Bei Relevante.IA ist die Sicherheit der Daten unserer Kunden eine grundlegende Prioritaet. Diese Seite beschreibt die technischen und organisatorischen Massnahmen, die wir zum Schutz Ihrer Informationen umsetzen.
1. Sicherheitsarchitektur
1.1 Infrastruktur
| Komponente | Detail |
|---|---|
| Frontend-Hosting | Vercel (globales CDN, Edge-Netzwerk, automatische SSL-Zertifikate) |
| Backend-Hosting | Railway (isolierte Container, verwaltete Infrastruktur) |
| Datenbank | Supabase (verwaltetes PostgreSQL mit automatischen Backups, Verschluesselung im Ruhezustand) |
| Task-Queue | Redis auf Railway (verschluesselte Verbindung, keine Persistenz sensibler Daten) |
| Zahlungsabwicklung | Stripe (PCI-DSS Level 1 zertifiziert) |
1.2 Verschluesselung
- Verschluesselung bei der Uebertragung: Alle Kommunikationen nutzen HTTPS/TLS 1.2+ Ende-zu-Ende.
- Passwort-Verschluesselung: Gespeichert mit bcrypt-Hash ueber Supabase Auth. Niemals im Klartext gespeichert.
- Verschluesselung von Integrations-Anmeldedaten: WordPress-Passwoerter und Google-Search-Console-OAuth-Tokens werden vor der Speicherung in der Datenbank mit AES-256-GCM verschluesselt.
- Verschluesselung im Ruhezustand: Die Supabase-Datenbank verschluesselt die gespeicherten Daten durch Festplattenverschluesselung.
1.3 Authentifizierung und Zugriffskontrolle
- Authentifizierung per JWT (JSON Web Token) mit Pruefung bei jeder Serveranfrage.
- Unterstuetzung von Google OAuth 2.0 als alternative Authentifizierungsmethode.
- Row Level Security (RLS) auf allen Datenbanktabellen: Jeder Nutzer kann nur auf seine eigenen Daten zugreifen.
- Rollenbasierte Zugriffskontrolle: Strikte Trennung zwischen Standard- und Administrator-Nutzern.
- Dedizierter interner Token fuer die Server-Worker-Kommunikation (Isolation interner Prozesse).
2. Anwendungsschutz
2.1 Server-Sicherheit
- HTTP-Sicherheits-Header (Helmet): Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Strict-Transport-Security, Referrer-Policy.
- CORS-Schutz: strikte Whitelist erlaubter Origins (ALLOWED_ORIGINS).
- Rate Limiting: 100 Anfragen pro Minute pro Nutzer zur Missbrauchspraevention.
- Spezifisches Rate Limiting: 1 kostenloses Audit pro IP und Tag.
- Input-Validierung an allen API-Endpoints.
- SQL-Injection-Schutz durch parametrisierte Abfragen (Supabase-Client).
2.2 Frontend-Sicherheit
- Keine Geheimnisse oder API-Keys im Frontend-Code gespeichert.
- Separate Umgebungsvariablen fuer Frontend (nur oeffentliche Keys) und Backend (private Keys).
- Sanitisierung von Nutzereingaben vor dem Rendering.
2.3 Sicherheit der Integrationen
- WordPress: Anmeldedaten (Application Passwords) werden mit AES-256-GCM verschluesselt und ueber HTTPS uebertragen. Sie werden sofort bei Trennung geloescht.
- Google Search Console: Standard-OAuth-2.0-Authentifizierung. Refresh Tokens werden mit AES-256-GCM verschluesselt. Jederzeit widerrufbar.
- Bing Webmaster Tools: Vom Nutzer bereitgestellter API-Key, mit AES-256-GCM verschluesselt. Kein OAuth; direkte Verbindung. Jederzeit loeschbar.
- Shopify (Freigabe ausstehend): OAuth 2.0 Authorization Code Grant. Access Tokens mit AES-256-GCM verschluesselt. Praeventives Rate Limiting (Bucket 40, Leak 2/s). Relevante.IA greift nicht auf Kundendaten oder Bestellungen des Shops zu.
- Stripe: Die Zahlungsabwicklung wird vollstaendig an Stripe delegiert. Relevante.IA greift niemals auf vollstaendige Kartendaten zu.
3. Datenverwaltung
3.1 Datenminimierung
- Wir erheben nur Daten, die fuer die Erbringung des Dienstes unbedingt erforderlich sind.
- Die an KI-Dienstleister gesendeten Prompts enthalten nur oeffentliche Daten ueber das Unternehmen des Nutzers (Web-Inhalte, Handelsname). Es werden keine personenbezogenen Daten gesendet (E-Mail, Passwort, Zahlungsdaten).
- Das Kontext-Optimierungssystem (SRO Skill Context) reduziert das an die KI gesendete Datenvolumen um etwa 35 % gegenueber einem vollstaendigen Versand.
3.2 Datenisolation
- Jedes Unternehmen arbeitet als Aggregate Root in der Datenbank mit isolierten Beziehungen.
- Row Level Security (RLS) gewaehrleistet, dass ein Nutzer unter keinen Umstaenden auf die Daten eines anderen Nutzers zugreifen kann.
- Asynchrone Jobs (BullMQ) werden in isolierten Workern mit dediziertem internem Token verarbeitet.
3.3 Aufbewahrung und Loeschung
- Die Aufbewahrungsfristen sind in der Datenschutzerklaerung festgelegt.
- Bei der Kontoloeschung werden Integrations-Anmeldedaten sofort geloescht.
- Nach Ablauf der Aufbewahrungsfristen werden die Daten unwiderruflich geloescht oder anonymisiert.
- Der Nutzer kann vor der Kuendigung den Export seiner Daten im JSON-Format anfordern.
4. KI-Dienstleister und Sicherheit
| Dienstleister | Erhaltene Daten | Trainingsnutzung | Garantie |
|---|---|---|---|
| DeepSeek V3 | Oeffentlicher Website-Inhalt, Unternehmensname | Nein (Opt-out aktiv) | SCC + TIA |
| Anthropic (Claude) | Oeffentlicher Website-Inhalt, Unternehmensname | Nein (Opt-out aktiv) | SCC + DPF |
| OpenAI | Textfragmente fuer Embeddings, M3-Abfragen | Nein (API-Nutzung, Opt-out) | SCC + DPF |
| Perplexity | Unternehmensname, Sichtbarkeitsabfragen | Nein (API-Nutzung) | SCC |
| Google Gemini | M3-Sichtbarkeitsabfragen | Nein (API-Nutzung, Opt-out) | SCC + DPF |
Nutzer koennen anfordern, dass ihre Analysen ausschliesslich mit Dienstleistern mit Sitz in den USA/EU (ohne DeepSeek) verarbeitet werden, indem sie an contacto@relevanteia.com schreiben.
5. Reaktion auf Sicherheitsvorfaelle
- Kontinuierliches Monitoring von Fehlern und Anomalien auf der Plattform.
- Fehlerprotokolle (error_logs) und API-Nutzungsprotokolle (api_usage_logs) zur Erkennung anomalen Verhaltens.
- Im Falle einer Sicherheitsverletzung, die personenbezogene Daten betrifft, werden wir die zustaendige Datenschutzbehoerde gemaess Art. 33 DSGVO innerhalb von maximal 72 Stunden benachrichtigen.
- Betroffene Nutzer werden gemaess Art. 34 DSGVO unverzueglich benachrichtigt, wenn die Verletzung ein hohes Risiko fuer ihre Rechte und Freiheiten darstellen kann.
6. Backups
- Automatische Datenbank-Backups (Supabase managed backups).
- Snapshots der WordPress-Seiten vor jeder Aenderung, die ein vollstaendiges Rollback ermoeglichen.
- Versionsverlauf der ueber die WordPress-Integration geaenderten Seiten.
7. Kontinuierliche Verbesserung
Wir ueberpruefen und aktualisieren unsere Sicherheitsmassnahmen regelmaessig, um uns an neue Bedrohungen und bewaehrte Praktiken anzupassen. Wenn Sie Fragen zu unserer Sicherheit haben oder eine Schwachstelle melden moechten, kontaktieren Sie uns unter contacto@relevanteia.com.
Responsible Disclosure:
Wenn Sie eine Sicherheitsschwachstelle auf unserer Plattform entdecken, bitten wir Sie, diese vor einer oeffentlichen Offenlegung verantwortungsvoll zu kommunizieren. Wir verpflichten uns, jede verifizierte Schwachstelle schnellstmoeglich zu untersuchen und zu beheben.
8. Kontakt
- Email: contacto@relevanteia.com
- Barcelona, Spanien