Trust Center (ES)

Trust Center

Sicherheit · Compliance · Datenschutz

Wie wir EU-Recht, deine Daten und deine Sicherheit ernst nehmen — transparent dokumentiert.

📋 Compliance auf einen Blick

Brain Werk e.U. entwickelt nach Privacy-by-Design. Hier die Rechtsgrundlagen, die wir adressieren — mit Verweis auf konkrete Artikel.

RechtsrahmenRelevante ArtikelWo wir es adressieren
DSGVO (EU 2016/679)Art. 25 Privacy by Design · Art. 30 Verfahrensverzeichnis · Art. 32 Sicherheit · Art. 33-34 MeldepflichtPlugin-Architektur ohne Tracking-Cookies, vollständiges Verfahrensverzeichnis (auf Anfrage), TLS+HSTS+CSP+2FA, Incident-Response < 72h
NIS2 (EU 2022/2555, ab Okt 2024 in AT)Art. 21 Risikomanagement · Art. 23 MeldepflichtShieldForge implementiert Risk-Management-Controls für KMU/wesentliche Einrichtungen, Anomaly-Engine + Audit-Log nach NIS2-Anforderungen
Cyber Resilience Act (CRA, ab 2027 EU-weit)Art. 13 Sicherheits-Updates · Art. 14 Vulnerability-HandlingVulnerability-Disclosure-Policy unten, signierte Updates, SBOM (Software Bill of Materials) auf Anfrage
Schrems II (EuGH C-311/18)DrittlandtransfersHosting in EU/AT, kein Datenexport in USA. Einzige Subprocessors siehe unten
TTDSG (DE) / TKG (AT)§ 25 Cookie-ConsentKeine nicht-essenziellen Cookies, kein Consent-Banner nötig

🛡️ Sicherheits-Architektur

Transport-Sicherheit

TLS 1.3, HSTS preload-eligible (max-age 2 Jahre), Content-Security-Policy inkl. frame-ancestors 'none', Permissions-Policy.

Authentifizierung

2FA (TOTP, RFC 6238) für alle Admin-Accounts, Brute-Force-Schutz mit IP-Lockout, Session-Pinning, Login-Audit-Mail-Notifications.

Daten-At-Rest

Verschlüsselte Backups (täglich), chmod-600 für Secrets, getrennte DB-User pro Site, Logs nur 30 Tage rotiert.

Code-Sicherheit

Open Source — alle Plugins sind auf wordpress.org auditierbar. Statische Analyse via PHPStan, Secrets-Scanning bei jedem Commit.

Monitoring

5-Min-Watchdog auf alle Live-Services, Mail-Alert bei Ausfällen, automatisierter Recovery-Check, kein Telemetry-Export an Dritte.

Update-Hygiene

Sicherheits-Updates innerhalb 72h, signierte Plugin-Updates ab CRA-Inkrafttreten, automatisierte Dependency-Audits.

🔍 Vulnerability-Disclosure-Policy

Sicherheitslücken in unseren Plugins oder Web-Apps melden Sie bitte verantwortungsvoll an security@brainwerk.at. Wir bestätigen den Eingang innerhalb 24 Stunden, geben einen Lösungszeitplan innerhalb 72 Stunden und veröffentlichen einen Fix vor Disclosure.

  • Out-of-Scope: DoS-Angriffe, Social Engineering, Brute-Force gegen Login-Endpoints (das ist normaler Traffic).
  • Reward: Aktuell unbezahlt — wir nennen Reporter (mit Zustimmung) im Sicherheits-Hall-of-Fame.
  • Responsible Disclosure: Bitte 90 Tage Frist vor Public Disclosure. Bei aktiver Ausnutzung kürzer in Absprache.
  • Public Tracking: Behobene Lücken werden mit CVE-ID (sofern zugewiesen) im jeweiligen Plugin-Changelog dokumentiert.

🌍 Datenstandort + Subprocessors

Alle Server stehen in der EU. Folgende Subprocessors verarbeiten Daten in unserem Auftrag:

SubprocessorZweckStandortDPA
domainfactory GmbHHosting (Server, Backups)Deutschland (Strato AG / Eltern)vorhanden
Let’s Encrypt (ISRG)TLS-ZertifikateUSA — Kein PII-Transfer (nur Domainnamen)n/a
nic.at.at-Domain-RegistrierungÖsterreichvorhanden

Kein Einsatz von: Google Analytics, Facebook Pixel, Hotjar, Cloudflare-Analytics, Stripe, oder anderen Tracking/Marketing-Tools auf brainwerk.at und seinen Subdomains.

📜 SLA + Incident-Response (Enterprise)

  • Reaktion bei kritischen Sicherheits-Incidents: 24h (Mail-Bestätigung), 72h (Patch oder Workaround)
  • Service-Verfügbarkeit: 99.5% Monatsbasis (best-effort, kein finanzieller Ausgleich im Solo-e.U.-Modell)
  • Plugin-Updates: Security-Updates innerhalb 7 Tagen nach CVE-Publikation
  • Custom-DPA: Auf Anfrage für Enterprise-Kunden, kostenfrei
  • Audit-Logs: Auf Anfrage exportierbar (90 Tage Retention)

📧 Compliance-Kontakt

Datenschutz-Anfragen, DPA, Subprocessor-Listen, Audit-Anfragen:
datenschutz@brainwerk.at

Sicherheits-Schwachstellen melden:
security@brainwerk.at

Letzte Aktualisierung: May 2026 · Stand: DSGVO 2018, NIS2 2024