Sicherheit & Compliance.
Wie Cockpit21 deine Dirs21 Cockpit-Daten schützt: Hosting, Verschlüsselung, Backups, Zugriffsrechte, DSGVO. Ohne Marketing-Buzzwords — nur was wir konkret tun, wenn du über den Dirs21 Cockpit Login einen Token teilst.
Hosting-Architektur
Keine Datenverarbeitung außerhalb der EU. Kein US-Cloud, kein UK-Anbieter (Post-Brexit), kein Drittland-Transfer.
Verschlüsselung
In transit
Alle Verbindungen über TLS 1.3 mit Perfect Forward Secrecy. Zertifikats-Pinning gegen die offiziellen Dirs21-Endpunkte, um Man-in-the-Middle auszuschließen.
At rest
Alle Dirs21-API-Tokens aus deinem Dirs21 Cockpit Login und alle personenbezogenen Daten AES-256-verschlüsselt in einem separaten Secrets-Vault. Schlüssel im Hardware-HSM (Frankfurt).
Passwörter
Passwörter unserer Kund*innen mit Argon2id (memory-hard) gehasht. Wir speichern nie Passwörter im Klartext.
Backups & Restore
- Tägliches Snapshot-Backup der primären Datenbank (Frankfurt)
- Zweite Kopie in Warschau, dritte in Helsinki — 3-2-1-Regel
- Aufbewahrung 30 Tage rollierend, quartalsweiser Restore-Test
- Restore-SLA: RPO < 15 min, RTO < 4 h
Zugriffe & interne Rollen
- Zugriff auf Produktionssysteme nur über MFA mit Hardware-Key (YubiKey)
- Rollenbasierte Zugriffskontrolle (Ops · Support · Solutions)
- Kein SSH-Passwort-Login, nur SSH-Keys über zentralen Vault
- Vollständiges Audit-Log — auf Anfrage für Auditor*innen einsehbar
- Automatische Session-Ablauf-Zeit 30 min inaktiv
Compliance-Status
- DSGVO-konform: Verantwortlicher & DSB benannt, AVV-Vorlagen, Datenschutz-Folgeabschätzung dokumentiert
- PCI-DSS out-of-scope: Wir sehen keine Kartennummern (Stripe.js Tokenisierung)
- ISO 27001: Vorprojekt gestartet Q1/2026, Zertifizierung geplant Q4/2027
- BSI-Grundschutz-Kompatibilität: Unsere Maßnahmen mappen auf die BSI-C5-Kriterien
Verantwortliche Offenlegung von Schwachstellen
Findest du eine Sicherheitslücke? Bitte melde sie an disclosure@cockpitdirs.org. Wir bestätigen den Eingang innerhalb von 24 h und geben eine Statusaktualisierung binnen 5 Werktagen. Kein Bug-Bounty-Programm, aber ein Dankeschreiben und Nennung in unseren Release-Notes (auf Wunsch).