Apiframe Logo Apiframe
Home / Sicherheit

Sicherheit

Last updated: 27. November 2025

Diese Übersetzung dient der Bequemlichkeit. Im Falle von Abweichungen zwischen den Übersetzungen ist die englische Version maßgeblich und rechtlich bindend.

Sicherheit ist grundlegend für alles, was wir bei Apiframe bauen. Wir implementieren umfassende Sicherheitsmaßnahmen zum Schutz Ihrer Daten und zur Gewährleistung der Integrität unserer Plattform.

Unser Engagement: Enterprise-Grade-Sicherheit, End-to-End-Verschlüsselung, regelmäßige Audits und transparente Praktiken. Die Sicherheit Ihrer Daten ist unsere Priorität.

1. Infrastruktursicherheit

Cloud-Infrastruktur

Unsere Plattform basiert auf branchenführender Cloud-Infrastruktur mit:

  • SOC 2 Type II zertifizierten Rechenzentren
  • Geografischer Redundanz über mehrere Regionen hinweg
  • 99,9% Uptime-SLA
  • Automatisiertem Failover und Disaster Recovery
  • DDoS-Schutz und -Abwehr

Netzwerksicherheit

Wir schützen unser Netzwerk durch:

  • Web Application Firewall (WAF)
  • Intrusion Detection und Prevention Systeme
  • Netzwerk-Segmentierung und -Isolierung
  • Regelmäßige Schwachstellen-Scans
  • 24/7 Monitoring und Alerting

2. Datenverschlüsselung

Bei Übertragung

Alle Daten, die an und von unseren Diensten übertragen werden, sind mit TLS 1.3 mit starken Cipher-Suiten verschlüsselt. Wir erzwingen HTTPS für alle Verbindungen und implementieren HSTS (HTTP Strict Transport Security).

Im Ruhezustand

Auf unseren Systemen gespeicherte Daten sind mit AES-256-Verschlüsselung verschlüsselt. Verschlüsselungs- Schlüssel werden über einen sicheren Key Management Service mit automatischer Rotation verwaltet.

Datentyp Verschlüsselungsmethode Schlüsselverwaltung
API-Traffic TLS 1.3 Automatische Rotation
Datenbank AES-256 KMS-verwaltet
Backups AES-256 Separate Schlüssel
API-Schlüssel Argon2id-Hash Pro-Nutzer-Salt

3. Authentifizierung & Zugriffskontrolle

Nutzer-Authentifizierung

  • Sichere Passwort-Anforderungen mit bcrypt-Hashing
  • Zwei-Faktor-Authentifizierung (2FA) Support
  • Session-Management mit sicheren Tokens
  • Automatische Session-Ablauf
  • Login-Versuch Rate Limiting

API-Authentifizierung

  • Einzigartige API-Schlüssel pro Nutzer/Projekt
  • Key Scoping und Permissions
  • Request-Signing für sensible Operationen
  • IP-Allowlisting (optional)
  • Key-Rotation ohne Downtime

Interner Zugriff

Der Zugriff von Mitarbeitern auf Produktionssysteme folgt dem Prinzip der geringsten Privilegien. Jeder Zugriff erfordert Multi-Faktor-Authentifizierung und wird zu Audit-Zwecken protokolliert.

4. Anwendungssicherheit

Sichere Entwicklung

Unsere Entwicklungspraktiken umfassen:

  • Sicherheitsfokussierte Code-Reviews
  • Automatisiertes Security-Scanning (SAST/DAST)
  • Dependency-Vulnerability-Monitoring
  • Sichere CI/CD-Pipelines
  • Regelmäßige Security-Schulungen für Entwickler

OWASP Top 10 Schutz

Wir schützen aktiv vor gängigen Web-Schwachstellen, einschließlich Injection-Attacken, fehlerhafter Authentifizierung, XSS, CSRF und anderen OWASP Top 10 Risiken.

5. Compliance

Wir wahren die Compliance mit Industriestandards und Vorschriften:

Standard Status Beschreibung
SOC 2 Type II Compliant Sicherheit, Verfügbarkeit, Verarbeitungsintegrität
GDPR Compliant EU-Datenschutzverordnung
CCPA Compliant Kalifornischer Verbraucherdatenschutz
ISO 27001 In Bearbeitung Informationssicherheitsmanagement

6. Sicherheitstests

Penetrationstests

Wir führen jährliche Penetrationstests durch, die von unabhängigen Drittanbieter-Sicherheits- Firmen durchgeführt werden. Kritische Ergebnisse werden sofort behoben, mit vollständiger Remediation, die nachverfolgt und verifiziert wird.

Bug Bounty Programm

Wir unterhalten ein Responsible Disclosure Programm für Sicherheitsforscher. Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte an [email protected].

Responsible Disclosure: Wir schätzen Sicherheitsforscher, die uns helfen, die Plattformsicherheit zu wahren. Gültige Berichte können für Anerkennung und Belohnungen in Frage kommen.

7. Incident Response

Unser Incident Response Programm umfasst:

  • 24/7 Security-Monitoring und Alerting
  • Dokumentierte Incident-Response-Verfahren
  • Dediziertes Incident-Response-Team
  • Kunden-Benachrichtigung innerhalb von 72 Stunden bei bestätigten Sicherheitsverletzungen
  • Post-Incident-Analyse und Verbesserung

8. Datenschutz & Aufbewahrung

Datenminimierung

Wir erfassen und bewahren nur Daten auf, die zur Bereitstellung unserer Dienste erforderlich sind. Generierte Inhalte werden standardmäßig nicht gespeichert—Outputs werden direkt an Sie zurückgegeben und nicht auf unseren Systemen persistiert.

Datenaufbewahrung

  • API-Logs: 90 Tage
  • Kontodaten: Dauer des Kontos + 30 Tage
  • Generierte Inhalte: Nicht gespeichert (außer Opt-in)
  • Abrechnungsunterlagen: Wie gesetzlich vorgeschrieben

Datenlöschung

Sie können jederzeit die Löschung Ihrer personenbezogenen Daten beantragen. Bei Kontolöschung entfernen wir alle zugehörigen Daten innerhalb von 30 Tagen, außer wenn Aufbewahrung aus rechtlichen oder Compliance-Gründen erforderlich ist.

9. Drittanbieter-Sicherheit

Wir prüfen sorgfältig alle Drittanbieter-Dienste und KI-Modell-Anbieter. Unsere Vendor- Security-Assessment umfasst:

  • Sicherheitsfragebögen und Dokumentationsprüfung
  • Verifizierung von Compliance-Zertifizierungen
  • Datenverarbeitungsvereinbarungen
  • Regelmäßige Neubewertung

10. Business Continuity

Unsere Business-Continuity-Maßnahmen gewährleisten Service-Zuverlässigkeit:

  • Automatisierte Backups mit geografischer Redundanz
  • Disaster-Recovery-Tests
  • Multi-Region-Deployment-Fähigkeiten
  • Definierte RTO- und RPO-Ziele

Sicherheitskontakt

Für sicherheitsbezogene Anfragen oder zur Meldung von Schwachstellen:

  • E-Mail: [email protected]
  • Antwortzeit: Innerhalb von 24 Stunden für Sicherheitsberichte

Für allgemeinen Support besuchen Sie bitte unsere Kontaktseite oder kontaktieren Sie [email protected].