Sicherheit ist bei TakeOvr ein fortlaufender Prozess, keine Checkliste. Diese Seite fasst die Kontrollen, Zertifizierungen und Praktiken zusammen, die Kundendaten und die über unsere Plattform fließenden IoT-Telemetriedaten schützen. Für einen vollständigen Sicherheitsfragebogen oder um unsere Liste der Subunternehmer anzufordern, kontaktieren Sie zee@novakhan.com.
Verschlüsselung
Bei der Übertragung. Alle Verbindungen zwischen Geräten, Browsern und TakeOvr-APIs verwenden TLS 1.2 oder höher mit modernen Cipher Suites. HTTP Strict Transport Security (HSTS) wird erzwungen, sobald SSL auf dem öffentlichen Host aktiv ist. Der MQTT-Gerätedatenverkehr wird je nach Hardwarefähigkeit mit TLS-PSK oder X.509-Client-Zertifikaten gesichert.
Im Ruhezustand. Kundendaten, Telemetriedaten und Backups werden mit AES-256 verschlüsselt. Datenbankspeicher und Objektspeicher-Volumes werden mit verwalteten Schlüsseln verschlüsselt, die von unseren Cloud-Anbietern gehalten werden.
Zugriffskontrolle
- Rollenbasierte Zugriffskontrolle (RBAC) mit mandanten- und gruppenbezogenen Berechtigungen.
- Verpflichtendes Single Sign-On (SSO/SAML) für Enterprise-Mandanten; unterstützt Google Workspace, Azure AD, Okta und jeden SAML-2.0-kompatiblen Identitätsanbieter.
- Multi-Faktor-Authentifizierung für alle Konten verfügbar; pro Mandant erzwingbar.
- Der interne Zugriff auf Produktionssysteme ist nach dem Prinzip der geringsten Rechte beschränkt, erfordert SSO plus Hardware-Key-MFA und wird lückenlos protokolliert.
Anwendungssicherheit
- Mandantentrennung wird bei jeder Datenbankabfrage und jeder Serverfunktion durchgesetzt.
- Eingabevalidierung mit typisierten Schemas (Zod) an jeder Grenze.
- Strikte Content Security Policy und Sicherheits-Header (X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy, COOP) auf allen öffentlichen Oberflächen.
- Noindex nach dem Defense-in-Depth-Prinzip auf privaten Routen (Meta-Tag und HTTP-Header).
- Abhängigkeiten werden mit automatisiertem CVE-Scanning überwacht; Sicherheitspatches werden wöchentlich oder bei kritischen Hinweisen früher ausgerollt.
Compliance & Zertifizierungen
TakeOvr ist um ein SOC-2-Typ-II-Kontrollrahmenwerk herum aufgebaut. Konkrete Zertifizierungen und externe Audits sind auf Anfrage unter NDA verfügbar.
Wir richten unsere Datenverarbeitungspraktiken an der EU-Datenschutz-Grundverordnung (DSGVO), dem Datenschutzgesetz der VAE für personenbezogene Daten (Bundesdekretgesetz Nr. 45 von 2021), dem britischen Data Protection Act 2018 und vergleichbaren Regelwerken aus.
Infrastruktur
- Produktions-Workloads laufen in geprüften, nach ISO 27001 / SOC 2 zertifizierten Cloud-Regionen.
- Netzwerksegmentierung trennt Rechenleistung, Datenbank und Edge-Zugang.
- Automatisierte tägliche Backups mit Point-in-Time-Recovery für primäre Datenbanken; Backups werden verschlüsselt und gemäß Richtlinie aufbewahrt.
- Regionale Bereitstellungen sind im Rahmen von Enterprise-Verträgen für Anforderungen an den Datenstandort verfügbar.
Überwachung & Audit-Protokolle
- Rund-um-die-Uhr-Plattformüberwachung mit Bereitschaftsdiensten.
- Zentralisierte, manipulationssichere Audit-Protokollierung für Admin-Aktionen von Mandanten, Authentifizierungsereignisse, Änderungen an Asset-Konfigurationen und Alarmaktivitäten.
- Anomalieerkennung bei Produktionszugriffsmustern und Infrastrukturmetriken.
Reaktion auf Vorfälle
Wir unterhalten einen dokumentierten Incident-Response-Plan mit definierten Schweregraden, RACI-Rollen und externen Kommunikationsverfahren. Von Sicherheitsvorfällen betroffene Kunden werden unverzüglich benachrichtigt, in jedem Fall innerhalb der 72-Stunden-Frist der DSGVO. Der öffentliche Status wird über Statusaktualisierungen kommuniziert, die per E-Mail und auf der Plattform bekanntgegeben werden.
Verantwortungsvolle Offenlegung
Wir begrüßen Meldungen aus der Sicherheitsforschungs-Community. Kontaktdetails finden Sie in unserer security.txt Meldungen in gutem Glauben führen zu keinen rechtlichen Schritten. Wir bestätigen den Eingang innerhalb von 2 Werktagen und beheben kritische Probleme innerhalb von 7 Tagen.
Verantwortlichkeiten des Kunden
Sicherheit ist ein gemeinsames Modell. Als Kunde sollten Sie:
- SSO und MFA für alle Ihre Nutzer erzwingen;
- Rollenzuweisungen nach dem Prinzip der geringsten Rechte einhalten und Zugriffe regelmäßig überprüfen;
- API-Schlüssel und Webhook-Secrets rotieren und ungenutzte Zugangsdaten widerrufen;
- die mandantenspezifische Datenaufbewahrung entsprechend Ihren Compliance-Anforderungen konfigurieren;
- signierte Firmware auf verbundenen Geräten verwenden, sofern vom Hardwarehersteller unterstützt.
Kontakt
Sicherheitsfragebögen, Audit-Anfragen oder ein Sicherheitsanliegen? Schreiben Sie eine E-Mail an zee@novakhan.com oder erreichen Sie uns über das Kontaktformular.