Sicherheit bei CertificateWatch
Ihre Zertifikatsdaten sind vertraulich. Wir nehmen den Schutz Ihrer Daten ernst und setzen auf bewährte Sicherheitsstandards.
🔐
Authentifizierung
- ✓JWT-Token in HTTP-only Cookies (kein localStorage)
- ✓Token-Ablauf nach 7 Tagen
- ✓Secure & SameSite Cookie-Flags in Produktion
- ✓Passwörter mit bcrypt gehasht (Salt Rounds: 10)
- ✓Passwort-Reset per Token (1 Stunde gültig)
🛡️
Brute-Force-Schutz
- ✓Rate Limiting auf Login-Endpoint (5 Versuche / 15 Min.)
- ✓Rate Limiting auf Passwort-Reset (3 / Stunde)
- ✓API Rate Limiting (100 Anfragen / Minute / Organisation)
- ✓IP-basierte Erkennung und Sperrung
👥
Zugriffskontrolle
- ✓Rollenbasiert: User, Admin, Platform Admin
- ✓Organisationsweise Datentrennung (Multi-Tenancy)
- ✓API-Keys mit SHA-256 Hash (nie im Klartext gespeichert)
- ✓API-Keys jederzeit widerrufbar
📋
Audit & Logging
- ✓Audit Logs für alle Admin-Aktionen
- ✓Erfassung: Nutzer, Aktion, Zeitpunkt, IP-Adresse
- ✓Cron-Job Logs mit Fehlerklassifikation pro Quelle
- ✓Alert-Historie: wer wurde wann informiert
🏗️
Infrastruktur
- ✓Hosting auf Vercel (automatisches HTTPS)
- ✓Datenbank: Supabase PostgreSQL (EU Region)
- ✓Verschlüsselte Verbindungen (TLS 1.2+)
- ✓Kein Zugriff auf Produktionsdatenbank ohne Service Role Key
📧
Kommunikation
- ✓E-Mail-Versand über Resend (SPF/DKIM verifiziert)
- ✓Keine sensiblen Daten in E-Mail-Alerts
- ✓Reset-Tokens nur einmal verwendbar
Responsible Disclosure
Sie haben eine Sicherheitslücke entdeckt? Bitte melden Sie diese verantwortungsvoll an:
security@certificatewatch.comWir nehmen jede Meldung ernst und antworten innerhalb von 48 Stunden. Bitte veröffentlichen Sie keine Details, bevor wir das Problem gemeinsam gelöst haben.
Sicherheit überzeugt?
Starten Sie Ihre kostenlose 14-Tage-Testphase und überzeugen Sie sich selbst.
Kostenlos testen