Trust · Compliance · Security
Security & Compliance bei ORCONIC
Wir bauen ORCONIC mit der Annahme, dass jedes Workspace sensitive Daten verarbeitet. Diese Seite dokumentiert technische und organisatorische Maßnahmen — direkt aus dem Quellcode und den produktiven Systemen abgeleitet.
01
Verschlüsselung
Daten sind sowohl im Ruhezustand als auch bei der Übertragung mit modernen, gut geprüften Verfahren verschlüsselt.
- AES-256-GCM für alle OAuth-Tokens at rest
- TLS für alles in transit
TLS 1.2+ - DPA-Signaturen mit Tamper-Evidence-Hash
SHA-256 - Dual-Key-Reader-Architektur für Online-Key-Rotation (on-demand, ohne Downtime)
02
Authentication & Authorization
Mehrstufige Authentifizierung, Enterprise-SSO und ein feingranulares Rollenmodell.
- Supabase SSO via Email + OAuth (Google, Microsoft)
- 2FA via TOTP
RFC 6238 - SAML SSO mit @node-saml/node-saml — Schutz vor XML-Signature-Wrapping
- SCIM 2.0 für Enterprise-Provisioning
- RBAC: 7 Rollen × Resource-Action-Matrix
03
Datenisolation
Jede Zeile in jeder Tabelle trägt eine Workspace-ID. Trennung wird auf zwei unabhängigen Ebenen durchgesetzt.
- Multi-Tenant via Workspace-ID auf jeder Zeile
- Row-Level-Security auf 56+ Postgres-Tabellen
RLS - Cross-Tenant-Schutz mit doppelter Verifikation (Code + DB-Policy)
04
Audit & Monitoring
Vollständig nachvollziehbares, manipulationssicheres Logging und proaktive Anomalieerkennung.
- Immutable Audit-Log mit IP-Hash + User-Agent
- 5 Anomaly-Detectors: mass-delete, privilege-escalation, geo-anomaly, brute-force, off-hours-admin
- OpenTelemetry mit OTLP-Export
- Sentry für Error-Tracking, Langfuse für AI-Tracing
05
Compliance
DSGVO-konform aufgebaut. Verträge, Prozesse und Exporte stehen produktiv bereit.
- DSGVO Art. 6, 17, 20, 28 vollständig adressiert
- DPA mit elektronischer Unterschrift + Tamper-Hash
- GDPR-Datenexport über 30+ Tabellen
- DPIA-Template verfügbar
- SOC 2 Type I — In Process (Observation Q3 2026)
- ISO 27001 — Roadmap Q4 2026
06
Infrastruktur
Produktiv ausschließlich in EU-Regionen — mit Backups, Edge-Schutz und Workload-spezifischer Rate-Limitierung.
- Vercel (EU-Region) + Supabase (EU-Region)
- Tägliche DB-Backups + Point-in-Time-Recovery
- DDoS-Schutz auf Cloudflare-Edge
- WAF + Rate-Limiting pro Workspace
07
Schwachstellen-Management
Continuous Scanning, manuelle Reviews und ein klarer Kanal für verantwortliches Offenlegen.
- GitHub Dependabot für Dependency-Patches
- Security-Reviewer-Agent in CI
- Erster externer Penetration-Test geplant — Q3 2026 (RFP läuft)
- Responsible Disclosure: security@codaiq.com → /trust/responsible-disclosure
08
Sub-Processors
Vollständige Liste aller Auftragsverarbeiter, ihrer Verarbeitungszwecke und ihres Verarbeitungsorts.
- Supabase — Datenbank, Auth (EU-West, Frankfurt)
- Vercel — Hosting, Edge (EU-Region)
- OpenRouter / Anthropic / OpenAI — AI-Inference (EU-Routing wo verfügbar)
- Resend — transaktionale E-Mails (EU)
- Stripe — Payments (EU + USA mit SCC)
- Sentry — Error-Tracking (EU-Region)
- Langfuse — AI-Tracing (EU-Region)
Verträge & Dokumente
DPA, Datenschutzerklärung und weitere rechtliche Dokumente stehen öffentlich und im Dashboard bereit. Sicherheitslücken bitte verantwortlich offenlegen.