Skip to main content
Brainiall
AnmeldenLoslegen

Vertrauenzentrum

Sicherheitsposition, Kompliance-Roadmap und wie wir Ihre Daten schützen.

Übereinstimmung Roadmap

  • DSGVO (EU und Großbritannien) Übereinstimmung über Datenverarbeitung Addendum, SCC Module 2 für internationale Übertragungen, 72-Stunden-Bekanntmachung.
  • LGPD (Brasilien) - gemäß Standardverpflichtung; Datenresident in Brasilien, wo angefordert.
  • SOC 2 Typ II - die durchgeführten Kontrollen; die formelle Prüfung im Q3 2026. CAIQ v4 Selbstzertifizierung Jetzt verfügbar (CSA Cloud Controls Matrix, 17 Domains).
  • HIPAA - BAA auf Anfrage für Gesundheitsarbeitslasten (Enterprise-Tier) zur Verfügung.
  • ISO 27001 — angepasene Kontrollen; Zertifizierung im Jahr 2027.

Sicherheitsarchitektur

Verteidigung-in- Tiefe über den Antragsprozess:

  • Edge — Caddy reverse proxy auf TLS 1.2+ mit automatischer Let's Encrypt renewal. HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff, strict-origin Referrer-Policy, restrictive Permissions-Policy.
  • Die Auth Gateway — Alle API-Anrufe validiert durch Auth Proxy: V3 gegen Bearer-Schlüssel (SHA-256 in Redis gehackt), pro-tier-Sliding-Window-Rate-Grenzen und pro-Produkt-Gering vor jedem Backend erreicht wird.
  • CSP nicht - per Anfrage kryptografische Nonsen auf jedem Inline-Script; „Unsafe-Inline“ XSS verhindert auch auf dynamischer Benutzerinhalte.
  • Marktplatz Webhooks — Microsoft AD JWT Signatur validiert gegen JWKS (RS256), die Zuschauer und der Aussteller überprüft, mit operation_id Replay-Attack-Verteidigung und Idempotency Guards.
  • Interne Isolation - Jeder Backend-Container stellt Dienstleistungen nur über den von der auth-proxy übermittelten X-Internal-Key aus. 127.0.0.1 (Lopback) so dass sie von externen Netzwerken nicht zugänglich sind, auch wenn eine falsche Konfiguration aufgetreten ist.
  • Container Resilienz Alle Produktionsbehälter haben Restart = nicht gestoppt Ungesunde Behälter werden innerhalb von ~90 Sekunden automatisch neu gestartet.

Datenverarbeitung

  • API Payloads - in-Memory verarbeitet und sofort auf Reaktion abgeschaltet. Wir registrieren, speichern oder trainieren nicht auf Kundenzahlungen. Logs enthalten nur Metadaten (Timestamp, Endpunkt, Status, Latenz, Byte-Zahlung).
  • Feuer Schlüssel - als SHA-256-Hashes gespeichert; der klingende Schlüssel existiert nur auf Ihrer Maschine nach der Ausgabe.
  • PII Redaktion - Fehlerlogs scrub E-Mail, Telefon, IP und andere gemeinsame PII Muster, bevor sie an unseren Fehler-Tracker gesendet werden (Glitchtip, selbsthosted).
  • Verschlüsselung - TLS in Transit (nicht Plaintext nirgendwo); Volumen-Level-Cryption im Ruhe am Host-Schicht.

Subprozessoren

Aktualisiert 2026-04-28. Wir geben 30 Tage vor der Zusatzung neuer Subprozessoren.

  • Latitude.sh (Brasil/USA) — Barmetallhosting. SOC 2 Typ II.
  • Microsoft Corporation (Azure Marketplace Rechnung) DPA / SCC.
  • Stripe (US) — direkte Zahlungsverarbeitung. PCI-DSS Level 1.
  • Plausible (Self-Hosted) ist eine - Privatsphäre-freundliche Analysen: Keine persönlichen Daten werden von unserer Infrastruktur verschickt.

Verletzte Reaktion

Wenn wir eine Verletzung personenbezogener Daten wie definiert durch Art. 4(12 DSGVO feststellen:

  1. Innerhalb einer Stunde enthalten und bewerten.
  2. Benachrichtigen Sie die betroffenen Kontrolleure innerhalb von 72 Stunden per E-Mail auf dem Datei.
  3. Geben Sie Natur, Kategorien, angemessene Zahlen, wahrscheinliche Konsequenzen und Verminderungsschritte.
  4. Posten Sie einen öffentlichen Ereignisbericht auf der Statusseite.

Entdeckung von Vulnerabilität

Wir begrüßen verantwortungsvolle Offenlegung. e-Mail security@brainiall.com Wir erkennen innerhalb von 1 Geschäftstag, zielen ein 90-tägiges koordiniertes Entdeckungsfenster und Kreditreporter in unserem öffentlichen CHANGELOG (mit Erlaubnis) an.

Aus dem Scope: Ratenbegrenzung, soziale Engineering, körperliche Angriffe, Ablehnung des Dienstes durch Last.
und Bounty: Nicht formalisiert noch – wir bieten Anerkennung + Brainiall-Kredite für gültige Berichte an.

Abonnieren Sie sich für Sicherheitsupdates

Wir informieren Kunden und die Öffentlichkeit über die Statusseite für Sicherheitsberatungen und Post-Mortem. Für Unternehmen-Kunden senden wir auch unterzeichneten RFC-5322 E-Mail-Nachrichten an Ihren angegebenen Sicherheitskontakt.

Verkaufsbereit Papier

Für Beschaffungsteams, die eine First-Pass-Sender-Risiko-Evaluation durchführen, decken die Unterlagen unten ~90% der gemeinsamen Sicherheitsanfragen (SIG, CAIQ-basierte, angepasste RFPs) ab.