Sicherheit
Unser Sicherheitsversprechen
Bei Zylior läuft dein Wachstum über deine Daten: Werbekampagnen, Leads, Inhalte, Terminkalender, Zugänge zu deinen Tools. Das ist uns vollkommen bewusst. Sicherheit ist kein Häkchen, das man ein für alle Mal setzt, sondern eine Disziplin, die wir auf jede Codezeile, jedes Deployment und jeden Zugriff anwenden. Diese Seite erklärt dir konkret, wie wir deine Kommandozentrale für Wachstum und die darüber laufenden Informationen schützen.
Wir bevorzugen einen „Managed-First"-Ansatz: Wir stützen uns auf anerkannte und zertifizierte Infrastrukturanbieter, reduzieren die Angriffsfläche, die wir selbst betreiben, und wenden systematisch das Prinzip der geringsten Rechte an. Weniger unnötige Komplexität bedeutet weniger Risiken für dich.
Verschlüsselung der Daten
Während der Übertragung
Sämtliche Kommunikation zwischen deinem Browser, unseren Anwendungen und unseren Diensten ist über TLS 1.2 oder höher verschlüsselt. Unverschlüsselter Datenverkehr wird abgelehnt: Keine Daten zirkulieren im Klartext über das Netz. Wir wenden die strikte HTTPS-Weiterleitung (HSTS) an und nutzen moderne kryptografische Suiten.
Im Ruhezustand
Die in unseren Datenbanken und Volumes gespeicherten Daten sind im Ruhezustand mit dem Algorithmus AES-256 verschlüsselt. Das gilt für die Datenbanken, die Backups und die auf der Plattform abgelegten Dateien. Die Verschlüsselungsschlüssel werden von unserem Infrastrukturanbieter über einen dedizierten Dienst verwaltet, mit regelmäßiger Rotation, und sind niemals im Code oder in den Protokollen offengelegt.
Secrets und Zugangsdaten Dritter
Die Zugriffs-Token und Zugangsdaten, die du mit Zylior verbindest (Werbeplattformen, Mail-Dienste, CRM, Kalender), werden verschlüsselt und in einem isolierten Secrets-Tresor gespeichert. Sie werden nur in dem für die Ausführung einer Automatisierung strikt notwendigen Moment entschlüsselt und niemals im Klartext in der Oberfläche angezeigt.
Hosting und Datenlokalisierung
Die gesamte Infrastruktur von Zylior wird innerhalb der Europäischen Union gehostet, bei anerkannten Cloud-Infrastrukturanbietern mit erstklassigen Sicherheitszertifizierungen (insbesondere ISO 27001 und SOC 2). Deine Produktionsdaten und ihre Backups bleiben in der EU.
Wenn die Verarbeitung einer Funktion einen Auftragsverarbeiter außerhalb der EU einbezieht, sichern wir diese durch die geeigneten, von der DSGVO vorgesehenen Garantien ab (Standardvertragsklauseln) und dokumentieren sie in unserem Verzeichnis der Auftragsverarbeiter.
Datenisolierung pro Kunde
Zylior steuert ein Portfolio mehrerer Micro-SaaS für Gründer und Agenturen. Die Trennung zwischen den Daten der einzelnen Kunden ist eine grundlegende Anforderung unserer Architektur.
- Jeder Datensatz ist einer Konto-Kennung (Tenant) zugeordnet, und alle Abfragen werden standardmäßig auf dieser Ebene gefiltert.
- Die Isolierungskontrolle wird auf der niedrigstmöglichen Ebene der Datenzugriffsschicht angewendet und nicht dem Ermessen des einzelnen Bildschirms überlassen.
- Die Produktions-, Test- und Entwicklungsumgebungen sind strikt getrennt. Keine echten Kundendaten werden für die Entwicklung oder Tests verwendet.
- Die KI-Verarbeitungen laufen im Rahmen des betreffenden Kontos: Die Daten eines Kunden dienen niemals dazu, das Konto eines anderen anzureichern, zu trainieren oder zu speisen.
Zugriffskontrolle und geringste Rechte
Der Zugriff auf die Systeme von Zylior ist streng geregelt und auf die Personen beschränkt, die ihn für ihre Funktion wirklich benötigen.
- Geringste Rechte: Jedes Teammitglied und jeder Dienst verfügt nur über die für seine Aufgabe unverzichtbaren Rechte, nicht mehr.
- Starke Authentifizierung: Die Multi-Faktor-Authentifizierung (MFA) ist für alle Zugriffe auf die Administrationswerkzeuge und die Infrastruktur verpflichtend.
- Personalisierte Zugänge: Die Zugänge sind individuell und nachvollziehbar. Geteilte Konten sind untersagt.
- Regelmäßige Überprüfung: Die Zugriffsrechte werden regelmäßig überprüft und beim Ausscheiden eines Mitarbeiters sofort entzogen.
- Auf Plattformseite: Innerhalb deines Bereichs verwaltest du die Rollen und Berechtigungen deines Teams, um zu steuern, wer was sehen und tun kann.
Backups und Wiederherstellung des Betriebs
Deine Daten werden automatisch und regelmäßig gesichert, damit sie im Falle eines Vorfalls wiederhergestellt werden können.
- Verschlüsselte und automatisierte Backups der Datenbanken, aufbewahrt über einen gleitenden Zeitraum.
- Speicherung der Backups in der EU, getrennt von der Produktionsumgebung.
- Wiederherstellungstests, die regelmäßig durchgeführt werden, um zu gewährleisten, dass die Backups nutzbar und nicht nur vorhanden sind.
- Dokumentierter Notfallwiederherstellungsplan mit definierten Zielen für die Wiederherstellungszeit (RTO) und den maximalen Datenverlust (RPO).
Protokollierung und Überwachung
Unsere Systeme werden kontinuierlich überwacht, um abweichendes Verhalten so früh wie möglich zu erkennen.
- Protokollierung der Zugriffe, der sensiblen Aktionen und der Authentifizierungsereignisse.
- Überwachung der Verfügbarkeit und Leistung mit automatischen Alarmen im Falle einer Anomalie.
- Zentralisierung der Protokolle und Aufbewahrung über einen festgelegten Zeitraum, mit Schutz gegen Veränderung.
- Die Protokolle sind so konzipiert, dass sie keine Secrets und keine überflüssigen personenbezogenen Daten enthalten.
Vorfallmanagement
Trotz aller Vorsichtsmaßnahmen ist kein System unfehlbar. Wir haben daher einen klaren Prozess, um schnell und richtig zu reagieren.
- Erkennung und Einstufung: Jedes verdächtige Ereignis wird analysiert und nach seiner Schwere eingestuft.
- Eindämmung und Behebung: Wir isolieren die Ursache, beheben die Schwachstelle und stellen den Dienst wieder her.
- Benachrichtigung: Im Falle einer Verletzung personenbezogener Daten benachrichtigen wir die zuständige Aufsichtsbehörde innerhalb von 72 Stunden und informieren die betroffenen Kunden unverzüglich, in Übereinstimmung mit der DSGVO.
- Nachbereitung des Vorfalls: Jeder bedeutende Vorfall wird in einer dokumentierten Auswertung aufgearbeitet, um zu verhindern, dass er sich wiederholt.
DSGVO-Konformität
Zylior verarbeitet personenbezogene Daten unter strikter Einhaltung der Datenschutz-Grundverordnung (DSGVO).
- Rechtsgrundlagen und Zwecke: Wir verarbeiten die Daten nur für bestimmte und legitime Zwecke im Zusammenhang mit der Bereitstellung des Dienstes.
- Datenminimierung: Wir erheben nur die für das Funktionieren der Plattform erforderlichen Daten.
- Rolle als Auftragsverarbeiter: Für die Daten deiner eigenen Interessenten und Kunden bist du der Verantwortliche und Zylior handelt als Auftragsverarbeiter, im Rahmen eines Auftragsverarbeitungsvertrags (AVV).
- Rechte der Personen: Wir helfen dir, Anfragen auf Auskunft, Berichtigung, Löschung und Datenübertragbarkeit zu beantworten.
- Weitere Auftragsverarbeiter: Wir halten die Liste unserer Auftragsverarbeiter aktuell und regeln sie vertraglich.
- Aufbewahrung: Die Daten werden so lange aufbewahrt, wie es für die Bereitstellung des Dienstes erforderlich ist, und anschließend gelöscht oder anonymisiert.
Bei Fragen zum Datenschutz oder zur Ausübung deiner Rechte schreib uns an hello@zylior.com.
Überblick über die Sicherheitsmaßnahmen
| Bereich | Angewandte Maßnahme |
|---|---|
| Verschlüsselung während der Übertragung | TLS 1.2+, striktes HTTPS (HSTS) |
| Verschlüsselung im Ruhezustand | AES-256 (Datenbanken, Backups, Dateien) |
| Hosting | Europäische Union, nach ISO 27001 / SOC 2 zertifizierte Anbieter |
| Isolierung | Abschottung der Daten pro Kundenkonto |
| Zugriffskontrolle | Geringste Rechte, MFA verpflichtend, personalisierte Zugänge |
| Backups | Automatisiert, verschlüsselt, Wiederherstellung getestet |
| Überwachung | Protokollierung, Alarme, geschützte Aufbewahrung |
| Konformität | DSGVO, AVV, Verzeichnis der Auftragsverarbeiter |
Verantwortungsvolle Offenlegung
Sicherheit ist Teamarbeit, und die Community der Sicherheitsforscher trägt dazu bei. Wenn du eine potenzielle Schwachstelle in Zylior entdeckst, zählen wir auf dich, sie uns verantwortungsvoll zu melden, anstatt sie öffentlich offenzulegen.
- Schreib uns an security@zylior.com mit einer detaillierten Beschreibung und den Schritten, mit denen sich das Problem reproduzieren lässt.
- Lass uns eine angemessene Frist, um die Schwachstelle zu analysieren und zu beheben, bevor du sie öffentlich machst.
- Greife nicht auf die Daten anderer Kunden zu, beeinträchtige den Dienst nicht und führe während deiner Tests keine zerstörerische Aktion aus.
- Wir verpflichten uns, den Eingang deiner Meldung zu bestätigen, dich über ihre Bearbeitung auf dem Laufenden zu halten und deinen Beitrag anzuerkennen, wenn du es wünschst.
Forscher, die diesen Ansatz in gutem Glauben einhalten, werden von uns in keiner Weise verfolgt.