Vertrauensseite

Sicherheit & Compliance — EU-first, US-friendly

MSPercury wird in Deutschland gehostet (Hetzner Nürnberg) und entsprechend DSGVO betrieben — derselbe Stack, der für deutsche IT-Dienstleister gebaut wurde, bedient gleichzeitig US-MSPs sauber. Diese Seite fasst zusammen, was wir wirklich tun und was noch nicht — keine Marketing-Floskeln.

Datenresidenz

Alle Daten EU-gehostet

Sämtliche Produktivdaten liegen ausschließlich im Rechenzentrum von Hetzner Online GmbH in Nürnberg, Deutschland — ISO-27001-zertifiziert, 24/7-Bewachung, kein Zugriff durch Personal Dritter. Kein Replikat in die USA, kein Drittlandtransfer für Kundendaten.

✓ GDPR-konform betrieben (Art. 28 DSGVO).
✓ Auftragsverarbeitungsvertrag (AVV / DPA) auf Anfrage — automatisch für bezahlte Workspaces generiert.
✓ Tägliche Off-site-Backups in Hetzner Storage Box, 30-Tage-Retention.

Verschlüsselung

AES-256-GCM at rest, TLS 1.3 in transit

Daten ruhend mit AES-256-GCM verschlüsselt. Verbindungen ausschließlich über TLS 1.3 mit HSTS (1 Jahr). API-Keys für AI-Integrationen werden BYO behandelt — Ihr Anthropic-, OpenAI- oder Ollama-Key wird pro Workspace verschlüsselt gespeichert und nie zwischen Mandanten geteilt.

✓ TLS 1.3 end-to-end, ältere Protokolle hart deaktiviert.
✓ bcrypt-Passwort-Hashing (cost factor ≥ 12).
✓ AI-API-Keys mandanten-scoped; kein Cross-Tenant-Sharing.

Authentifizierung

PIN-Signup, optional TOTP + Passkey

Standard ist eine reibungsarme PIN-only-Registrierung. Passwort + TOTP-Zweitfaktor sind optional aktivierbar. Magic-Link verifiziert jedes neue Gerät; Session-Cookies sind HttpOnly + Secure + SameSite=Lax. Hardware-Passkeys (WebAuthn) werden unterstützt.

✓ Rate-Limiting auf Login (5 Versuche / 15 Min / IP).
✓ Magic-Link für neue Geräte; Token einmalig + zeitlich begrenzt.
✓ WebAuthn-Passkeys für die phishing-resistente 2FA.

Mandanten-Isolation

Jede Query org-scoped

Jede Datenbank-Query in MSPercury enthält den `organizationId`-Filter. Es gibt keine Cross-Tenant-Joins. Die einzige bewusste Cross-Tenant-Oberfläche ist die Partner-Marketplace-Suche — und die ist explizit read-only auf öffentlich freigegebene Profilfelder beschränkt. Letzter interner Audit: 2026-05-19.

✓ Strikte org-scoped Queries auf ORM-Ebene (Drizzle).
✓ Rollenmodell: Owner / Admin / Mitglied.
✓ Privilegierte Admin-Zugriffe werden protokolliert.

Compliance-Roadmap

GDPR heute, SOC 2 in Vorbereitung

Wir sagen offen, wo wir stehen. GDPR ist heute erfüllt: EU-Hosting, DPA, vollständiger Datenexport, Löschung auf Anfrage. SOC 2 Type I steht für 2027 im Plan. Für US-Healthcare-MSPs unterstützt der Pro-Tarif die operativen Kontrollen, und ein Business Associate Agreement (BAA) ist auf Anfrage erhältlich.

✓ GDPR: ✓ in Betrieb (EU-Hosting, DPA, Datenexport, Löschung).
✓ SOC 2 Type I: geplant für 2027 (Pre-Audit-Phase).
✓ HIPAA-orientierte Workflows: Pro-Tier; BAA auf Anfrage.

Was wir nicht tun

Keine Drittanbieter-Analytik, keine Pixel, kein Datenverkauf

MSPercury lädt keine Google-/Meta-/LinkedIn-Pixel in das Produkt. Keine Drittanbieter-Analytik auf Kundendaten. Keine Vermarktung, kein Weiterverkauf an Werbenetze. Logs werden alle 14 Tage rotiert; es gibt keinerlei Mitarbeiter- oder Endkunden-Überwachungstelemetrie.

✓ Keine Werbe-Pixel im App-Shell.
✓ GA nur auf der öffentlichen Landingpage (transparent in /legal/cookies).
✓ Keine Datenverkäufe, kein Daten-Sharing mit Werbenetzwerken.

Sicherheitslücke melden

Wenn Sie eine Sicherheitslücke gefunden haben, schreiben Sie bitte an security@mspercury.com. Wir bestätigen den Eingang in der Regel innerhalb eines Werktages. Bitte geben Sie uns 90 Tage Zeit, bevor Sie öffentlich darüber berichten — wir koordinieren gerne ein gemeinsames Disclosure-Datum.

Mail an Security-Team DPA / AVV ansehen

Vertrauliche Anfragen können auf Wunsch per PGP verschlüsselt werden — Public Key auf Anfrage.

Letzte Aktualisierung: 2026-05-20. Diese Seite spiegelt unseren aktuellen Betriebsstand; Roadmap-Punkte sind als solche gekennzeichnet.