Technische Sicherheitsmaßnahmen

Alle Reflexionsinhalte werden mit AES-256-GCM via pgcrypto verschlüsselt gespeichert. Klartext existiert ausschließlich in-memory — nie auf der Festplatte oder in Logs.

Jede Ver-/Entschlüsselung erzeugt einen append-only Eintrag mit HMAC-Chain. Das Audit-Log ist per Postgres-Trigger gegen Änderungen gesichert. Master-Key-Rotation alle 90 Tage.

Backend, Postgres und alle personenbezogenen Daten liegen ausschließlich auf Hetzner-Servern in Deutschland. Kein Drittlandtransfer für Kerndaten.

Cloudflare WAF, DDoS-Mitigation und Bot-Fight-Mode schützen alle Endpunkte. Audio-CDN und Subscription-Cache mit EU-Jurisdiction-Lock (Cloudflare R2/KV).

Sentry ist mit requestDataIntegration(cookies/data/query_string = false) konfiguriert. Keine E-Mail-Adressen oder Namen in Fehler-Reports. EU-Datenresidenz Frankfurt.

Stündlicher Cron prüft Decrypt-Raten. Mehr als 10× Normalrate triggert Sentry-Alert. Crisis-Detection-Loop in jeder Mindy-LLM-Antwort; nach 3× Trigger kein weiterer LLM-Call.

Tägliche Postgres-Snapshots auf Hetzner mit 30-Tage-Retention. Audio-Dateien redundant in Cloudflare R2 mit EU-Jurisdiction. RTO/RPO-Details auf Anfrage.

Sicherheitslücken bitte ausschließlich an security@leadwave-academy.de melden. Wir bestätigen Eingang binnen 48 Stunden und veröffentlichen behobene Findings nach koordinierter Offenlegung. Eine security.txt gemäß RFC 9116 ist unter /.well-known/security.txt abrufbar.