Sicherheitserklärung

Diese Sicherheitserklärung beschreibt die technischen und organisatorischen Maßnahmen, die Kapsule Group Limited ("Kapsule Cloud") implementiert, um die auf unserer Plattform gehosteten Daten zu schützen. Sie wird in der Datenverarbeitungsvereinbarung referenziert und wird von Zeit zu Zeit aktualisiert, um Verbesserungen unserer Sicherheitslage widerzuspiegeln.

Unser Grundprinzip ist Defense in Depth: Wir schichten mehrere unabhängige Kontrollen, sodass kein einzelner Fehler die Kundendaten gefährdet.

Wir führen dokumentierte Richtlinien zur Informationssicherheit und zum Datenschutz, die mindestens jährlich überprüft und aktualisiert werden, wenn wesentliche Änderungen der Plattform oder der Bedrohungslage dies erforderlich machen.

Ein benannter Datenschutzbeauftragter trägt die Verantwortung für die Einhaltung des Datenschutzes. Sicherheitsverantwortungen werden Namensträgern des Infrastruktur-Teams zugewiesen.

Alle Mitarbeiter erhalten bei der Einstellung und danach jährlich Schulungen zu Datenschutz und Sicherheit. Mitarbeiter mit Zugriff auf Produktionssysteme unterliegen Hintergrundüberprüfungen, soweit das Gesetz dies zulässt.

Sicherheitsvorfälle und Beinaheunfälle werden erfasst, überprüft und zur kontinuierlichen Verbesserung der Kontrollen herangezogen.

Der Zugriff auf Produktionssysteme und Kundendaten wird durch strikte rollenbasierte Zugriffskontrolle geregelt, die auf dem Prinzip der minimalen Berechtigung basiert: Mitarbeiter erhalten nur den Zugriff, den sie zur Ausführung ihrer spezifischen Rolle benötigen.

Die Verwendung von Zwei-Faktor-Authentifizierung (2FA) ist obligatorisch für alle Mitarbeiter mit Zugriff auf Produktionsinfrastruktur, das Hosting-Kontrollpanel, Quellcode und Cloud-Provider-Konsolen.

Zugriffsrechte werden regelmäßig überprüft und bei Rollenwechsel oder Ausscheiden umgehend widerrufen. Zugriffsereignisse und Rechteerweiterungen werden protokolliert.

Produktions- und Nicht-Produktionsumgebungen sind strikt voneinander getrennt. Kundenumgebungen sind logisch voneinander isoliert innerhalb der Hosting-Plattform.

Jeder administrative Zugriff auf Produktionsserver wird über SSH-Schlüsselpaare authentifiziert; passwortbasierte SSH-Authentifizierung ist deaktiviert.

Alle Daten im Transit zwischen Kunden und unserer Plattform werden mit TLS 1.2 oder höher verschlüsselt. TLS-Zertifikate werden automatisch ausgestellt und vor Ablauf erneuert.

Offsite-Backups werden mit restic und AES-256 verschlüsselt. Verschlüsselungsschlüssel werden separat von Sicherungsdaten gespeichert und offline gesichert. Der Verlust des Schlüssels macht Sicherungsdaten unwiederherstellbar, weshalb Schlüssel an mehreren sicheren Offline-Standorten verwahrt werden.

Verschlüsselte Backups werden in Cloudflare R2 Objektspeicher, Region Ozeanien, gespeichert und bieten dadurch geografische Trennung von unserer primären Hetzner-Infrastruktur.

Sensible Plattformdaten (einschließlich Geheimnisse, API-Schlüssel und Anmeldedaten) werden in dedizierten Secrets-Management-Systemen gespeichert und sind niemals in Quellcode oder Konfigurationsdateien eingebettet, die in die Versionskontrolle eingecheckt werden.

Kundenorientierte Dienste werden durch Cloudflares Web Application Firewall (WAF) und DDoS-Abschwächung geschützt, die volumetrische und Anwendungsschicht-Angriffe absorbiert, bevor sie unsere Infrastruktur erreichen.

Kundenhosting-Umgebungen sind netzwerksegmentiert: Jede Website wird in einem isolierten Kontext ausgeführt und kann nicht auf die Daten anderer Kunden auf der Netzwerkebene zugreifen.

Betriebssysteme, Plattformsoftware und Anwendungsabhängigkeiten werden regelmäßig gepflegt. Kritische Sicherheits-Patches werden innerhalb von 24–72 Stunden nach ihrer Veröffentlichung angewendet. Internetorientierte Infrastruktur wird regelmäßig auf bekannte Schwachstellen überprüft.

Firewall-Regeln beschränken den eingehenden Zugriff auf die notwendigsten Ports und Dienste. Unnötige Dienste sind standardmäßig deaktiviert.

Regelmäßige Penetrationstests werden durch unabhängige qualifizierte Tester durchgeführt. Wesentliche Erkenntnisse werden behoben und erneut getestet.

Zugriffsereignisse, Konfigurationsänderungen, Authentifizierungsversuche und sicherheitsrelevante Systemereignisse werden in einem zentralisierten Logging-System protokolliert. Protokolle werden mindestens 90 Tage lang aufbewahrt.

Die Plattformgesundheit und Sicherheitssignale werden rund um die Uhr überwacht. Warnmeldungen werden an das Bereitschaftspersonal weitergeleitet, um eine sofortige Untersuchung zu ermöglichen.

Wir unterhalten einen dokumentierten Incident-Response-Plan mit definierten Schweregrad-Stufen, Eskalationswegen und Kommunikationsverfahren. Der Plan wird mindestens jährlich überprüft und getestet.

Im Falle einer bestätigten meldepflichtigen Datenschutzverletzung, die sich auf Customer Personal Information auswirkt, werden wir betroffene Kunden innerhalb von 72 Stunden nach Kenntnisnahme benachrichtigen, wie von der Privacy Act 2020 und der Data Processing Agreement gefordert.

Sentry wird für Echtzeit-Fehlertracking und Application-Performance-Überwachung im gesamten Platform Stack verwendet.

Kundenseite-Dateien, Datenbanken und E-Mail-Daten werden täglich mit restic nach Cloudflare R2 (Region Ozeanien) gesichert. Sicherungen werden im ruhenden Zustand mit AES-256 verschlüsselt.

Die Sicherungsaufbewahrung beträgt mindestens 30 Tage für alle kostenpflichtigen Pläne. Höherwertige Pläne enthalten zusätzliche wöchentliche und monatliche Snapshots. Planspezifische Aufbewahrungsdetails finden Sie in der Service Level Agreement.

Wiederherstellungsverfahren sind in unseren internen Runbooks dokumentiert und werden regelmäßig getestet. Das Platform-Team führt Wiederherstellungsübungen durch, um die Sicherungsintegrität zu validieren.

Der Kapsule Cloud-Plattform-Codebase (einschließlich Konfiguration und Bereitstellungsskripte) wird täglich in private GitHub-Repositories der Organisation kapsulenz gesichert und bietet damit einen unabhängigen Wiederherstellungspfad für die Plattform selbst.

Disaster-Recovery-Verfahren für jede Infrastrukturkomponente (Hosting-Server, Mail-Server, Portal) sind mit angestrebten Wiederherstellungszeiten von 2–4 Stunden je nach Komponente und Datengröße dokumentiert.

Alle Mitarbeiter mit Zugriff auf Kundendaten sind entweder vertraglich oder gesetzlich an Vertraulichkeitsverpflichtungen gebunden.

Wir unterhalten schriftliche Datenverarbeitungsvereinbarungen mit allen Unterauftragsverarbeitern. Diese Vereinbarungen verpflichten Unterauftragsverarbeiter, Schutzmaßnahmen umzusetzen, die nicht weniger schützend sind als diejenigen in unserer Datenverarbeitungsvereinbarung, einschließlich Vertraulichkeit, Sicherheit und Verpflichtungen zur zweckgebundenen Verarbeitung.

Unsere Liste der Unterauftragsverarbeiter wird mindestens jährlich auf fortlaufende Eignung überprüft. Unterauftragsverarbeiter werden vor ihrer Beauftragung anhand unserer Mindestanforderungen an die Sicherheit bewertet.

Die aktuelle Liste der Unterauftragsverarbeiter wird unter kapsulecloud.com/legal/sub-processors veröffentlicht.

Produktionsserver werden in Hetzner-Rechenzentren in Deutschland betrieben. Die Einrichtungen von Hetzner sind mit Tier III oder gleichwertiger Zertifizierung ausgestattet und bieten: kontrollierter physischer Zugang mit Multi-Faktor-Authentifizierung an Zugangspunkten; 24x7 Sicherheitspersonal vor Ort; redundante Stromversorgung (USV und Dieselgeneratoren); redundante Kühlsysteme; Brandmelder und Löschanlagen.

Der physische Zugriff auf Server-Hardware ist auf autorisiertes Hetzner-Personal beschränkt. Kapsule Cloud-Personal hat keinen routinemäßigen physischen Zugriff auf Produktionshardware; alle administrativen Zugriffe werden remote über verschlüsselte Kanäle durchgeführt.

Außerbetriebgenommene Speichermedien werden gemäß den Verfahren von Hetzners Rechenzentrum sicher gelöscht oder zerstört, bevor sie wiederverwendet oder entsorgt werden.

Wir befolgen einen sicheren Software-Entwicklungslebenszyklus. Alle Änderungen am Produktionscode erfordern eine obligatorische Peer-Code-Review vor der Bereitstellung. Automatisierte Dependency-Scans werden bei jedem Build durchgeführt, um bekannte Sicherheitslücken in Drittanbieter-Paketen zu identifizieren.

Secrets werden mit Hilfe eines dedizierten Secrets-Management-Systems verwaltet. Keine Anmeldedaten, API-Schlüssel oder sensiblen Konfigurationswerte werden in Source-Code-Repositorys eingecheckt.

Tests vor der Veröffentlichung umfassen funktionale, Regressions- und sicherheitsorientierte Test-Läufe. Änderungen an Authentifizierungs-, Zahlungs- oder Datenverarbeitungsabläufen unterliegen zusätzlichen Überprüfungen.

Benutzereingaben werden an allen Anwendungsgrenzen validiert und bereinigt. Wir wenden Standardschutzmaßnahmen gegen OWASP-Top-10-Risiken an, einschließlich SQL-Injection, Cross-Site-Scripting und Cross-Site-Request-Forgery.

KPanel-Authentifizierung: Passwörter werden mit Argon2id gehasht (speicherintensiv, resistent gegen GPU-Cracken). Neue Passwörter werden vor der Akzeptanz über eine k-Anonymität-Präfix-Suche gegen die Have I Been Pwned-Datenbank überprüft. Die Anmeldung unterstützt TOTP-basierte Zwei-Faktor-Authentifizierung, SMS-Einmalcodes und Hardware-Passkeys (WebAuthn/FIDO2). OAuth-Anmeldung wird über Google, GitHub und Apple Sign In unterstützt, jeweils überprüft gegen den JWKS-Endpunkt des Anbieters. Magic-Link-E-Mail-Anmeldung ist auf drei Anfragen pro Stunde pro Adresse begrenzt und ist als Wiederherstellungsmethode verfügbar. Sitzungstoken sind kryptographisch zufällig, gehashed in der Datenbank gespeichert und verfallen nach 30 Tagen Inaktivität.

Kundendaten werden auf logischer Ebene in den Bereichen Hosting, Datenbank und Anwendung getrennt. Die Dateien, Datenbanken und E-Mail-Konten jedes Kunden sind unter separaten Systemkonten isoliert, ohne dass ein kundenübergreifender Zugriff möglich ist.

Wenn ein Kunde seinen Service beendet, werden Kundenpersonendaten 30 Tage lang zum Export verfügbar gemacht und dann dauerhaft aus Live-Systemen gelöscht. Verschlüsselte Sicherungskopien werden beim nächsten geplanten Rotationszyklus gelöscht, spätestens 30 Tage nach der Löschung aus Live-Systemen.

Dokumentierte Datenlöschungsverfahren stellen sicher, dass Daten aus allen relevanten Systemen entfernt werden, einschließlich Live-Datenbanken, Caches und Anwendungsspeicher, nicht nur aus dem primären Datenspeicher.

Verfahren zur Bearbeitung von Anfragen von Betroffenen (Zugriff, Berichtigung, Löschung) sind dokumentiert und getestet. KPanel-Exporttools ermöglichen es Kunden, ihre Daten jederzeit während der Servicelaufzeit abzurufen.

Falls Sie Fragen zu unseren Sicherheitspraktiken haben oder eine vermutete Sicherheitslücke melden möchten, kontaktieren Sie uns bitte unter [email protected].

Kapsule Group Limited, Christchurch, New Zealand.