Sicherheit · DSGVO · ISO 27001

Deine Zahlen.
Europäisch gesichert.

Alle Daten bleiben in AWS Frankfurt. Keine US-Sub-Processors ohne Transparenz. ISO 27001 in Vorbereitung (H2/2026). Steuerberater und Finanz-Teams sollen uns ohne Bauchweh einsetzen dürfen.

EU-Hosting. Kein Umweg.

Unsere Primär-Datenbank liegt in Frankfurt (Supabase EU), die Anwendung wird über Vercels EU-Region ausgeliefert. Cross-Border-Daten fließen nur, wenn ein Subprocessor technisch aus den USA reagiert — mit Standard-Vertragsklauseln abgesichert.

Immer verschlüsselt.

Jede Verbindung ist TLS 1.3. Daten ruhen in verschlüsselten Postgres-Volumes (AES-256, Supabase-Standard). Keys werden nicht in Klartext geloggt und nicht im Frontend-Bundle ausgeliefert.

Least-Privilege by Default.

Row-Level-Security in Postgres trennt Mandanten strikt. Applikations-Code kann Kundendaten nur über die User-Session sehen, nicht global. Interne Zugriffe sind auditierbar und auf die wenigen nötigen Engineers beschränkt.

Backup, das funktioniert.

Tägliche automatische Postgres-Backups (Supabase Point-in-Time Recovery). RPO ≤ 24h, RTO ≤ 4h. Backups sind geografisch redundant innerhalb der EU gespeichert.

Incident-Response geregelt.

Bei einem sicherheitsrelevanten Vorfall informieren wir betroffene Kunden innerhalb von 72 Stunden — das ist auch die DSGVO-Meldefrist an Aufsichtsbehörden. Post-Mortems veröffentlichen wir bei systemweiten Vorfällen.

Secrets bleiben Secrets.

OAuth-Tokens (Shopify / Ads / DATEV) werden serverseitig gespeichert und nie an den Browser ausgeliefert. API-Keys für unsere eigene API sind rotierbar und scope-gebunden.

Technischer Stack

Konkret, nicht
allgemein.

HostingVercel EU (Frankfurt) + Supabase EUEdge-Cache, globales CDN

DatenbankPostgreSQL mit AES-256 at restSupabase Point-in-Time-Recovery

BackupsTäglich automatisch, verschlüsseltEU-only, geografisch redundant

TransportTLS 1.3 / HSTS für alle VerbindungenKeine self-signed Certs

AuthentifizierungSupabase Auth · OAuth 2.0 · 2FA (TOTP)SSO auf Enterprise-Plänen

Session-HandlingHttpOnly, Secure, SameSite=StrictAuto-Revocation bei Key-Änderung

Audit-LogKritische Aktionen 2 Jahre retentionExport via API für Kunden

SecretsServerside-only, nie im BrowserOAuth-Tokens rotierbar

MonitoringError-Tracking (Sentry EU)Öffentliche Statuspage

DeletionDSGVO-konform, 30-Tage WindowValidierter Data-Delete-Flow

Sub-Processors · Stand Mai 2026

Subprocessor-Liste

Für den Betrieb greifen wir auf wenige vertrauenswürdige Dienstleister zurück. Mit jedem haben wir einen AV-Vertrag (Data Processing Agreement) abgeschlossen. Wenn wir einen Subprocessor hinzufügen oder ändern, informieren wir Business-Kunden mit AV mit 30 Tagen Vorlauf.

DienstleisterZweckRegionAV

Supabase (PostgreSQL + Auth)Primäre Datenbank, Authentifizierung, Row-Level-SecurityFrankfurt (EU)DPA ansehen

VercelHosting der Web-Anwendung, Edge-Cache, Build-PipelineFrankfurt (EU) primär, global EdgeDPA ansehen

StripeAbonnement-Abrechnung (Kunden-Billing ClearProfit → Kunde)Irland (EU) / USA (Zusatzvertrag SCC)DPA ansehen

ResendTransaktionale E-Mails (Login, Rechnungs-Versand, Mahnwesen)USA (SCC)DPA ansehen

Integrations-Status · Transparenz

Shop-Integrations-Matrix

Alle Shop-Integrationen laufen produktiv mit nativen API-Connectoren — Shopify, WooCommerce, Shopware 6, Amazon Seller, TikTok Shop und eBay. Wir listen die jeweilige API-Basis und den Audit-Stand transparent.

IntegrationStatusNachweis

ShopifyLiveOrders/Customers/Payments/Refunds/Disputes · REST Admin 2025-07, Public-App-Review läuft

WooCommerceLiveREST API v3 — code-komplett + Sandbox-verifiziert

Shopware 6LiveStore + Admin API — code-komplett + Sandbox-verifiziert, Plugin im Shopware-Store-Review

Amazon SellerLiveSP-API (Orders, Finances, Returns) — code-komplett + Sandbox-verifiziert

TikTok ShopLiveSeller Center API v202309 — code-komplett + Sandbox-verifiziert

eBayLiveTrading + Sell APIs — code-komplett + Sandbox-verifiziert

Vollständiger Integrations-Katalog (Werbung, Payments, Retention, Logistik, Buchhaltung) →

Compliance-Status

Compliance-Status

Wir listen hier ehrlich auf, was aktiv ist und was noch in Vorbereitung. Kein Label ohne Beleg.

DSGVO / GDPRAktiv
Datenverarbeitung EU-zentriert, AV-Verträge verfügbar
AV-Vertrag (Art. 28 DSGVO)Aktiv
Auf Anfrage als PDF; für Business-Kunden standardmäßig
Supabase DPA + Vercel DPAAktiv
Standardvertragsklauseln (SCC) für US-SubprocessorAktiv
ISO 27001In Vorbereitung
in Vorbereitung — Roadmap H2/2026
SOC 2 Type IIIn Vorbereitung
in Vorbereitung — Roadmap 2027

Security-Fragen?

Dein CISO darf
direkt schreiben.

Pentest-Reports, Architektur-Diagramme, Incident-Historie, AV-Vertrag — alles auf Anfrage (NDA).

security@clearprofit.eu Vollständige Datenschutz-Erklärung

Responsible-Disclosure bevorzugt. Wir antworten innerhalb von 2 Werktagen.

Deine Zahlen.Europäisch gesichert.

Unsere Sicherheits-Prinzipien