Zum Hauptinhalt springen
R
Ruum

Sicherheit & Datenschutzmassnahmen

Gültig ab 11. Mai 2026

1. Hosting & Infrastruktur

Die Plattform wird auf folgender Infrastruktur betrieben:

  • Datenbank: Supabase (PostgreSQL), Serverstandort Zürich, Schweiz
  • Webhosting: Vercel, Serverstandort Frankfurt, Deutschland (EU)
  • E-Mail-Versand: Resend, Serverstandort Irland (EU)

2. Verschlüsselung

  • In Transit: Alle Verbindungen sind mit TLS 1.3 verschlüsselt (HTTPS)
  • At Rest: Daten in der Datenbank werden mit AES-256 verschlüsselt gespeichert
  • Authentifizierung: Passwörter werden mit bcrypt gehasht und nie im Klartext gespeichert

3. Zugangskontrolle

Der Zugriff auf Daten wird durch mehrere Sicherheitsschichten geschützt:

  • Row Level Security (RLS): Jede Datenbankabfrage wird auf Zeilenebene autorisiert
  • Rollenbasierter Zugriff: Admin, Facility Manager und öffentliche Nutzer haben unterschiedliche Berechtigungen
  • JWT-basierte Authentifizierung: Sitzungen werden mit signierten JSON Web Tokens verwaltet
  • Serverseitige Validierung: Alle Eingaben werden vor der Verarbeitung geprüft

4. Datenisolierung (Multi-Tenant)

Ruum ist eine Multi-Tenant-Plattform. Die Daten jedes Mieters (Gemeinde, Organisation) sind strikt voneinander getrennt:

  • Jeder Datensatz enthält eine Tenant-ID
  • Alle Datenbankabfragen werden automatisch nach Tenant gefiltert (RLS-Policies)
  • Ein Zugriff auf Daten anderer Mieter ist technisch ausgeschlossen

5. Automatische Datenlöschung

Personenbezogene Daten werden nach Ablauf der konfigurierten Aufbewahrungsfrist automatisch bereinigt. Der Prozess verläuft in drei Stufen:

  1. Archivierung: Buchungen werden aus der aktiven Ansicht entfernt
  2. Soft Delete: Daten werden als gelöscht markiert, sind aber noch in der Datenbank vorhanden
  3. Hard Delete: Daten werden unwiderruflich aus der Datenbank entfernt

Die genauen Fristen können von jedem Mieter individuell konfiguriert werden. Weitere Details finden Sie in der Datenschutzerklärung.

6. E-Mail-Sicherheit

Transaktions-E-Mails (Buchungsbestätigungen, Erinnerungen) werden über authentifizierte Kanäle versendet:

  • SPF (Sender Policy Framework) — Autorisierung des Absenderservers
  • DKIM (DomainKeys Identified Mail) — Digitale Signatur der E-Mails
  • DMARC (Domain-based Message Authentication) — Schutz vor Spoofing

7. Schriftarten

Alle Schriftarten werden lokal auf dem Server gehostet (Self-Hosting via @nuxt/fonts). Es werden keine Anfragen an externe Schriftarten-Server (z.B. Google Fonts) gestellt. Ihre IP-Adresse wird dabei nicht an Dritte übertragen.

8. Webanalyse

Wir verwenden Umami, eine datenschutzfreundliche Open-Source-Analyseplattform. Umami wird auf unserer eigenen Infrastruktur betrieben und erhebt keine personenbezogenen Daten:

  • Keine Cookies
  • Keine IP-Adressen-Speicherung
  • Kein Browser-Fingerprinting
  • Vollständig anonymisierte, aggregierte Statistiken

9. Vorfallmanagement

Im Falle eines Sicherheitsvorfalls oder einer Datenschutzverletzung werden wir:

  1. Den Vorfall sofort untersuchen und eindämmen
  2. Die zuständige Datenschutzbehörde informieren (gemäss gesetzlicher Frist)
  3. Betroffene Personen benachrichtigen, sofern ein hohes Risiko besteht
  4. Massnahmen zur Verhinderung zukünftiger Vorfälle ergreifen

10. Schwachstellen melden

Wenn Sie eine Sicherheitslücke entdecken, bitten wir Sie um eine verantwortungsvolle Offenlegung (Responsible Disclosure). Bitte senden Sie Ihre Meldung an:

privacy@peakbyte.org

Wir werden Ihre Meldung vertraulich behandeln und uns innerhalb von 48 Stunden bei Ihnen melden.