Sicherheit
Zuletzt aktualisiert: 15. Juli 2026
Bei EquipPanel ist Sicherheit das Fundament unserer Plattform. Als in Deutschland ansässiger Anbieter entwickeln wir EquipPanel nach den Anforderungen europäischer Unternehmen — einschließlich der technischen und organisatorischen Maßnahmen der DSGVO (Art. 32). Auf dieser Seite erfahren Sie, wie wir Ihre Daten auf Infrastruktur-, Anwendungs- und Organisationsebene schützen.
Informationen darüber, wie wir Ihre persönlichen Informationen sammeln und verwenden, finden Sie in unserer Datenschutzerklärung. Informationen zu Ihren Rechten nach der DSGVO finden Sie auf unserer DSGVO-Compliance-Seite.
Infrastruktur-Sicherheit
Hosting & Rechenzentren
EquipPanel basiert auf unternehmensweiter Infrastruktur mit Redundanz und hoher Verfügbarkeit:
- Anwendungs-Hosting: Unternehmens-Cloud-Hosting mit HTTPS, automatisierten Deployments und Produktionsüberwachung
- Datenbank & Speicher: PostgreSQL-Datenbank, Authentifizierung und verschlüsselter Objektspeicher mit EU-basierter Infrastruktur
- Datenresidenz: Primäre Datenspeicherung und -verarbeitung im Europäischen Wirtschaftsraum (EWR); Übermittlungen außerhalb des EWR nutzen geeignete Schutzmaßnahmen, soweit anwendbar
- Content Delivery & Schutz: CDN, DDoS-Abwehr und Bot-Schutz bei Authentifizierungsvorgängen
- Redundanz: Automatisierte Backups durch unsere Infrastrukturanbieter und dokumentierte Disaster-Recovery-Verfahren
Netzwerksicherheit
- DDoS-Schutz: Abwehr verteilter Denial-of-Service-Angriffe und Rate-Limiting
- Firewall-Schutz: Firewalls auf Netzwerkebene und Intrusion Detection bei Infrastrukturanbietern
- Sichere Protokolle: Alle Verbindungen verwenden moderne Transport Layer Security (TLS)-Verschlüsselung (nur HTTPS)
- CSRF-Schutz: Same-Origin-Validierung bei ändernden API-Anfragen zur Verhinderung von Cross-Site-Request-Forgery
- IP-Filterung: Rate-Limiting und Überwachung verdächtiger IP-Adressen und Zugriffsmuster
Datenverschlüsselung
Verschlüsselung während der Übertragung
Alle Daten, die zwischen Ihrem Gerät und unseren Servern übertragen werden, sind verschlüsselt:
- TLS/SSL: Verbindungen verwenden moderne Transport Layer Security (TLS)-Verschlüsselung
- Nur HTTPS: Web-Traffic ist verschlüsselt und authentifiziert mit HTTPS
- Zertifikatsverwaltung: Automatische SSL-Zertifikatserneuerung und -verwaltung
Verschlüsselung im Ruhezustand
Alle Daten, die in unseren Datenbanken und Dateispeichern gespeichert sind, sind verschlüsselt:
- Datenbankverschlüsselung: Alle Datenbanken sind im Ruhezustand mit branchenüblicher Verschlüsselung verschlüsselt
- Dateispeicher: Alle hochgeladenen Dateien (Dokumente, Log-Anhänge, Wartungsdateien, Berichte und Bilder) sind im Ruhezustand verschlüsselt in isolierten Firmenordnern gespeichert
- Backup-Verschlüsselung: Automatisierte Backups werden vor der Speicherung verschlüsselt
- Schlüsselverwaltung: Verschlüsselungsschlüssel werden von unseren Infrastrukturanbietern nach branchenüblichen Praktiken verwaltet
Passwortsicherheit
- Hashing: Passwörter werden mit branchenüblichen Algorithmen und Salt vor der Speicherung gehasht
- Passwortanforderungen: Mindestlänge und Komplexitätsanforderungen werden durchgesetzt
- Kein Klartext: Passwörter werden niemals im Klartext gespeichert oder unverschlüsselt übertragen
- Sitzungsverwaltung: Sichere Sitzungstoken mit Ablauf- und Aktualisierungsmechanismen
Zugriffskontrollen
Authentifizierung
- Sichere Authentifizierung: Branchenübliche Authentifizierung mit sicherer tokenbasierter Sitzungsverwaltung
- E-Mail-Verifizierung: E-Mail-Verifizierung erforderlich für neue Kontenerstellung
- Passwort-Reset: Sicherer Passwort-Reset-Ablauf mit zeitlich begrenzten Token
Rollenbasierte Zugriffskontrolle (RBAC)
Mehrstufige Zugriffskontrolle stellt sicher, dass Benutzer nur auf Daten zugreifen, die sie anzeigen dürfen:
- Administrator: Vollzugriff auf alle Firmendaten, Einstellungen, Abrechnung und Teamverwaltung
- Operator: Kann Logeinträge erstellen und bearbeiten, Wartung verwalten und Dokumente hochladen (eingeschränkter Zugriff)
- Betrachter: Nur-Lese-Zugriff auf Betriebsmitteldaten und Logeinträge (keine Änderungen)
- Rollen-Durchsetzung: Server- und Datenbankebene Rollenprüfungen verhindern unbefugten Zugriff
Datenisolation
Multi-Tenant-Architektur ist darauf ausgelegt, Daten zwischen Unternehmen zu isolieren:
- Row-Level Security (RLS): PostgreSQL-Zeilenebenen-Sicherheitsrichtlinien erzwingen Mandantenisolation auf Datenbankebene
- Abfragefilterung: Anwendungs- und Datenbankzugriffskontrollen sind darauf ausgelegt, Datenisolation auf Firmenebene durchzusetzen
- Speicherisolation: Dateispeicher nach Firmen-ID organisiert mit Bucket-Zugriffskontrollen
- API-Schutz: API-Endpunkte prüfen Firmeneigentum vor Datenzugriff oder -änderung
Sicherheitspraktiken
Eingabevalidierung & -bereinigung
- Eingabebereinigung: Eingabevalidierung und -bereinigung werden in Formularen und API-Endpunkten angewendet
- Dateivalidierung: Datei-Uploads werden auf Typ, Größe und Inhalt validiert, um bösartige Dateien zu verhindern
- SQL-Injection-Prävention: Parametrisierte Abfragen verhindern SQL-Injection
- XSS-Schutz: Content Security Policy (CSP) und Eingabebereinigung verhindern Cross-Site-Scripting
- Pfad-Traversal-Prävention: Dateipfade werden validiert, um Verzeichnis-Traversal-Angriffe zu verhindern
Rate-Limiting
- API-Rate-Limiting: Pro-Benutzer- und Pro-Firma-Limits verhindern Missbrauch und DDoS-Angriffe
- Upload-Limits: Datei-Upload-Rate-Limiting zur Verhinderung von Speichermissbrauch
- Authentifizierungs-Limits: Login-Versuch-Rate-Limiting zur Verhinderung von Brute-Force-Angriffen
- Persistente Verfolgung: Rate-Limiting wird persistent verfolgt für genaue Durchsetzung
Anwendungssicherheit
- Sicherheitsheader: HSTS, Content Security Policy (CSP), X-Frame-Options und X-Content-Type-Options für alle Antworten
- CSRF-Schutz: Ändernde Endpunkte validieren die Request-Origin gegen Cross-Site-Angriffe
- Bot-Schutz: CAPTCHA- und Bot-Schutz bei Registrierung und Authentifizierung gegen automatisierten Missbrauch
- Sichere Cookies: Sitzungs-Cookies mit angemessenen Sicherheitsattributen in der Produktion
Sicherheitsüberwachung
- Sicherheitsereignis-Protokollierung: Sicherheitsrelevante Ereignisse werden mit IP-Adressen und User-Agents protokolliert, soweit anwendbar
- Anomalieerkennung: Automatisierte Überwachung ungewöhnlicher Zugriffsmuster und Sicherheitsereignisse
- Audit-Protokollierung: Sicherheitsrelevante Ereignisse und administrative Aktionen werden protokolliert
- Automatisierte Überwachung: Automatisierte Überwachung und Alarmierung für Sicherheitsereignisse und Systemgesundheit
Regelmäßige Sicherheitsaudits
- Code-Reviews: Sicherheitsorientierte Prüfung von Anwendungsänderungen vor dem Deployment
- Abhängigkeits-Scanning: Automatisiertes Scannen von Abhängigkeiten auf bekannte Schwachstellen (npm audit)
- Sicherheitsbewertungen: Strukturierte interne Sicherheitsüberprüfungen und Behebung identifizierter Probleme
- Schwachstellenverwaltung: Schnelles Patchen identifizierter Sicherheitsschwachstellen
Backup & Wiederherstellung
Automatisierte Backups
- Regelmäßige Backups: Automatisierte Backups aller Datenbanken und Dateispeicher
- Verschlüsselte Backups: Alle Backups werden vor der Speicherung verschlüsselt
- Aufbewahrungsrichtlinie: Backups werden gemäß unserer Aufbewahrungsrichtlinie aufbewahrt
Disaster Recovery
- Dokumentierte Verfahren: Definierte Wiederherstellungsverfahren mit verantwortlichen Ansprechpartnern
- Anbieter-Backups: Datenbank- und Speicher-Backups werden von unseren Infrastrukturanbietern durchgeführt
- Business Continuity: Wiederherstellungsziele abgestimmt auf Verfügbarkeitsanforderungen des Dienstes
Compliance & Zertifizierungen
Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
Gemäß Art. 32 DSGVO setzen wir geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich:
- Zugriffskontrolle und Authentifizierung für alle Systeme, die Kundendaten verarbeiten
- Verschlüsselung personenbezogener Daten bei Übertragung und im Ruhezustand
- Wiederherstellbarkeit der Verfügbarkeit und des Zugangs durch Backups
- Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit der Sicherheitsmaßnahmen
- Verfahren zur Erkennung, Reaktion und Meldung von Vorfällen (einschließlich 72-Stunden-Meldepflicht bei Datenpannen, soweit gesetzlich erforderlich)
- Vertraulichkeit und Sicherheitsbewusstsein als Teil unserer internen Praktiken
Auftragsverarbeitungsverträge (AVV) stehen Geschäftskunden zur Verfügung. Kontaktieren Sie uns unter [email protected].
DSGVO-Compliance
EquipPanel ist darauf ausgelegt, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu unterstützen:
- Dienstanbieter-Bedingungen: Wir nutzen Dienstanbieter, deren Bedingungen Datenverarbeitungsregelungen nach Art. 28 DSGVO enthalten, soweit anwendbar
- Betroffenenrechte: Unterstützung für Datenzugriff, -löschung, -übertragbarkeit und andere DSGVO-Rechte
- Privacy by Design: Sicherheits- und Datenschutzüberlegungen in alle Funktionen integriert
- Datenminimierung: Nur Daten sammeln und verarbeiten, die für die Servicebereitstellung erforderlich sind
- Cookie-Zustimmung: Granulares Cookie-Zustimmungssystem mit Benutzerpräferenzverwaltung
Weitere Informationen finden Sie auf unserer DSGVO-Compliance-Seite.
Dienstanbieter-Compliance
- Datenbank- und Speicheranbieter: EU-basierte Datenbank, Authentifizierung und Speicher mit Anbieter-Sicherheitszertifizierungen, soweit anwendbar
- Zahlungsabwickler: Zahlungen werden über einen PCI DSS Level 1 zertifizierten Zahlungsanbieter abgewickelt
- Hosting-Anbieter: Anwendungs-Hosting mit branchenüblichen Sicherheitspraktiken
- CDN- und Sicherheitsanbieter: Content Delivery, DDoS-Schutz und Bot-Management
Reaktion auf Sicherheitsvorfälle
Sicherheitsvorfall-Verfahren
Wir haben Verfahren zur Erkennung, Reaktion auf und Benachrichtigung von Benutzern über Sicherheitsvorfälle etabliert:
- Erkennung: Automatisierte Überwachung und Alarmierung für Sicherheitsereignisse
- Reaktion: Definierte Incident-Response-Verfahren und verantwortliche Ansprechpartner
- Eindämmung: Schnelle Eindämmungsverfahren zur Begrenzung der Auswirkungen von Sicherheitsvorfällen
- Benachrichtigung: Prompt Benachrichtigung betroffener Benutzer bei Datenverletzungen (innerhalb von 72 Stunden wie von der DSGVO gefordert)
- Sanierung: Nach-Vorfall-Überprüfung und Sanierung zur Verhinderung zukünftiger Vorfälle
Meldung von Sicherheitsschwachstellen
Wenn Sie eine Sicherheitsschwachstelle entdecken, melden Sie diese bitte verantwortungsvoll an [email protected]. Wir schätzen verantwortungsvolle Offenlegung und werden mit Ihnen zusammenarbeiten, um Probleme schnell zu beheben.
Mitarbeiter- & Zugriffsverwaltung
Zugriffskontrollen
- Prinzip der geringsten Berechtigung: Mitarbeiter haben nur Zugriff auf Daten, die für ihre Rolle erforderlich sind
- Zugriffslogierung: Alle Mitarbeiterzugriffe auf Kundendaten werden protokolliert und überprüft
- Regelmäßige Zugriffsüberprüfungen: Periodische Überprüfung der Mitarbeiterzugriffsrechte
Mitarbeiterschulung
- Sicherheitspraktiken: Sicherheits- und Datenschutzpraktiken sind Teil unserer internen Abläufe
- Vorfallbewusstsein: Bewusstsein für Verfahren zur Reaktion auf Sicherheitsvorfälle
- Verhaltenskodex: Klare Sicherheitsrichtlinien für alle mit Zugriff auf Systeme und Daten
Drittanbieter-Sicherheit
Wir arbeiten mit vertrauenswürdigen Drittanbieter-Dienstanbietern zusammen, die hohe Sicherheitsstandards einhalten:
Dienstanbieter
- Datenbank- und Speicheranbieter: PostgreSQL-Datenbank, Authentifizierung und verschlüsselter Dateispeicher mit EU-basierter Infrastruktur
- Zahlungsabwickler: Zahlungsabwicklung und Abonnementverwaltung über einen PCI DSS Level 1 zertifizierten Zahlungsanbieter
- Hosting-Anbieter: Anwendungs-Hosting, Deployment und Laufzeit-Infrastruktur
- CDN- und Sicherheitsanbieter: Content Delivery, DDoS-Schutz und Bot-Management
- E-Mail-Anbieter: Transaktions-E-Mails für Kontoverifizierung, Benachrichtigungen und Service-Kommunikation
Datenverarbeitungsvereinbarungen
Wir stützen uns auf die Datenverarbeitungsbedingungen unserer Dienstanbieter, soweit personenbezogene Daten in unserem Auftrag verarbeitet werden. Auftragsverarbeitungsverträge (AVV) mit EquipPanel stehen Geschäftskunden auf Anfrage zur Verfügung.
Sicherheitsbest Practices für Benutzer
Während wir starke Sicherheitsmaßnahmen implementieren, spielen Sie auch eine wichtige Rolle bei der Sicherung Ihres Kontos:
- Starke Passwörter: Verwenden Sie ein eindeutiges, starkes Passwort für Ihr EquipPanel-Konto
- Kontosicherheit: Teilen Sie Ihre Kontodaten nicht mit anderen
- Rollenverwaltung: Überprüfen Sie regelmäßig die Rollen der Teammitglieder und entfernen Sie den Zugriff für ehemalige Mitarbeiter
- Sichere Netzwerke: Vermeiden Sie den Zugriff auf EquipPanel über öffentliche oder ungesicherte Wi-Fi-Netzwerke
- Abmelden: Melden Sie sich ab, wenn Sie gemeinsam genutzte oder öffentliche Geräte verwenden
- E-Mail-Sicherheit: Seien Sie vorsichtig bei Phishing-E-Mails und überprüfen Sie die E-Mail-Authentizität
- Software-Updates: Halten Sie Ihren Browser und Ihr Betriebssystem auf dem neuesten Stand
Sicherheitskontakt
Haben Sie Fragen? Besuchen Sie unsere FAQ oder kontaktieren Sie uns:
Wenn Sie Sicherheitsbedenken haben, Fragen zu unseren Sicherheitspraktiken haben oder eine Sicherheitsschwachstelle melden müssen, kontaktieren Sie uns bitte:
EquipPanel
Stuttgart, Deutschland
Wir nehmen alle Sicherheitsmeldungen ernst und antworten zeitnah. Für Sicherheitsschwachstellen nennen Sie bitte eine detaillierte Beschreibung und Schritte zur Reproduktion.
Obwohl wir uns bemühen, Ihre Informationen zu schützen, ist keine Methode der Übertragung über das Internet oder der elektronischen Speicherung vollständig sicher. Wir können keine absolute Sicherheit garantieren, arbeiten aber kontinuierlich daran, unsere Sicherheitsmaßnahmen zu verbessern.
Sicherheits-Updates
Wir verbessern kontinuierlich unsere Sicherheitsmaßnahmen und Infrastruktur. Diese Sicherheitsseite wird regelmäßig aktualisiert, um unsere aktuellen Sicherheitspraktiken widerzuspiegeln. Wir empfehlen, diese Seite regelmäßig zu überprüfen, um über den Schutz Ihrer Daten informiert zu bleiben.
Zuletzt aktualisiert: 15. Juli 2026