Ist RealSyncDynamics.AI DSGVO-konform?

Ja. EU-Datenresidenz, AVV gemäß DSGVO Art. 28 inklusive, lückenloser Audit-Trail (Art. 32) und automatisierter Selfservice für Auskunfts- und Löschrechte (Art. 15 + 17).

Erfüllt die Plattform den AI Act?

Ja. Risiko-Klassifikation, technische Dokumentation, Transparenzpflichten und Human-Oversight sind in der Plattform integriert.

Werden Daten in die USA übertragen?

Standardmäßig nein. EU-Datenresidenz ist Default; Schrems-II-Konformität durch EU-Hosting (Frankfurt) und optional self-hosted Ollama für vollständige Datenhoheit.

Was kostet RealSyncDynamics.AI?

Free Audit (0 €, kein Account), Starter (79 €/Monat, 1 Domain), Growth (249 €/Monat, 3 Domains, Continuous Monitoring + Auto-Fix), Agency (699 €/Monat, 10 Kunden-Sites + White-Label), Scale (1.999 €/Monat, bis 50 Mandanten für DSB-Kanzleien + Reseller-Programm), Enterprise (individuell, Custom Runtime Environment, SLA + AI-Act-Modul + DSB-Integration + Evidence Vault).

Wo werden die Server gehostet?

Frankfurt am Main (Hostinger DE / Hetzner Falkenstein). Supabase-Postgres in eu-central-1. Kein US-Cloud-Default. Vollständige AVV nach Art. 28 DSGVO.

Security-Posture · Vulnerability-Disclosure · Roadmap

Security — Posture, Roadmap, Disclosure

Was wir heute tun, wo wir Lücken offen kommunizieren, wie du eine Schwachstelle meldest. Keine Marketing-Buzzwords — operative Realität.

Heutige Security-Maßnahmen

TLS 1.3 erzwungen für alle Endpunkte (HSTS preload-ready geplant).
Row-Level-Security (RLS) auf allen Mandanten-Tabellen — Default-Deny, explizite Policies.
Vault-basierte Secret-Storage — keine Secrets im Quellcode oder im Deployment-Env-Cleartext.
SECURITY DEFINER Functions mit explizitem `search_path=public,pg_catalog` — verhindert Schema-Injection.
Audit-Trail über jeden KI-Call — Modell, Tenant, Bytes, Zeitstempel.
DSGVO Art. 15/17 Selfservice — Datenexport + Account-Löschung im Dashboard.
IP-Hash-Anonymisierung für Lead-Capture und Audit-Logs (kein IP-Cleartext-Storage).
Rate-Limits auf öffentlichen Endpunkten (`audit`, `sales-lead`, `newsletter-subscribe`).
EU-Hosting in Frankfurt — keine US-Cloud-Default-Pfade, keine Drittland-Übermittlung außer auf expliziten Opt-In.
Sentry-Stub DSGVO-konform — `sendDefaultPii=false`, keine User-Kontext-Felder, EU-Region falls aktiviert.

Offene Lücken (ehrlich)

Kein Penetration-Test bisher. Erster externer Pentest geplant nach Erreichen 50 zahlende Kunden — Berichtsausschnitt wird auf dieser Seite veröffentlicht.
Keine SOC 2 / ISO 27001 Zertifizierung. SOC 2 Type 1 in Vorbereitung für 2026 Q4. ISO 27001 Audit-Vorbereitung läuft, Termin abhängig von Vorlauf-Audit.
Keine HSTS-Preload-Submission. HSTS aktiv, Preload-List-Submission geplant nach Apex-Domain-Stabilisierung.
Keine 2FA-Pflicht für User. Optional verfügbar (Supabase-MFA). Pflicht-Toggle pro Tenant geplant.
Keine WAF. Cloudflare-WAF-Layer als Hardening geplant für 2026 Q3.

Wir publizieren Lücken offen, weil Compliance-Käufer unangenehme Wahrheit erkennen. Wer „100% sicher" verspricht, lügt oder weiß es nicht besser.

Roadmap

✓ 2026 Q2RLS-Hardening · SECURITY DEFINER search_path · Vault-Storage · Audit-Trail
→ 2026 Q3Cloudflare WAF · HSTS Preload · 2FA-Pflicht-Toggle pro Tenant · Erster externer Pentest
2026 Q4SOC 2 Type 1 Audit · ISO 27001 Vorbereitung intensiv · Bug-Bounty-Programm öffentlich
2027 Q1-Q2SOC 2 Type 2 · ISO 27001 Zertifizierung · TÜV-Süd-Auditpfad für Behörden

EU-Hosting · Sub-Processors

Alle produktiven Workloads laufen auf EU-Infrastruktur (Hetzner Frankfurt für Compute, Supabase EU-Frankfurt für Postgres + Edge Functions). Eine vollständige Liste der Sub-Processors mit Standort, Funktion und AVV-Status findest du unter /legal/sub-processors.

KI-Modelle: Default sind EU-region-pinned API-Calls (Anthropic EU, OpenAI EU-Tenant, Google Vertex eu-central). Für höchste Souveränität ist Ollama-EU-local als Fallback verfügbar (Llama / Mistral, vollständig im eigenen Stack).

SOC 2-ready Architektur (statt Marketing-Zertifikat)

Statt eines „SOC 2 certified"-Logos, das wir formal noch nicht haben dürfen, sind unsere Controls bereits an den SOC 2 Trust Services Criteria ausgerichtet — auditierbar bei Bedarf des Enterprise-Kunden:

Access Management (CC6.1–6.3): Tenant-Isolation per Postgres RLS, Default-Deny, explizite Policies. Least-Privilege auf SECURITY-DEFINER-Funktionen.
Logging & Monitoring (CC7.1–7.2): Append-only Audit-Trail über alle KI-Aufrufe und kritischen DB-Mutations. Sentry-Stub für Errors (DSGVO-konform, keine PII).
Encryption (CC6.7): TLS 1.3 in Transit, AES-256 At-Rest (Supabase-Standard). Vault für Secret-Storage statt Env-Variables im Klartext.
Incident Response (CC7.3–7.5): 72h-Meldepflicht-Timer, Sub-Processor-Notification-Webhook, Disclosure-Prozess (siehe oben).
Change Management (CC8.1): Versionierte Methodology (siehe /legal/methodology) und öffentliches Changelog.
Data Retention (P3.1): Klare Aufbewahrungsfristen pro Datenkategorie in Datenschutzerklärung; DSGVO Art. 17 Selfservice.

SOC 2 Type 1 Audit geplant 2026 Q4. Bis dahin: detaillierte Controls-Mapping-Tabelle (TSC ↔ Implementierung) auf Anfrage für Enterprise-Procurement.

Architektur-Diagramm (interaktiv)

Datenfluss von Browser bis Datenbank. Klicke jede Schicht für Controls und Sub-Processor-Details.

Klicke eine Schicht für Controls und Sub-Processor-Details.

Tenant-ID wird auf jeder Schicht erneut validiert (Browser-Token → Edge-Function-Auth → Postgres-RLS). Kein Single-Point-of-Failure für Mandanten-Trennung.

Schwachstelle gefunden

Vielen Dank für deine verantwortungsvolle Meldung. Wir antworten innerhalb von 72 Stunden. Bitte verzichte auf öffentliche Disclosure, bis wir gemeinsam ein Patch- und Veröffentlichungs-Datum vereinbart haben. Bug-Bounty-Programm ist für Q4/26 geplant.

Schwachstelle melden Sub-Processors ansehen Compliance-Matrix