LoanIntelligence.aiLoanIntelligence.ai
Zurück zur Rechtsübersicht

Sicherheit

Wie wir Ihre Daten schützen

Zuletzt aktualisiert: November 14, 2025

Sicherheit im Überblick

  1. 1Zero-Dokumentaufbewahrung minimiert die Angriffsfläche
  2. 2Kundenspezifische Verschlüsselung - Ihre einzigartigen Schlüssel schützen Ihre Daten
  3. 3Automatischer Schlüsselwechsel nach jedem Verarbeitungsvorgang
  4. 4Fortschrittliche Verarbeitungstechnologie - proprietäre Algorithmen, Signalsysteme und SOC 2 Typ I und Typ II zertifizierte Drittanbieter‑AI‑Services
  5. 5Fokus auf Datenqualität - Gewährleistung von Datenpräzision und Qualität durch mehrschichtige Validierung
  6. 6Alle Daten werden während des gesamten Prozesses verschlüsselt
  7. 7Zero‑Knowledge‑Sicherheit - selbst bei kompromittierten Servern bleiben Ihre Daten verschlüsselt
  8. 8Sie kontrollieren Ihre Daten - gespeichert in Ihrem Google Drive
  9. 9Nur zur Informationszwecken – Analyse der Datenqualität, keine Finanzberatung
  10. 10GDPR, CCPA, FCRA, ECOA konform

Sicherheitsorientierte Architektur

Entworfen für Privatsphäre und Sicherheit

1

Keine Dokumentenaufbewahrung

Ihre Dokumente werden NIEMALS auf unseren Servern gespeichert. Dokumente werden in Echtzeit während jeder Verarbeitungsrunde verarbeitet und dann sofort gelöscht. Dies eliminiert das größte Angriffsvektor: gespeicherte Dokumentendaten. Verarbeitungsergebnisse werden mit Ihren kundenspezifischen Schlüsseln verschlüsselt und in Ihrem Google Drive AppData gespeichert.

2

Zustandslose Verarbeitung

Jede API Anfrage ist unabhängig. Keine Sitzungsdaten persistieren über die aktive Anfrage hinaus. Minimale Angriffsfläche.

3

Anfrageisolierung

Professional- und Enterprise-Stufen nutzen dedizierte Instanzen mit Netzisolierung, um Datenleckage zwischen Kunden zu verhindern.

Daten im Transit

1

HTTPS/TLS-Verschlüsselung

Alle API Anfragen und Antworten werden mit TLS 1.3 verschlüsselt. Kein unverschlüsselter HTTP-Verkehr wird akzeptiert.

2

SSL-Zertifikate

Gültige SSL-Zertifikate von vertrauenswürdigen Zertifizierungsstellen. Automatische Verlängerung und Überwachung.

3

API Sicherheit

API Schlüssel werden über sichere Header übertragen. Ratenbegrenzung verhindert Missbrauch und DoS-Angriffe.

Authentifizierung & Autorisierung

1

OAuth 2.0

Google OAuth für die Benutzerauthentifizierung. Wir speichern niemals Passwörter. OAuth Tokens werden mit AES-256 verschlüsselt.

2

Sichere Sitzungen

Session-Cookies mit httpOnly- und Secure-Flags. 7-Tage Ablauf mit automatischer Erneuerung. CSRF-Schutz aktiviert.

3

API Schlüsselverwaltung

API Schlüssel werden vor der Speicherung gehasht. Schlüssel jederzeit im Dashboard rotieren. Schlüssel sind auf spezifische Berechtigungen beschränkt.

4

Multi-Faktor-Authentifizierung

MFA verfügbar für Enterprise-Tier-Konten. Google-Konto 2FA schützt alle OAuth Logins.

Daten ruhend

Kundenspezifische Verschlüsselungsarchitektur

1

Dokumente

NICHT auf unseren Servern gespeichert. Sofort nach Verarbeitung gelöscht. Keine Dokumentenaufbewahrung.

2

Verarbeiteten Ergebnisse

Verschlüsselt mit Ihren kundenspezifischen Schlüsseln und in Ihrem Google Drive AppData gespeichert. Wir können auf Ihre verschlüsselten Daten nicht zugreifen, ohne Ihre OAuth Berechtigungen.

3

Verschlüsselungsschlüssel

Kundenspezifische Schlüssel in Ihrem Google Drive AppData gespeichert. Automatisch nach jedem Verarbeitungslauf rotiert. Alte Schlüssel verworfen.

4

Kontodaten

E-Mail, Name, Stripe-Kundennummer in verschlüsselter Datenbank gespeichert. AES-256 Verschlüsselung im Ruhezustand.

5

OAuth Tokens

Google OAuth Refresh-Tokens verschlüsselt mit AES-256 vor der Speicherung. Zugriffstoken im Speicher nur während der Drive-Synchronisation.

6

Protokolle

Fehlerprotokolle und Nutzungsmetriken enthalten keinen Dokumenteninhalt. Behalten für maximal 30 Tage. Verschlüsselt im Ruhezustand.

Drittanbieter-Sicherheit

1

Stripe (Zahlungsabwicklung)

PCI DSS Level 1 zertifiziert. Wir sehen nie Kreditkartennummern. Nur Stripe-Kundennummern gespeichert.

2

Google (OAuth & Drive)

OAuth 2.0 mit minimalen Berechtigungen (drive.file, spreadsheets, drive.appdata). Benutzer können jederzeit Zugriff über die Google-Kontoeinstellungen widerrufen. Ihre verschlüsselten Daten und Schlüssel in Ihrem Google Drive AppData gespeichert.

3

Drittanbieter KI-Dienste

Wir verwenden proprietäre Algorithmen und Signalsysteme, um Daten genau und qualitativ hochwertig zu gewährleisten. Drittanbieter KI-Dienste sind SOC 2 Typ I und Typ II zertifiziert, vertraglich untersagt, Ihre Daten zum Training zu verwenden, und verarbeiten Daten ephemer mit Verschlüsselung in Transit.

Zugriffskontrollen

1

Prinzip des geringsten Privilegs

Mitarbeiter haben nur den minimal erforderlichen Zugriff für ihre Rolle. Kein Zugriff von Mitarbeitern auf Kundendokumente (sie werden nicht gespeichert).

2

Prüfprotokollierung

Alle administrativen Aktionen werden protokolliert. Zugriffprotokolle werden regelmäßig auf Anomalien überprüft.

3

Aufgabenteilung

Entwicklungs-, Staging- und Produktionsumgebungen sind isoliert. Produktionszugriff ist auf das Operationsteam beschränkt.

Überwachung & Vorfallreaktion

1

Bedrohungserkennung

Automatisierte Überwachung für verdächtige Aktivitäten, fehlgeschlagene Anmeldeversuche und API Missbrauch. Echtzeit-Benachrichtigungen für Sicherheitsereignisse.

2

Vorfallreaktionsplan

Dokumentierte Verfahren für Sicherheitsvorfälle. Antwortteam im Bereitschaftsplan 24/7 für Enterprise-Tier.

3

Sicherheitsverletzungsbenachrichtigung

Wenn eine Datenverletzung auftritt, werden betroffene Benutzer innerhalb von 72 Stunden benachrichtigt. Einhaltung der DSGVO und der staatlichen Gesetze zur Benachrichtigung bei Sicherheitsverletzungen.

Compliance & Zertifizierungen

1

DSGVO-Konformität

Datenverarbeitungsvereinbarungen verfügbar. Zero-Retention-Architektur vereinfacht die Compliance. Recht auf Löschung automatisch (Konto löschen = Daten löschen).

2

CCPA-Konformität

Wir verkaufen keine personenbezogenen Daten. Einwohner Kaliforniens haben das Recht auf Zugriff und Löschung von Daten.

3

SOC 2 Typ II (Roadmap)

Aktuelle formelle Prüfung für Enterprise-Tier läuft. Aktuelle Praktiken entsprechen den Prinzipien Sicherheit, Verfügbarkeit, Vertraulichkeit.

Schwachstellenmanagement

1

Regelmäßige Updates

Abhängigkeiten und Infrastruktur werden regelmäßig gepatcht. Sicherheitsupdates werden innerhalb von 48 Stunden nach Bekanntgabe angewendet.

2

Sicherheitstests

Regelmäßige Penetrationstests und Schwachstellen-Scans. Dritte Audits jährlich.

3

Verantwortungsbewusste Offenlegung

Berichten Sie Sicherheitslücken an [email protected]. Wir bestätigen Berichte innerhalb von 24 Stunden und geben alle 72 Stunden Updates.

Ihre Sicherheitsverantwortlichkeiten

Bewahren Sie API-Schlüssel vertraulich. Rotieren Sie sofort, wenn kompromittiert.
Verwenden Sie starke, eindeutige Passwörter für Ihr Google-Konto (OAuth)
Sichern Sie Geräte, die auf das Dashboard zugreifen. Melden Sie sich von gemeinsam genutzten Computern ab..
Überprüfen Sie regelmäßig die Google OAuth-Berechtigungen. Widerrufen Sie den Zugriff, wenn er nicht mehr benötigt wird.
Melden Sie verdächtige Aktivitäten sofort an [email protected].

Hilfe benötigt?

Brauchen Sie Hilfe bei der Sicherheit?

Kontaktieren Sie unser Rechts- & Sicherheitsteam unter [email protected] für Vorfallmeldungen oder Compliance-Fragen.

[email protected]

Wir antworten innerhalb eines Arbeitstages.