Security & Compliance Übersicht

Stand: Juni 2026

Zusammenfassung für InfoSec- und Einkaufsreviews. Authentifizierte Kunden laden das maschinenlesbare Dossier im Terminal (Enterprise → Security).

Authentifizierung

Magic Link, WebAuthn Passkeys, Geräte-PIN, optionales Microsoft OIDC SSO und SAML 2.0 SP. Sessions nutzen HMAC-signierte httpOnly-Cookies.

Autorisierung

Rollenbasierter Zugriff: Owner, Admin, Member, Viewer. Portfolio- und Alert-Schreibzugriff rollenbasiert. Pro-Mandant API-Keys (gehasht at rest).

Datenklassifikation

Kundenvertraulich: Portfolio-Dateien und Alert-Configs (Supabase Storage pro Account). PII: E-Mail, Firma (KV/Stripe). Audit: Compliance-Validierungslogs.

Zertifizierungs-Roadmap

SOC 2 TSC Mapping, ISO 27001 Annex A Mapping, Incident-Response-Plan und Vulnerability-Disclosure-Policy in docs/security/. Penetrationstest vor General Availability geplant.

Predictive-Methodik

Wie ZRG Vorlaufzeit, Konfidenz-Scores und Alert-Schwellen berechnet.

Methodik Predictive Alerts

SOC 2 Type II und ISO 27001: Readiness-Mappings verfügbar — formale Attestierung mit Enterprise-Piloten geplant. Ersetzt nicht Ihre eigene Due Diligence.