Sicherheit bei METX.AI
Ihre Daten verdienen den besten Schutz. So sorgen wir dafür.
Verschlüsselung
Alle Daten werden per TLS/HTTPS verschlüsselt übertragen. Es gibt keine unverschlüsselten Verbindungen. HSTS (HTTP Strict Transport Security) ist aktiviert.
Cloudflare Edge Network
Die Plattform läuft auf dem globalen Cloudflare-Netzwerk mit über 300 Standorten weltweit. DDoS-Schutz, WAF und Bot-Management sind inklusive.
Passwort-Sicherheit
Passwörter werden mit Argon2id gehasht — dem aktuell sichersten Algorithmus. Klartext-Passwörter werden nie gespeichert oder übertragen.
Rollenbasierte Zugriffskontrolle
5 Rollen (Admin, Manager, Sachbearbeiter, Prüfer, Viewer) mit granularer Berechtigungsmatrix. Jeder sieht nur das, was er sehen darf.
Datenisolation (Multi-Tenant)
Jedes Unternehmen hat einen eigenen Datenraum. Strenge Tenant-Isolierung auf Datenbankebene stellt sicher, dass kein Unternehmen die Daten eines anderen sehen kann.
Lückenloser Audit-Trail
Jede Aktion wird protokolliert: Wer hat was, wann, an welchem Objekt geändert? Inklusive IP-Adresse und Vorher-/Nachher-Werten.
API-Sicherheit
Unsere API ist durch mehrere Schutzschichten gesichert:
- JWT-Tokens mit 24-Stunden-Ablaufzeit und Session-Validierung
- Rate Limiting: 100 Anfragen pro Minute, 5 Login-Versuche pro 15 Minuten
- Body-Size-Limit: Maximal 2 MB pro Anfrage
- Content Security Policy (CSP) und X-Frame-Options zum Schutz vor XSS und Clickjacking
- CORS-Konfiguration: Nur autorisierte Domains können die API ansprechen
- Kein Leaking interner Fehlermeldungen an den Client
4-Augen-Prinzip
Kritische Aktionen in der Plattform erfordern eine Prüfung und Freigabe durch eine zweite Person. Der Bearbeiter kann seine eigene Arbeit nicht genehmigen. Dies schützt vor Fehlern und stellt Compliance sicher.
Anti-Missbrauch (Gamification)
Das integrierte Gamification-System ist gegen Manipulation geschützt:
- Edit-Cooldown: 30 Minuten Wartezeit pro Datenpunkt
- Tägliche Obergrenzen: Max. 200 XP/Tag durch Bearbeitungen
- No-Op-Erkennung: Keine Punkte für Schein-Bearbeitungen
- Pyramiden-Cap: Max. 50 XP/Tag durch Vererbungsbonus
- Bulk-Throttle: Verdächtige Massenaktionen werden erkannt
DSGVO-Konformität
- Kein Tracking, keine Analyse-Tools, keine Werbung
- Nur technisch notwendige Cookies
- Auftragsverarbeitungsvertrag (AVV) mit Cloudflare
- Datenexport auf Anfrage in gängigem Format
- Löschung aller Daten bei Vertragsende innerhalb von 30 Tagen
- Auskunftsrecht, Berichtigungsrecht, Recht auf Löschung und Datenübertragbarkeit
Datensicherung
Cloudflare D1 erstellt automatisch regelmäßige Backups der Datenbank. Die Backups werden verschlüsselt gespeichert. Im Falle eines Datenverlusts kann der Zustand wiederhergestellt werden.
Sicherheitsproblem melden
Wenn Sie eine Sicherheitslücke entdecken, kontaktieren Sie uns bitte umgehend:
security@metx.aiWir nehmen jeden Hinweis ernst und antworten innerhalb von 48 Stunden.