Login Kostenlos testen
Sicherheit & Datenschutz

Sicherheit ist bei uns Standard.

Vertrauen entsteht durch Transparenz: Diese Maßnahmen schützen deine Mitarbeiter-, Kunden- und Bezahldaten in SHIFTDECK.

TLS-Verschlüsselung

Alle Daten zwischen Browser und Server werden mit aktuellem TLS (HTTPS) verschlüsselt — nichts im Klartext.

Deutsche Rechenzentren

Webseite und Datenbanken stehen in deutschen Rechenzentren — DSGVO-konform, ohne Transfer in unsichere Drittländer.

Bcrypt-Passwörter

Passwörter werden nie im Klartext gespeichert, sondern gehasht — selbst wir können sie nicht wiederherstellen.

2-Faktor-Authentifizierung

Administratoren bestätigen jeden Login zusätzlich per E-Mail-Link — ohne Postfach kein Zugriff.

Brute-Force-Schutz

Nach 6 Fehlversuchen wird die IP-Adresse gesperrt — automatisierte Angriffe sind chancenlos.

Audit-Log

Jede administrative Aktion wird mit Zeitpunkt, Benutzer und IP protokolliert — Vorfälle sind nachvollziehbar.

Tägliche Backups

Datenbank und Kundendaten werden täglich gesichert und redundant auf separaten Systemen abgelegt.

Rollen & Rechte

Jeder sieht nur die Module, für die er freigeschaltet ist — vom Support bis zur Buchhaltung.

DSGVO komplett

Datenschutzerklärung, AVV, Auskunfts- und Löschrechte — alles nach EU-Datenschutz-Grundverordnung.

Sicherheitslücke gefunden? Danke, dass du sie verantwortungsvoll meldest.

Schreib an security@shiftdeck.de — wir bestätigen deine Meldung innerhalb von 48 Stunden (werktags) und arbeiten mit dir an einer schnellen Lösung. Machine-readable nach RFC 9116: security.txt

  1. Bestätigung deiner Meldung innerhalb 48 h
  2. Analyse und Reproduktion der Lücke
  3. Patch entwickeln und einspielen
  4. Status-Information an dich
  5. Optional: Nennung in unserer Sicherheits-Hall-of-Fame
Bitte keine Tests gegen echte Kundendaten, kein DDoS, kein Social Engineering und keine Phishing-Tests — und keine Veröffentlichung, bevor der Fehler behoben ist.

Falls doch einmal etwas passiert

Sollte ein Vorfall deine Daten betreffen, halten wir uns strikt an die DSGVO: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden (Art. 33), Information aller Betroffenen bei hohem Risiko (Art. 34), transparente Kommunikation über die Maßnahmen und eine dokumentierte Nachanalyse, damit es nicht wieder passiert.