faktorplan

Sicherheit

Stand 2026-05-18

Wir nehmen die Sicherheit Ihrer Daten ernst. Diese Seite beschreibt unsere technischen und organisatorischen Maßnahmen.

Hosting in Deutschland

Sämtliche Server, Datenbanken und Backup-Volumes laufen bei der Hetzner Online GmbH in deutschen Rechenzentren. Es findet keine Datenübermittlung in Drittländer für die Kerndaten Ihrer Kalkulationen statt.

Mandantenstrikte Datentrennung

Jeder Tenant (Mandant) ist auf Datenbank-Ebene durch Postgres Row-Level-Security mit FORCE ROW LEVEL SECURITY isoliert. Das eingesetzte Datenbank-Konto hat NOSUPERUSER und NOBYPASSRLS — RLS kann auch durch einen kompromittierten Anwendungs-Bug nicht umgangen werden.

Passwort-Sicherheit

Transport-Verschlüsselung

TLS mit Let's-Encrypt-Zertifikat, automatische Erneuerung. HSTS aktiviert. Cookies sind HttpOnly, Secure und SameSite=Lax.

AI-Daten

Eingaben an die AI-Funktion werden an Anthropic Claude gesendet. Anthropic hat in seinen Nutzungsbedingungen für API-Kunden ausdrücklich zugesichert, dass Anfragen nicht zum Training der Modelle verwendet werden. Sie können in den AI-Einstellungen Ihres Mandanten optional einen eigenen Anthropic-API-Key hinterlegen, wenn Sie einen separaten Vertrag mit Anthropic haben.

Audit-Log

Jede Schreib-Aktion in Ihrer Kalkulation (anlegen, ändern, löschen) wird mit User-E-Mail, Zeitstempel und Aktions-Beschreibung im Audit-Log festgehalten. Admins Ihres Mandanten können das Log unter /audit einsehen.

Backups

Tägliche Postgres-Dumps (pg_dump --format=custom --compress=9) mit 14-tägiger Aufbewahrung. Backups liegen verschlüsselt auf separatem Storage.

Compliance

Vulnerability Disclosure

Wenn Sie eine Sicherheitslücke entdeckt haben, kontaktieren Sie uns bitte zuerst vertraulich unter security@faktorplan.com, bevor Sie sie veröffentlichen. Wir reagieren in der Regel innerhalb von 48 Stunden und sagen Ihnen für konstruktiv gemeldete Funde unseren Dank zu.