Beta-HinweisBeta-Phase: Wir verfeinern noch einige Details. AGB und Datenschutz können in den kommenden Wochen aktualisiert werden.Mehr erfahren
e-Rechnung·Inbox
Sicherheit & Compliance

Ein öffentlicher Trust-Überblick für E-Rechnungen, DATEV-nahe Prozesse und Kanzlei-Freigaben.

Diese Seite trennt live verfügbare Schutzmaßnahmen von geplanten Härtungen. Sie ist bewusst nüchtern: keine ISO-, SOC-2- oder Pentest-Behauptungen, solange diese Nachweise nicht vorliegen.

Live im Produkt

EU-Hosting & Datenresidenz

Supabase-Projektdaten liegen in EU/Frankfurt; Sentry ist auf die EU-/DE-Region konfiguriert. Die AVV-Vorlage ist im Footer verlinkt.

Verschlüsselung

Transport per TLS 1.3, Speicherung at rest mit AES-256 beim Hoster. Schlüssel- und Provider-Betrieb folgen der Hosting-Plattform.

Mit offiziellem KoSIT-Validator geprüft

Der Parser wird gegen den offiziellen KoSIT-Validator geprüft. Das ist kein externes KoSIT-Zertifikat und keine KoSIT-Zertifizierung.

GoBD DB-Level-Unveränderlichkeit

Aktive Datenbank-Trigger schützen archivierte Rechnungen und Audit-relevante Datensätze vor nachträglicher Veränderung; 8 Jahre Aufbewahrung gilt für alle Pläne.

Strukturierter Audit-Log mit Redaction

Zentrale Audit-Events dokumentieren sicherheits- und abrechnungsrelevante Aktionen; Log-Ausgaben werden über zentrale Redaction-Helfer bereinigt.

2FA auf Konto-Ebene

Supabase MFA ist verfügbar und wird bei aktivierter zweiter Stufe im Login-Flow berücksichtigt. Hardware-Key-Erzwingung ist nicht live.

Eigene Domain & Mailgun-Routing

Custom-Domain-Inboxen können verbunden werden; die Route wird über Mailgun automatisiert eingerichtet.

USt-IdNr-Prüfung über BZSt + VIES

Organisationen können USt-IdNrn über BZSt und VIES prüfen; Ergebnisse werden 30 Tage gecacht.

Granulare Cookie-Einwilligung

Analyse-/Marketing-Cookies laufen über explizite Consent-Steuerung und können im Footer wieder geöffnet werden.

HTTP-Security-Header-Härtung

Nonce-basierte CSP ohne unsafe-inline für Skripte, HSTS preload, Permissions-Policy sowie COOP/COEP/CORP sind aktiv; CSP-Verstöße werden an Sentry DE gemeldet.

Tenant-Isolation-Negativtests

RLS-Negativtests prüfen Rechnungen, Lieferanten, Zahlungskonten, Audit-Events und Active-Org-Cookie-Forgery gegen echte Supabase-Clients.

Security-Event-Taxonomie & Sentry-Alerts

Auth-, Admin-, Zahlungsdaten-, CSP- und IBAN-Risikoereignisse laufen über eine typisierte Security-Event-API; die Sentry-DE-Alertregeln sind im Ops-Runbook dokumentiert.

IBAN/BEC-Defense-Workflow

Neue Lieferanten-IBANs werden gegen die bekannte Historie geprüft, risikobewertet, in Inbox und Detailansicht markiert und müssen vor zahlungsnahen Exporten explizit bestätigt werden.

Public-API-Härtung

API-Schlüssel mit Hash-Storage (SHA-256 + Server-Pepper), per-Key Rate-Limit auf Upstash mit Fail-Closed-Posture, signierte Outbound-Webhooks (HMAC-SHA256) mit automatischer Deaktivierung nach 5 Fehlern in Folge.

Fragen zur Sicherheit? Schreiben Sie uns über das Impressum.

Impressum

Diese Website verwendet Cookies, um Ihre Erfahrung zu verbessern und den Datenverkehr zu analysieren. Sie können einzelne Kategorien jederzeit ablehnen. Datenschutzerklärung