Sicherheit

Sicherheit bei Kuvaka SHIP™

Code, Daten und Zugangsdaten unserer Kunden behandeln wir mit derselben Sorgfalt, die wir auf unsere eigenen Produktionssysteme anwenden. So schützen wir, was Sie uns anvertrauen.

🛡️

Infrastruktur

  • Gesamter Datenverkehr über HTTPS/TLS 1.3
  • Kein Client-Code in gemeinsamen Umgebungen gespeichert
  • Secrets via Umgebungsvariablen verwaltet — niemals in die Versionskontrolle eingecheckt
  • Produktionszugang nur per SSH-Schlüssel — keine geteilten Passwörter
  • Prinzip der minimalen Rechte für alle Infrastrukturzugriffe
🔒

Code & Daten

  • Kunden-Repositories in privaten, isolierten Umgebungen
  • Keine Kundendaten zwischen Projekten geteilt
  • Ruhende Daten mit AES-256 auf allen Cloud-Speichern verschlüsselt
  • Datenbank-Backups verschlüsselt und 30 Tage aufbewahrt
  • Abhängigkeiten vor Verwendung auf bekannte CVEs gescannt
🔑

Zugriffskontrollen

  • Multi-Faktor-Authentifizierung auf allen Engineering-Konten
  • Zugang unmittelbar nach Projektabschluss gesperrt
  • Audit-Logs 12 Monate aufbewahrt
  • Drittanbieter-Integrationen vor Einsatz auf Sicherheitspostur geprüft
  • Keine Drittauftragnehmer erhalten Zugang zu Kundensystemen ohne schriftliche Genehmigung
⚙️

Entwicklungspraktiken

  • Code-Review vor allen Produktions-Deployments erforderlich
  • OWASP Top 10 in allen web-orientierten Liefergegenständen adressiert
  • Automatisiertes Schwachstellen-Scanning in CI-Pipelines
  • Eingabevalidierung an allen Systemgrenzen
  • SQL-Injection-, XSS- und CSRF-Mitigationen als Standard
🚨

Incident Response

  • Kunden innerhalb von 24 Stunden bei vermuteten Verstößen benachrichtigt
  • Incident-Postmortems schriftlich für alle Sicherheitsereignisse bereitgestellt
  • DSGVO-Artikel-33-Verletzungsmeldungen innerhalb des 72-Stunden-Fensters
  • Notfallreaktion für produktionskritische Sicherheitsvorfälle verfügbar
Verantwortungsvolle Offenlegung

Eine Schwachstelle gefunden?

Wir nehmen Sicherheitsmeldungen ernst. Wenn Sie eine Schwachstelle in unserer Website oder kundenorientierten Systemen entdecken, melden Sie diese bitte verantwortungsvoll.

Melden an

connect@kuvaka.io

Unser Versprechen

  • Bestätigung Ihrer Meldung innerhalb von 2 Werktagen
  • Transparente Kommunikation über den Behebungsfortschritt
  • Kein rechtliches Vorgehen bei gutgläubiger Offenlegung
  • Anerkennung (mit Ihrer Erlaubnis) nach der Behebung

Im Umfang

getkuvaka.com und alle Subdomains. Authentifizierung, Datenexposition, XSS, CSRF, Injection-Schwachstellen.

Außerhalb des Umfangs

Denial-of-Service-Angriffe, Social Engineering, physische Angriffe, automatisiertes Scanning ohne vorherigen Kontakt.

Sicherheit ist Teil jeder Lieferung

Jedes Kuvaka SHIP™-Projekt beinhaltet sicherheitsbewusstes Engineering als Standard — kein Add-on. Fragen zu unseren Praktiken?

Kontakt: connect@kuvaka.io