Sicherheit
Evibe ist um dein Vertrauen herum gebaut. So halten wir deine Daten sicher — im Ruhezustand, während der Übertragung und in unserer Infrastruktur.
Unsere Datenbank enthält nur anonymisierte Portfolio-Daten — keinen Namen, keine menschenlesbare Identität. Deine E-Mail-Adresse wird nur zum Anmelden verwendet und liegt in Firebase Authentication, nicht auf unseren Servern.
Der gesamte Datenverkehr zwischen deinen Geräten und unseren Servern ist während der Übertragung verschlüsselt (TLS 1.3). Im Ruhezustand liegen deine Daten auf einem vollständig verschlüsselten Volume (LUKS2, AES-256), und externe Backups werden verschlüsselt, bevor sie den Server überhaupt verlassen.
Ein Tipp in der App und alles ist weg — Portfolios, Transaktionen, Konto. DSGVO-konform von Haus aus, einschließlich Export und Recht auf Vergessenwerden.
Operative Best Practices
Wir folgen den Sicherheits-Best-Practices, die von einem modernen Cloud-nativen Unternehmen erwartet werden, darunter: Zugriff auf Produktionssysteme nach dem Least-Privilege-Prinzip, verpflichtende Zwei-Faktor-Authentifizierung für jedes administrative Konto, verschlüsselte Geheimnisse und Zugangsdaten, verwaltet über einen gehärteten Secret-Store, automatisiertes Scannen von Abhängigkeiten und Schwachstellen mit zeitnahem Patchen sowie eine klare Trennung zwischen Entwicklungs- und Produktionsumgebung.
Verschlüsselung im Detail
Während der Übertragung: Ende-zu-Ende-TLS (1.2 oder höher) zwischen deinen Geräten und unserer Infrastruktur.
Im Ruhezustand: Die Datenbank, der Cache und der Swap liegen auf einem verschlüsselten Volume (LUKS2 / AES-256-XTS), das beim Booten von einem Hardware-Sicherheitsmodul (TPM 2.0) auf dem Server entsperrt wird — der Verschlüsselungsschlüssel wird niemals im Klartext auf die Festplatte geschrieben. Externe Backups werden vor dem Upload auf dem Server verschlüsselt (AES-256), und die Schlüssel, die diese Backups schützen, werden selbst auf dem verschlüsselten Volume aufbewahrt.
Da wir nur undurchsichtige Kennungen und keine Namen speichern, gibt eine verlorene oder ausgemusterte Festplatte keine nutzbaren personenbezogenen oder finanziellen Daten preis.
Authentifizierung
Die Authentifizierung wird an Firebase Authentication (Google Cloud) delegiert, einen branchenüblichen Anbieter, der von Hunderttausenden Apps genutzt wird. Wir sehen oder speichern dein Passwort niemals — Firebase übernimmt das auf seiner gehärteten Infrastruktur.
Unterauftragsverarbeiter und Datenstandort
Unsere Unterauftragsverarbeiter sind: Firebase (Google Ireland Ltd.) für die Authentifizierung und OVH Hosting Inc. (Kanada) für das Hosting der Portfolio-Daten. Portfolio-Daten werden anonymisiert in Kanada gespeichert (OVH-Rechenzentrum Beauharnois); die Übermittlung von unserer EU-Einheit (Wonderlink SL, Spanien) stützt sich auf den Angemessenheitsbeschluss der Europäischen Kommission für Kanada (für Organisationen, die dem PIPEDA unterliegen). Beide Unterauftragsverarbeiter sind durch DSGVO-konforme Auftragsverarbeitungsvereinbarungen gebunden.
Eine Schwachstelle melden
Wenn du glaubst, ein Sicherheitsproblem gefunden zu haben, schreibe uns bitte an die Kontaktadresse am Ende dieser Seite. Wir bemühen uns, Meldungen innerhalb von 48 Stunden zu bestätigen und Fehlerbehebungen für bestätigte Probleme so schnell wie möglich bereitzustellen. Wir sind Forschern dankbar, die helfen, Evibe sicher zu halten, und werden dich (mit deiner Erlaubnis) öffentlich nennen, sobald eine Behebung ausgeliefert wurde.