Panel · SicherheitDSGVO · TLS 1.3 · AES-256SYS 21.4 · MONITORED

Sicherheit & Compliance.

Wie Cockpit21 deine Dirs21 Cockpit-Daten schützt: Hosting, Verschlüsselung, Backups, Zugriffsrechte, DSGVO. Ohne Marketing-Buzzwords — nur was wir konkret tun, wenn du über den Dirs21 Cockpit Login einen Token teilst.

01 · HostingFrankfurt · Warschau

Hosting-Architektur

Primär
FRADE
Hetzner Online GmbH — Rechenzentrum Frankfurt am Main. ISO-27001, EN-50600.
Failover
WAWPL
OVHcloud SAS — Rechenzentrum Warschau. Failover-Umschaltung < 4 min.
Zahlung
DUBIE
Stripe Payments Europe Ltd — PCI-DSS L1. Wir sehen keine Kartennummern.
Backup
HELFI
Backblaze-B2 EU-Cluster Helsinki. Verschlüsselt vor Upload (AES-256).

Keine Datenverarbeitung außerhalb der EU. Kein US-Cloud, kein UK-Anbieter (Post-Brexit), kein Drittland-Transfer.

02 · VerschlüsselungTLS 1.3 · AES-256

Verschlüsselung

In transit

Alle Verbindungen über TLS 1.3 mit Perfect Forward Secrecy. Zertifikats-Pinning gegen die offiziellen Dirs21-Endpunkte, um Man-in-the-Middle auszuschließen.

At rest

Alle Dirs21-API-Tokens aus deinem Dirs21 Cockpit Login und alle personenbezogenen Daten AES-256-verschlüsselt in einem separaten Secrets-Vault. Schlüssel im Hardware-HSM (Frankfurt).

Passwörter

Passwörter unserer Kund*innen mit Argon2id (memory-hard) gehasht. Wir speichern nie Passwörter im Klartext.

03 · Backups3-2-1 Regel

Backups & Restore

  • Tägliches Snapshot-Backup der primären Datenbank (Frankfurt)
  • Zweite Kopie in Warschau, dritte in Helsinki — 3-2-1-Regel
  • Aufbewahrung 30 Tage rollierend, quartalsweiser Restore-Test
  • Restore-SLA: RPO < 15 min, RTO < 4 h
04 · ZugriffeLeast-privilege · MFA

Zugriffe & interne Rollen

  • Zugriff auf Produktionssysteme nur über MFA mit Hardware-Key (YubiKey)
  • Rollenbasierte Zugriffskontrolle (Ops · Support · Solutions)
  • Kein SSH-Passwort-Login, nur SSH-Keys über zentralen Vault
  • Vollständiges Audit-Log — auf Anfrage für Auditor*innen einsehbar
  • Automatische Session-Ablauf-Zeit 30 min inaktiv
05 · ComplianceDSGVO · ISO-Vorprojekt

Compliance-Status

  • DSGVO-konform: Verantwortlicher & DSB benannt, AVV-Vorlagen, Datenschutz-Folgeabschätzung dokumentiert
  • PCI-DSS out-of-scope: Wir sehen keine Kartennummern (Stripe.js Tokenisierung)
  • ISO 27001: Vorprojekt gestartet Q1/2026, Zertifizierung geplant Q4/2027
  • BSI-Grundschutz-Kompatibilität: Unsere Maßnahmen mappen auf die BSI-C5-Kriterien
06 · Verantwortliche Offenlegungdisclosure@cockpitdirs.org

Verantwortliche Offenlegung von Schwachstellen

Findest du eine Sicherheitslücke? Bitte melde sie an disclosure@cockpitdirs.org. Wir bestätigen den Eingang innerhalb von 24 h und geben eine Statusaktualisierung binnen 5 Werktagen. Kein Bug-Bounty-Programm, aber ein Dankeschreiben und Nennung in unseren Release-Notes (auf Wunsch).