Vertrauen

·English →

Sicherheit bei Anvil

Zuletzt aktualisiert: 19. April 2026

⚠️ Inoffizielle Referenzübersetzung / Unofficial Reference Translation

Dieses Dokument ist eine deutschsprachige Referenzübersetzung. Bei Abweichungen zur englischen Fassung (anvilhk.com/security) ist die englische Fassung maßgeblich. Wir empfehlen, vor geschäftlicher Nutzung in der EU einen lokalen Rechtsanwalt zu konsultieren.

Anvil ist das „System of Record" für Ihre Umsatzpipeline. Wir nehmen diese Verantwortung ernst. Diese Seite beschreibt in verständlicher Sprache die Sicherheitskontrollen, Zertifizierungen und Praktiken, mit denen wir Kundendaten schützen. Die vertragliche Version finden Sie in unserem Auftragsverarbeitungsvertrag (AVV / DPA). Unsere Maßnahmen entsprechen den Anforderungen aus Art. 32 DSGVO (Sicherheit der Verarbeitung), dem BDSG und den Empfehlungen der Datenschutzkonferenz (DSK).

Standardmäßig verschlüsselt

TLS 1.3 in der Übertragung, AES-256-GCM ruhend. Schlüssel in hardwaregestütztem KMS mit Envelope-Encryption.

Least-Privilege-Zugriff

Kein stehender Produktionszugriff für Engineers. MFA + SSO für jeden Admin.

Transparente Incidents

72-Stunden-Meldung gemäß Art. 33 DSGVO, öffentliche Post-Mortems für wesentliche Vorfälle, Live-Statusseite.

1. Datenschutz durch Technik

Verschlüsselung in der Übertragung

Sämtlicher Datenverkehr zwischen Nutzern und Anvil läuft über HTTPS mit TLS 1.3. Wir setzen HSTS mit 1 Jahr max-age durch und sind preload-gelistet. Interner Service-zu-Service-Verkehr ist im privaten Netzwerk verschlüsselt.

Ruhende Verschlüsselung

PostgreSQL, MongoDB, Redis und Objektspeicher sind mit AES-256-GCM verschlüsselt. Datenbanksicherungen werden mit separaten Schlüsseln verschlüsselt und geografisch getrennt gespeichert.

Schlüsselverwaltung

Data-Encryption-Keys werden von Key-Encryption-Keys in einem hardwaregestützten KMS umschlossen. Regelmäßige Rotation; kein Mensch hat Klartextzugriff auf DEKs.

Secrets

Anwendungs-Secrets liegen in einem verschlüsselten Secret Store, werden zur Laufzeit injiziert und niemals in den Source Code committet. Secret-Scanning bei jedem Push.

Mandantentrennung

Jede mandantenführende Tabelle trägt einen Tenant-Identifier. Autorisierung erfolgt auf Anwendungsebene; Cross-Tenant-Regressionstests laufen bei jedem Deploy. Speicherpfade sind namensräumlich getrennt.

Datenresidenz

Kundendaten werden primär in Hong Kong SAR gehostet. Enterprise-Kunden können „EU only" oder „US only" anfragen.

2. Authentifizierung & Zugriff

Endnutzer-Authentifizierung

E-Mail + Passwort, Google OAuth, SAML/OIDC-SSO (Enterprise). Passwörter werden mit Argon2id und Per-User-Salts gehasht. Konten werden nach wiederholten Fehlversuchen gesperrt.

MFA

TOTP und WebAuthn/Passkeys für alle Pläne. MFA ist für die Rollen OWNER und ADMIN verpflichtend.

Sessions

Access-Tokens sind kurzlebige (15 Min.) JWTs, signiert mit RS256. Refresh-Tokens rotieren und liegen in __Host-prefixed HttpOnly-Cookies. CSRF wird per Double-Submit-Tokens und SameSite=Lax entschärft.

RBAC

Eingebaute Rollen: OWNER, ADMIN, MANAGER, MEMBER, VIEWER. Berechtigungen werden serverseitig erzwungen.

Mitarbeiterzugriff

Engineers haben keinen stehenden Produktionszugriff. Break-Glass-Zugriff ist zeitlich begrenzt, benötigt Peer-Freigabe und wird vollständig protokolliert. Hardware-Security-Keys und Zero-Trust-Proxy.

API-Keys & Webhooks

API-Keys sind scoped, widerrufbar, rate-limitiert und ruhend gehashed. Webhooks sind HMAC-signiert; Zeitstempel und Replay-Schutz inkl.

3. Infrastruktur-Sicherheit

Netzwerk

Cloudflare am Edge liefert DDoS-Schutz, WAF, Bot-Management und TLS-Terminierung. Die Origin ist nur über authentifizierte Tunnel erreichbar — die reale IP ist nicht öffentlich routbar.

Segmentierung

Dienste sind in Trust-Zones gruppiert. Inter-Service-Verkehr verwendet wo möglich Service-Mesh-mTLS. Datenbanken haben keinen öffentlichen Ingress.

Härtung

Hosts laufen auf minimalen, regelmäßig gepatchten Basis-Images. Container-Images basieren möglichst auf Distroless-Images und werden auf CVEs gescannt. Deploys brechen bei KRITISCHEN CVEs ab.

Konfigurationsmanagement

Gesamte Infrastruktur als Code. Abweichungen werden erkannt und gemeldet. Manuelle Änderungen sind Ausnahmen und peer-reviewt.

Supply Chain

Abhängigkeiten sind gepinnt und vor dem Upgrade geprüft. Advisory-Feeds je Sprachökosystem; Upgrades nach Schweregrad-SLAs.

Build-Pipeline

CI läuft auf ephemeren Runnern mit minimalen Rechten. Artefakte sind signiert; Deploys prüfen Signaturen vor dem Rollout.

4. Sichere Entwicklung

  • Code-Review bei jeder Änderung; keine Self-Merges in Produktionsbranches.
  • SAST, DAST, Dependency-, Secret- und Container-Scanning in CI; Findings werden SLA-getrackt.
  • Threat-Modelling für neue Systeme mit Authentifizierungs-, Zahlungs- oder PII-Bezug.
  • Jährlicher Penetrationstest (Full Scope) durch Dritte. Zusammenfassung unter NDA.
  • Responsible-Disclosure / Bug-Bounty — siehe unten.
  • Security Champions: mindestens ein geschulter Champion pro Team.

5. Monitoring & Erkennung

  • Zentrales, manipulationsgeschütztes Log-Storage; mindestens 1 Jahr Aufbewahrung für sicherheitsrelevante Ereignisse.
  • Echtzeit-Alerts für Auth-Anomalien, Rechteausweitungen, Daten-Export-Spikes und WAF-Signale.
  • Sentry für Anwendungsfehler; OpenTelemetry-Traces und -Metriken.
  • Datenbank-Audit-Logs für administrative und Cross-Tenant-Zugriffe.
  • Wöchentliche Prüfung hochriskanter Audit-Events durch das Sicherheitsteam.

6. Incident Response

Runbook

Dokumentiertes Verfahren mit Schwerestufen, benannten Rollen (Incident Commander, Comms Lead, Scribe) und vorbereiteten Kommunikationsvorlagen.

24/7-Rufbereitschaft

Rotierende Engineering-Rufbereitschaft. Sicherheitsvorfälle rufen zusätzlich den Security-Lead an.

Meldefristen

Gemäß Art. 33 DSGVO melden wir Verletzungen des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden. Betroffene benachrichtigen wir gemäß Art. 34 DSGVO bei hohem Risiko ohne unangemessene Verzögerung; unser Kunden-SLA aus dem AVV beträgt 48 Stunden.

Post-Mortems

Wesentliche Vorfälle erhalten eine blame-freie Root-Cause-Analyse. Veröffentlichung auf der Statusseite, soweit ohne Offenlegung anderer Kundendaten möglich.

7. Resilienz, Backups und Disaster Recovery

  • Backups: täglich verschlüsselte Vollsicherung + stündliche Inkremente für PostgreSQL; Objekt­speicher versioniert und regionsübergreifend repliziert.
  • Aufbewahrung: 35 Tage rotierend. Legal-Hold und längere Aufbewahrung im Enterprise-Plan.
  • Restore-Tests: mindestens quartalsweise vollständige DB-Wiederherstellung in saubere Umgebung.
  • Ziele: RPO ≤ 1 Stunde, RTO ≤ 4 Stunden für die primäre Datenbank.
  • Multi-Zone: zustandslose Dienste laufen active-active; zustandsbehaftete Dienste mit automatischem Failover.

8. Personen & Dienstleister

  • Zuverlässigkeitsprüfungen, soweit gesetzlich zulässig.
  • Vertraulichkeitserklärung und AUP-Unterzeichnung bei Einstellung.
  • Jährliche Security-Awareness- und Phishing-Simulations-Schulungen.
  • Device-Posture (Festplattenverschlüsselung, Screen-Lock, EDR) für jedes Gerät mit Produktionszugriff.
  • Dienstleister-Review vor Einsatz jedes Auftragsverarbeiters mit Zugriff auf Kundendaten. Siehe Auftragsverarbeiter-Liste.
  • Joiner/Mover/Leaver-Prozess für Zugriffsbereitstellung und -entzug.

9. Compliance & Zertifizierungen

Aktiv

DSGVO & UK GDPR

Verantwortlicher- und Auftragsverarbeiter-Pflichten, SCCs (Modul 2), UK IDTA, DPIA-Unterstützung.

Aktiv

BDSG

Bundesdatenschutzgesetz — ergänzende deutsche Regelungen, einschließlich § 38 BDSG (Datenschutzbeauftragter).

Aktiv

TTDSG

Einwilligungs- und Zugriffsregeln zu Endgeräten gemäß § 25 TTDSG.

Aktiv

HK PDPO

Data-User-Pflichten nach der Personal Data (Privacy) Ordinance von Hongkong — unsere Heimatjurisdiktion.

Aktiv

CCPA / CPRA

Service-Provider-Rolle, kein Verkauf / keine Weitergabe zu Werbezwecken, Beachtung von GPC-Signalen.

Aktiv

PIPL

Standardvertrags-Route für grenzüberschreitende Übermittlungen aus dem chinesischen Festland (Enterprise).

Geplant Q4 2026

SOC 2 Type II

Beobachtungszeitraum Q2 2026. Gap-Assessment abgeschlossen; Remediation läuft.

Geplant 2027

ISO 27001:2022

Umsetzung orientiert an Anhang-A-Kontrollen 2022. Stage-1-Audit für 2027 geplant.

Enterprise-Kunden können SIG-Lite, CAIQ oder Vendor-Fragebögen unter NDA anfordern.

10. Datenaufbewahrung & Löschung

  • Löschanträge werden innerhalb von 30 Tagen bearbeitet (oder schneller, wenn rechtlich gefordert).
  • Bei Kontokündigung: 30 Tage Exportfenster, anschließende Löschung oder Anonymisierung innerhalb weiterer 60 Tage.
  • Backups mit gelöschten Daten werden im Rahmen der üblichen Rotation (≤ 35 Tage) überschrieben. Wir bearbeiten Backups nicht manuell.
  • Löschzertifikat auf Anfrage.

11. Responsible Disclosure

Wir begrüßen Meldungen von Sicherheitsforschern an security@anvilhk.com (weitergeleitet an 738888@proton.me) mit:

  • Einer klaren Beschreibung des Problems und der betroffenen Ressource.
  • Proof-of-Concept-Schritten, die echte Kundendaten nicht berühren.
  • Ihrem Namen oder Handle, falls Sie genannt werden möchten.

Wir verpflichten uns:

  • Eingangsbestätigung binnen 2 Werktagen.
  • Erste Einschätzung binnen 5 Werktagen.
  • Gegen Forscher, die im Rahmen unserer security.txt gutgläubig handeln, unternehmen wir keine rechtlichen Schritte.
  • Nennung (mit Zustimmung) auf einer Hall-of-Fame-Seite.

Ein bezahltes Bug-Bounty-Programm wird für 2026 konzipiert. Bis zum Start zahlen wir hochimpaktige Findings nach eigenem Ermessen.

12. Status & Transparenz

  • Live-Status unter status.anvilhk.com.
  • Geplante Wartungen werden mindestens 72 Stunden im Voraus angekündigt.
  • Jährlicher Transparenzbericht zu Datenauskunftsersuchen von Strafverfolgungs- und Behörden.

13. Kontakt

Alle Alias-Adressen werden derzeit an 738888@proton.me weitergeleitet, während wir die Unternehmens-Mailmigration abschließen.