
Trust Center
Sicherheit · Compliance · Datenschutz
Wie wir EU-Recht, deine Daten und deine Sicherheit ernst nehmen — transparent dokumentiert.
📋 Compliance auf einen Blick
Brain Werk e.U. entwickelt nach Privacy-by-Design. Hier die Rechtsgrundlagen, die wir adressieren — mit Verweis auf konkrete Artikel.
| Rechtsrahmen | Relevante Artikel | Wo wir es adressieren |
|---|---|---|
| DSGVO (EU 2016/679) | Art. 25 Privacy by Design · Art. 30 Verfahrensverzeichnis · Art. 32 Sicherheit · Art. 33-34 Meldepflicht | Plugin-Architektur ohne Tracking-Cookies, vollständiges Verfahrensverzeichnis (auf Anfrage), TLS+HSTS+CSP+2FA, Incident-Response < 72h |
| NIS2 (EU 2022/2555, ab Okt 2024 in AT) | Art. 21 Risikomanagement · Art. 23 Meldepflicht | ShieldForge implementiert Risk-Management-Controls für KMU/wesentliche Einrichtungen, Anomaly-Engine + Audit-Log nach NIS2-Anforderungen |
| Cyber Resilience Act (CRA, ab 2027 EU-weit) | Art. 13 Sicherheits-Updates · Art. 14 Vulnerability-Handling | Vulnerability-Disclosure-Policy unten, signierte Updates, SBOM (Software Bill of Materials) auf Anfrage |
| Schrems II (EuGH C-311/18) | Drittlandtransfers | Hosting in EU/AT, kein Datenexport in USA. Einzige Subprocessors siehe unten |
| TTDSG (DE) / TKG (AT) | § 25 Cookie-Consent | Keine nicht-essenziellen Cookies, kein Consent-Banner nötig |
🛡️ Sicherheits-Architektur
Transport-Sicherheit
TLS 1.3, HSTS preload-eligible (max-age 2 Jahre), Content-Security-Policy inkl. frame-ancestors 'none', Permissions-Policy.
Authentifizierung
2FA (TOTP, RFC 6238) für alle Admin-Accounts, Brute-Force-Schutz mit IP-Lockout, Session-Pinning, Login-Audit-Mail-Notifications.
Daten-At-Rest
Verschlüsselte Backups (täglich), chmod-600 für Secrets, getrennte DB-User pro Site, Logs nur 30 Tage rotiert.
Code-Sicherheit
Open Source — alle Plugins sind auf wordpress.org auditierbar. Statische Analyse via PHPStan, Secrets-Scanning bei jedem Commit.
Monitoring
5-Min-Watchdog auf alle Live-Services, Mail-Alert bei Ausfällen, automatisierter Recovery-Check, kein Telemetry-Export an Dritte.
Update-Hygiene
Sicherheits-Updates innerhalb 72h, signierte Plugin-Updates ab CRA-Inkrafttreten, automatisierte Dependency-Audits.
🔍 Vulnerability-Disclosure-Policy
Sicherheitslücken in unseren Plugins oder Web-Apps melden Sie bitte verantwortungsvoll an security@brainwerk.at. Wir bestätigen den Eingang innerhalb 24 Stunden, geben einen Lösungszeitplan innerhalb 72 Stunden und veröffentlichen einen Fix vor Disclosure.
- Out-of-Scope: DoS-Angriffe, Social Engineering, Brute-Force gegen Login-Endpoints (das ist normaler Traffic).
- Reward: Aktuell unbezahlt — wir nennen Reporter (mit Zustimmung) im Sicherheits-Hall-of-Fame.
- Responsible Disclosure: Bitte 90 Tage Frist vor Public Disclosure. Bei aktiver Ausnutzung kürzer in Absprache.
- Public Tracking: Behobene Lücken werden mit CVE-ID (sofern zugewiesen) im jeweiligen Plugin-Changelog dokumentiert.
🌍 Datenstandort + Subprocessors
Alle Server stehen in der EU. Folgende Subprocessors verarbeiten Daten in unserem Auftrag:
| Subprocessor | Zweck | Standort | DPA |
|---|---|---|---|
| domainfactory GmbH | Hosting (Server, Backups) | Deutschland (Strato AG / Eltern) | vorhanden |
| Let’s Encrypt (ISRG) | TLS-Zertifikate | USA — Kein PII-Transfer (nur Domainnamen) | n/a |
| nic.at | .at-Domain-Registrierung | Österreich | vorhanden |
Kein Einsatz von: Google Analytics, Facebook Pixel, Hotjar, Cloudflare-Analytics, Stripe, oder anderen Tracking/Marketing-Tools auf brainwerk.at und seinen Subdomains.
📜 SLA + Incident-Response (Enterprise)
- Reaktion bei kritischen Sicherheits-Incidents: 24h (Mail-Bestätigung), 72h (Patch oder Workaround)
- Service-Verfügbarkeit: 99.5% Monatsbasis (best-effort, kein finanzieller Ausgleich im Solo-e.U.-Modell)
- Plugin-Updates: Security-Updates innerhalb 7 Tagen nach CVE-Publikation
- Custom-DPA: Auf Anfrage für Enterprise-Kunden, kostenfrei
- Audit-Logs: Auf Anfrage exportierbar (90 Tage Retention)
📧 Compliance-Kontakt
Datenschutz-Anfragen, DPA, Subprocessor-Listen, Audit-Anfragen:
datenschutz@brainwerk.at
Sicherheits-Schwachstellen melden:
security@brainwerk.at
Letzte Aktualisierung: May 2026 · Stand: DSGVO 2018, NIS2 2024
