01 · Hosting
Hosting-Architektur · Nur EU
- Primär: Hetzner Online GmbH — Frankfurt am Main (ISO-27001)
- Failover: OVHcloud SAS — Warschau (Umschaltung < 4 min)
- Zahlung: Stripe Payments Europe Ltd (Dublin, PCI-DSS L1)
- Backup: Backblaze-B2 EU-Cluster Helsinki, AES-256 verschlüsselt
Keine Datenverarbeitung außerhalb der EU. Kein US-Cloud, kein UK-Anbieter, kein Drittland-Transfer.
02 · Verschlüsselung
TLS 1.3 & AES-256
In transit
Alle Verbindungen TLS 1.3 mit Perfect Forward Secrecy + Zertifikats-Pinning gegen Dirs21-Endpunkte.
At rest
Alle Dirs21-API-Tokens aus Dirs21 Cockpit Login AES-256-verschlüsselt im separaten Secrets-Vault. Hardware-HSM (Frankfurt).
Passwörter
Argon2id (memory-hard) gehasht.
03 · Backups
3-2-1-Regel · RPO < 15 min
- Tägliches Snapshot-Backup (Frankfurt)
- Zweite Kopie in Warschau, dritte in Helsinki
- Aufbewahrung 30 Tage rollierend
- Restore-SLA: RPO < 15 min, RTO < 4 h
- Quartalsweiser Restore-Test
04 · Zugriffe
Least-privilege · MFA
- Zugriff auf Produktion nur über MFA mit Hardware-Key (YubiKey)
- Rollenbasierte Zugriffskontrolle
- Kein SSH-Passwort-Login
- Vollständiges Audit-Log
05 · Compliance
DSGVO & ISO-Vorprojekt
- DSGVO-konform
- PCI-DSS out-of-scope
- ISO 27001: Vorprojekt Q1/2026, Zertifizierung Q4/2027
- BSI-Grundschutz-Kompatibilität
06 · Disclosure
Verantwortliche Offenlegung
Sicherheitslücken melde bitte an disclosure@cockpitdirs21.org. Bestätigung binnen 24 h, Statusaktualisierung binnen 5 Werktagen.