Sicherheit bei Conviro

Unternehmensgerechte Sicherheit, von Grund auf aufgebaut. Ihre Kundendaten und Gespräche sind auf jeder Ebene geschützt.

Verschlüsselung

Bei der Übertragung: Alle Daten werden mit TLS 1.2+ und 256-Bit-Verschlüsselung übertragen. Alle API-Endpunkte, Webhooks und Widget-Verbindungen sind ausschließlich HTTPS. HSTS wird mit einer max-age von 1 Jahr einschließlich Subdomains durchgesetzt.

Im Ruhezustand: Kundendaten werden auf Speicherebene mit AES-256 verschlüsselt. Datenbank-Volumes verwenden vollständige Festplattenverschlüsselung. Backup-Dateien werden mit separaten Schlüsseln verschlüsselt.

Secrets-Verwaltung: API-Schlüssel, Tokens und Anmeldedaten werden im Ruhezustand mit separaten Schlüsselhierarchien verschlüsselt und werden niemals in Logs aufgezeichnet oder in API-Antworten offengelegt.

Infrastruktur

Rechenzentrum: Die gesamte Produktionsinfrastruktur wird in ISO 27001-zertifizierten Rechenzentren in der Europäischen Union (Deutschland) gehostet. Server sind nicht über das öffentliche Internet zugänglich.

Netzwerkisolierung: Datenbank-, Cache- und Nachrichtenwarteschlangen-Dienste laufen in privaten Netzwerken ohne öffentliche IP-Adressen. Nur die API und die Webanwendung verfügen über öffentliche Endpunkte, hinter einem Reverse-Proxy mit Rate-Limiting und DDoS-Schutz.

Überwachung: 24/7-Infrastrukturüberwachung mit automatischer Alarmierung. Verfügbarkeitsziel: 99,9 %.

Zugriffskontrolle

Authentifizierung: E-Mail/Passwort mit bcrypt-Hashing (Salt-Runden: 12) oder Google OAuth 2.0. JWT-basierte Zugriffstoken mit 15-minütiger Gültigkeit und kryptografisch zufälligen Refresh-Tokens.

Autorisierung: Rollenbasierte Zugriffskontrolle (RBAC) mit den Rollen Eigentümer, Administrator und Agent. API-Schlüssel-Authentifizierung für programmatischen Zugriff mit schlüsselspezifischer Berechtigungsbeschränkung.

Rate-Limiting: Pro-IP- und Pro-Konto-Ratenlimits auf allen Endpunkten. Authentifizierungsendpunkte haben strengere Limits, um Brute-Force-Angriffe zu verhindern.

Compliance

GDPR: Vollständige Konformität mit der EU-Datenschutz-Grundverordnung. Datenverarbeitungsverträge (DPA) sind für Enterprise-Kunden verfügbar. Datenschutz-by-Design-Prinzipien werden auf der gesamten Plattform angewendet.

Datenspeicherort: Alle Kundendaten werden innerhalb der EU gespeichert und verarbeitet. KI-Modellanbieter verarbeiten Gesprächsdaten unter DPAs mit angemessenen Schutzmaßnahmen für etwaige US-Übertragungen (EU-US DPF, Standardvertragsklauseln).

Cookie-Konformität: GDPR-konformes Cookie-Einwilligungsbanner mit detaillierter Kategoriekontrolle (Notwendig, Analyse, Marketing). Einwilligungsprotokolle werden für Prüfzwecke gespeichert.

Estnisches Datenschutzgesetz: Konform mit den lokalen estnischen Vorschriften. Aufsichtsbehörde: Estnische Datenschutzbehörde (Andmekaitse Inspektsioon).

Datenspeicherung und -löschung

Gesprächsdaten: Aufbewahrung basierend auf Ihren Workspace-Einstellungen (Standard: 90 Tage). Pro Workspace konfigurierbar.

Kontolöschung: Wenn Sie Ihr Konto oder einen Chatbot löschen, werden alle zugehörigen Daten sofort unwiderruflich aus den aktiven Datenbanken gelöscht. Verschlüsselte Backups, die die gelöschten Daten enthalten, werden innerhalb von 30 Tagen dauerhaft entfernt.

Recht auf Löschung: GDPR-Artikel-17-Anfragen werden innerhalb von 30 Tagen bearbeitet. Kontakt [email protected].

KI-Modell-Sicherheit

Datenisolierung: Ihre Wissensdatenbank und Gesprächsdaten werden niemals zum Training von KI-Modellen verwendet. Die Daten jedes Workspaces sind strikt isoliert.

Anbietervereinbarungen: Wir unterhalten Datenverarbeitungsverträge mit allen KI-Anbietern (Anthropic, OpenAI, Google). Zero-Retention-API-Vereinbarungen stellen sicher, dass Anbieter Ihre Daten nicht speichern.

Inhaltsfilterung: KI-Ausgaben werden auf Sicherheit überwacht. Prompt-Injection-Schutz und Inhaltssicherheitsfilter werden auf alle KI-Interaktionen angewendet.

Meldung von Sicherheitslücken

Wenn Sie der Meinung sind, eine Sicherheitslücke in Conviro gefunden zu haben, melden Sie diese bitte verantwortungsvoll an unser Sicherheitsteam. Bitte veröffentlichen Sie die Sicherheitslücke nicht öffentlich, bevor wir die Möglichkeit hatten, sie zu beheben.

Kontakt: [email protected]

Wir verpflichten uns zu:

  • Bestätigung Ihrer Meldung innerhalb von 24 Stunden.
  • Bereitstellung eines Behebungszeitplans innerhalb von 72 Stunden.
  • Sie über unseren Fortschritt auf dem Laufenden zu halten.
  • Keine rechtlichen Schritte gegen gutgläubige Sicherheitsforscher einzuleiten.