Ruhezustand für Firestore, Cloud Storage und Backups
• Verschlüsselte Speicherung von Zugangsdaten mittels bcrypt (Work Factor 12) und Argon2id für neuere Konten
• Kryptografische Schlüsselverwaltung über Google Cloud KMS mit jährlicher Schlüsselrotation

Wir folgen dem Prinzip der minimalen Rechtevergabe in allen Systemen. Der Produktionszugriff ist auf eine kleine Gruppe von Ingenieuren beschränkt, erfordert Mehrfaktor-Authentifizierung und jede privilegierte Aktion wird zu Audit-Zwecken protokolliert.

• Rollenbasierte Zugriffskontrolle (RBAC) in allen internen Tools durchgesetzt
• Pflicht zur Verwendung von Hardware-Sicherheitsschlüsseln (FIDO2/WebAuthn) für den Produktionszugriff
• Just-in-Time-Zugriffsgewährungen mit automatischem Ablauf (typischerweise 4 Stunden)
• Umfassende Audit-Protokollierung aller administrativen Aktionen
• Vierteljährliche Zugriffsüberprüfungen und automatisiertes Offboarding innerhalb von 1 Stunde nach Rollenwechsel

Vowly Event läuft auf der Google Cloud Platform mit primärer Infrastruktur in der Region europe-west3 (Frankfurt) und Multi-Region-Replikation innerhalb der EU. Unsere Infrastruktur ist auf Resilienz, Skalierbarkeit und regulatorische Konformität mit den Anforderungen an die Datenresidenz in EU und UK ausgelegt.

• Cloud-Anbieter: Google Cloud Platform (ISO 27001, SOC 2 Type II, ISO 27017, ISO 27018)
• Primäre Region: europe-west3 (Frankfurt, Deutschland)
• Datenbank: Cloud Firestore mit Multi-Region-Replikation (eur3)
• CDN & DDoS-Schutz: Cloudflare mit Rate Limiting und Bot-Mitigation
• Tägliche verschlüsselte Backups mit 35-tägiger Aufbewahrung und vierteljährlichen Wiederherstellungsübungen

Wir überwachen die Plattform rund um die Uhr mit automatisierten Alarmen für Anomalien, Sicherheitsereignisse und Leistungseinbußen. Unser Incident-Response-Team ist auf Abruf, um kritische Probleme innerhalb von Minuten zu adressieren.

• Echtzeit-Sicherheitsüberwachung auf ungewöhnliche Anmeldemuster und Credential-Stuffing-Versuche
• Application Performance Monitoring (APM) mit Anomalieerkennung
• Web Application Firewall (WAF) und Rate Limiting an allen öffentlichen Endpunkten
• Kontinuierliches Schwachstellen-Scanning für Abhängigkeiten (npm audit, Snyk)
• Jährliche externe Penetrationstests durch CREST-akkreditierte Firmen

Sicherheit ist in jeder Phase unseres Software-Entwicklungslebenszyklus integriert. Wir befolgen OWASP-Best-Practices und verlangen, dass alle Code-Änderungen vor der Bereitstellung in der Produktion automatisierte Sicherheitsprüfungen bestehen.

• Verpflichtende Peer-Code-Reviews für alle Änderungen; keine direkten Commits in Produktionsbranches
• Static Application Security Testing (SAST) bei jedem Pull Request
• Software Composition Analysis (SCA) zur Identifizierung anfälliger Abhängigkeiten
• Automatisierte Security-Header (CSP, X-Frame-Options, Referrer-Policy)
• Geheim-Scanning und Verhinderung über Git-Pre-Commit-Hooks

Trotz unserer besten Bemühungen ist keine Plattform vor Sicherheitsvorfällen gefeit. Wenn wir eine Verletzung personenbezogener Daten feststellen, folgen wir einem dokumentierten Vorfallsreaktionsplan und benachrichtigen betroffene Nutzer und das britische ICO innerhalb von 72 Stunden gemäß Article 33 GDPR.

• Dokumentierter Vorfallsreaktionsplan mit definierten Schweregraden
• Bereitschaftsrotation mit 15-minütiger Response-SLA bei kritischen Vorfällen
• Verpflichtende Nachbesprechung und Behebung für alle P0-/P1-Vorfälle
• 72-stündige Meldepflicht bei Verletzungen gegenüber Aufsichtsbehörden und betroffenen Nutzern

Vowly Event basiert auf einer Infrastruktur mit führenden Sicherheitszertifizierungen und ist so konzipiert, dass es die Anforderungen mehrerer Datenschutz- und Sicherheitsframeworks erfüllt.

• UK GDPR & EU GDPR — vollständige Konformität, einschließlich Verzeichnissen nach Article 30 und DPIAs
• UK Data Protection Act 2018
• PCI DSS — Stripe verarbeitet alle Zahlungsdaten; wir halten einen SAQ-A-Scope ein
• Regelmäßige Sicherheitsüberprüfungen, Dependency-Audits und Härtung unserer Infrastruktur
• SOC 2 Type II — Zertifizierung des Infrastrukturanbieters (Google Cloud)

Wir schätzen die Hilfe der Sicherheitsgemeinschaft, unsere Plattform sicher zu halten. Wenn Sie eine Schwachstelle entdecken, melden Sie diese bitte an security@vowly.co mit einer klaren Beschreibung, Reproduktionsschritten und Ihren Kontaktdaten. Wir verpflichten uns, Meldungen innerhalb von 48 Stunden zu bestätigen und mit Ihnen an verantwortungsvollen Offenlegungszeitplänen zu arbeiten.