eazypos.

Sicherheit

Hosted in EU. Verschlüsselt. Auditiert.

eazypos. läuft ausschließlich in europäischen Rechenzentren. Daten werden at-rest und in-transit verschlüsselt, Row-Level-Security isoliert jeden Tenant. ISO-27001-Zertifizierung ist Roadmap-Punkt für 2027.

Datenschutz-DetailsKontakt Sicherheits-Team
  • EU-Hosting
  • TLS 1.3
  • AES-256 at-rest
  • DSGVO-konform

Grundlagen

Sechs Ebenen, auf denen Sicherheit passiert.

EU-Hosting

Primär-Region Supabase Frankfurt (AWS eu-central-1). Backup-Region Irland (eu-west-1). Keine Daten verlassen den EWR. Datenverarbeitungsverträge (DPA) liegen vor.

Verschlüsselung

TLS 1.3 für alle Verbindungen. Daten at-rest mit AES-256. Storage-Buckets separat verschlüsselt pro Tenant. TSE-Kommunikation zusätzlich mit Hardware-Security-Modul der Swissbit.

Row-Level-Security

Postgres RLS isoliert jeden Tenant auf Datenbank-Ebene. Serverseitige Policies, keine Client-Logik. Auch wenn eine API versehentlich falsch queryed — die Datenbank gibt nur die Zeilen raus, die der Nutzer sehen darf.

Audit-Log

Jeder sicherheitsrelevante Vorgang (Login, Permission-Change, Storno, Impersonation) landet im audit.audit_log. Unveränderlich, GoBD-konform, bei Bedarf als DSGVO-Auskunft exportierbar.

Zugriffs-Kontrolle

Rollen-basiertes Berechtigungs-Modell (RBAC). Granulare Permissions. SSO ab Filialist-Tarif (SAML, OIDC). PIN-Override mit Audit für Schichtleiter-Eskalation.

Incident-Response

24/7-Pager-Rotation für Security-relevante Vorfälle. Öffentliches Security-Kontakt-Postfach (siehe unten), PGP-Schlüssel publik. Transparente Post-Mortems auf status.eazy-pos.de.

DSGVO-Compliance

Was wir als Auftragsverarbeiter liefern.

  • Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO — Standard, unterschriftsreif, kein Extrapreis.
  • Datenschutz-Folgenabschätzung (DSFA)verfügbar für Betriebe, die eine eigene Prüfung dokumentieren müssen.
  • Auskunfts- und Löschrechte als API-Endpunkte und Self-Service im Backoffice.
  • Sub-Auftragsverarbeiter vollständig aufgelistet: Supabase (Frankfurt), Resend (Paris), Stripe (Dublin) — alle mit EU-Hosting oder SCC.

ISO-Roadmap

Zertifizierung in Planung.

  • 2026 Q2. Internes Security-Controls-Audit nach ISO-27001-Structure (ohne formale Zertifizierung).
  • 2026 Q4. Externes Vulnerability-Assessment durch zertifiziertes Prüfunternehmen.
  • 2027 Q2. ISO-27001-Zertifizierung Stufe 1.
  • 2027 Q4. ISO-27001-Zertifizierung Stufe 2, Testat veröffentlicht.

Für Enterprise-Kunden ist eine individuelle SOC-2-Type-2- Vorbereitung in Absprache möglich.

Responsible Disclosure

Sicherheitslücke gefunden? Melden Sie sich.

Wenn Sie eine potenzielle Sicherheitslücke entdecken, schreiben Sie bitte an security@eazy-pos.de — mit oder ohne PGP-Schlüssel. Wir reagieren innerhalb von 48 Stunden, binden Sie als Reporter in den Fix-Prozess ein und nennen Sie im Post- Mortem, wenn Sie das wünschen. Bug-Bounty-Programm ist Roadmap für 2027.

Mehr Details zur Datenverarbeitung?

Die vollständige Datenschutzerklärung listet alle Sub-Auftragsverarbeiter, Speicherdauern und Rechtsgrundlagen auf.

Datenschutz lesenStatus-Seite