Sicherheit & Vertrauen

Wo deine Daten leben, wer drauf zugreifen kann, und wie wir sie schützen.

Hosting & Architektur

EU-Hosting

Hetzner Falkenstein, deutsches Rechenzentrum. Keine US-Cloud, kein AWS/GCP. ISO-27001-zertifizierter Betreiber, DSGVO-konform.

Verschlüsselung

TLS 1.3 in-transit mit HSTS. AES-256 at-rest auf Disk. Ende-zu-Ende-verschlüsselte Channels mit Double-Ratchet — Server kann den Inhalt nicht lesen.

DSGVO

Auftragsverarbeitungsvertrag (DPA) auf Anfrage. Daten-Export als JSON/CSV. Recht auf Löschung mit Soft-Delete und 30-Tage-Restore-Window.

Authentication

Argon2id Password-Hashing (128 MiB / 8 Iterationen). SSO/SAML für Enterprise-Pläne. Optional 2FA via TOTP-Authenticator.

Compliance-Status

  • DSGVO / GDPR
    Konform gem. Art. 28 + Art. 32 DSGVO.
    Compliant
  • DPA (Auftragsverarbeitung)
    Auf Anfrage als unterschriebenes PDF.
    Verfügbar
  • DE-Server-Standort
    Datacenter Sachsen, Deutschland.
    Hetzner Falkenstein
  • SOC 2 Type II
    Audit angesetzt für Q1 2027.
    In Vorbereitung
  • ISO 27001
    Im Anschluss an SOC 2 Type II.
    Geplant 2027
  • HIPAA
    Keine US-Healthcare-Workloads im Scope.
    Nicht angestrebt

Sicherheitspraktiken

  • Tägliche verschlüsselte Backups

    Automatisierte SQLite-Snapshots auf separate Hetzner-Volume, AES-256 verschlüsselt. 30 Tage Retention.

  • Audit-Log für Admin-Aktionen

    Jede administrative Aktion (Member-Add, Rollen-Wechsel, Daten-Export) wird mit Actor-ID, Aktion, Ziel und Zeitstempel protokolliert.

  • Pre-commit Secret-Scanning

    Husky-Hook blockt Commits mit erkannten Credentials (API-Keys, Tokens, Private-Keys) bevor sie ins Repo landen.

  • Quarterly Security-Sprints

    Q4S-Cycle: jedes Quartal ein Schwerpunkt — Crypto, Auth, RBAC, Devices. Findings werden geslated und ge-fixed bevor Features draufgesattelt werden.

  • Vulnerability-Disclosure-Policy

    Gemeldete Sicherheitslücken werden vertraulich behandelt, innerhalb von 48h bestätigt und innerhalb von 90 Tagen gepatcht. Meldung an security@omnika.team.

Detaillierte Sicherheits-Dokumentation oder DPA für dein Team?

Wir antworten innerhalb eines Werktags und schicken DPA, TOMs und Sub-Auftragsverarbeiter-Liste als PDF.

security@omnika.team kontaktieren

Für Auftragsverarbeitung: siehe /marketing/dpa · Vulnerabilities: /marketing/bug-bounty