Sécherheet #
EthicsPortal behandelt sensibel Hiweisgeeberdonnéeën. Dës Säit dokumentéiert déi technesch an organisatoresch Moossnamen.
Zulescht aktualiséiert: 22. Abrëll 2026.
Datenverschlësselung #
All sensibel Felder ginn mat Rails Active Record Encryption net-deterministesch verschlësselt.
| Feld | Verschlësselt | Deterministesch |
|---|---|---|
| Meldungsbeschreiwung | Jo | Nee |
| Numm vum Hiweisgeeber | Jo | Nee |
| Kontaktdonnéeë vum Hiweisgeeber | Jo | Nee |
| Messageinhalt | Jo | Nee |
All Verbindungen iwwer HTTPS/TLS.
Anonymitéit #
IP-Anonymiséierung #
EthicsPortal späichert ni IP-Adressen. Portal-Routen benotzen en Einweg-SHA256-Hash ausschliesslech fir Rate-Limiting.
Entfernung vu Dateimetadaten #
| Dateityp | Entferent Metadaten | Method |
|---|---|---|
| Biller (JPEG, PNG, TIFF, WebP) | EXIF, GPS, Kameramodell, Auteur | Vips |
| PDF-Dokumenter | Auteur, Applikatioun, Historique | exiftool |
| Video | GPS, Geräteinfo | exiftool |
| Audio | Geräteinfo, Software-Tags | exiftool |
Virenprüfung #
All Upload gëtt mat ClamAV serversäiteg geprüft.
Anonymitéit vun der Fallbearbechtung #
Hiweisgeeber gesinn ni den echten Numm — just „Fallbearbechtung".
Kee Tracking #
Keng Drëttubidder-Tracking-Cookien, keng Reklamm-Pixel. Cloudflare Web Analytics gëtt nëmme op Marketing-Säite benotzt — cookielos, ouni perséinlech Donnéeën.
Aktuellen Assurance-Status #
EthicsPortal beansprocht op dëser Websäit aktuell keng ISO-27001-, SOC-2- oder gläichwäerteg Zertifizéierung. Et publizéiert och aktuell keen onofhängegen Drëtt-Audit vun der Anonymitéitsarchitektur. Wann dat ännert, ginn Ëmfang an Datum hei publizéiert.
Material fir de Sécherheetsreview #
Clienten, déi Material fir Procurement oder juristesche Review brauchen, kënnen et am Kader vum Review ufroen. Disponibelt Material kann eng ënnerschriwwen DPA, Register- a Steierbeleeër, en ausgefëllte Sécherheetsquestionnaire an schrëftlech Äntwerten zu Backup- a Restore-Prozeduren, privilegéierte Production Access an Incident Response ëmfaassen.
Zougangskontroll #
Autoriséierung iwwer Pundit-Richtlinnen.
| Roll | Kann Meldunge kucken | Kann Organisatiounseinstellunge verwalten |
|---|---|---|
| Admin | All Meldungen | Jo |
| Bearbeechter | Just zougewise Meldungen | Nee |
Zwee-Faktor-Authentifizéierung #
TOTP-baséiert 2FA fir Admins a Bearbeechter.
Och Hiweisgeeber authentifizéieren mat zwee Faktoren: Dossier-ID (ongëlleg eleng) a selwergewielte Zougangscode (nëmmen als bcrypt-Hash gespäichert).
Rate-Limiting #
| Endpunkt | Limit |
|---|---|
| Meldung | 5 pro 10 Minutten |
| Fallabruf | 10 pro 3 Minutten |
| Message | 10 pro 3 Minutten |
Audit a Compliance #
Revisiounsséchert Audit-Protokoll #
All Aktioun mat Zäitstempel (UTC), Akteur an Aktiounstyp. Onveränderbar.
Späicherdauer #
Konfiguréierbar: 12, 24, 36 oder 60 Méint. Automatesch Läschung.
CSRF-Schutz #
Iwwer Rails’ agebauten CSRF-Tokens.
Infrastruktur #
| Komponent | Ubidder | Standuert |
|---|---|---|
| Applikatioun an Datebank | Hetzner | Nürnberg, Däitschland (EU) |
| Dateispäicherung | Hetzner Object Storage | Nürnberg, Däitschland (EU) |
| Transaktionell E-Mailen | Mailjet | Frankräich (EU) |
| Bezueelung | Stripe | EU |
Operative Review #
Dës Säit ass eng ëffentlech Sécherheets-Zesummefaassung. En Deel vun den operative Materialien gëtt am Procurement-Review gedeelt an net voll am oppene Web publizéiert, well et Infrastruktur- a Reaktiounsdetailer enthält, déi sech besser fir kontrolléiert Verëffentlechung eegnen.
Themen, déi op Ufro am Procurement-Review disponibel sinn, enthalen ënner anerem:
- Zesummefaassung vu Backup a Restore
- Recovery-Ziler an Approche fir Restore-Tester
- Zesummefaassung vum privilegéierte Production Access
- Incident-Response-Workflow an Eskalatiounskontakter
- Äntwerten zu Business Continuity an Customer Offboarding / Export
Verantwortungsvoll Offenlegung #
Melden vu Sécherheetsproblemer un support@ethicsportal.eu. Mir bestätegen bannent 2 Aarbechtsdeeg.
Zulescht aktualiséiert: