Sécherheet #
EthicsPortal behandelt sensibel Hiweisgeeberdonnéeën. Dës Säit dokumentéiert déi technesch an organisatoresch Moossnamen.
Zulescht aktualiséiert: 2026-05-17.
Datenverschlësselung #
All sensibel Felder ginn mat Rails Active Record Encryption net-deterministesch verschlësselt.
| Feld | Verschlësselt | Deterministesch |
|---|---|---|
| Meldungsbeschreiwung | Jo | Nee |
| Numm vum Hiweisgeeber | Jo | Nee |
| Kontaktdonnéeë vum Hiweisgeeber | Jo | Nee |
| Messageinhalt | Jo | Nee |
All Verbindungen iwwer HTTPS/TLS.
Anonymitéit #
IP-Anonymiséierung #
EthicsPortal späichert ni IP-Adressen. Portal-Routen benotzen en Einweg-SHA256-Hash ausschliesslech fir Rate-Limiting.
Entfernung vu Dateimetadaten #
| Dateityp | Entferent Metadaten | Method |
|---|---|---|
| Biller (JPEG, PNG, TIFF, WebP) | EXIF, GPS, Kameramodell, Auteur | Vips |
| PDF-Dokumenter | Auteur, Applikatioun, Historique | exiftool |
| Video | GPS, Geräteinfo | exiftool |
| Audio | Geräteinfo, Software-Tags | exiftool |
Virenprüfung #
All Upload gëtt mat ClamAV serversäiteg geprüft.
Anonymitéit vun der Fallbearbechtung #
Hiweisgeeber gesinn ni den echten Numm — just „Fallbearbechtung".
Kee Tracking #
Keng Drëttubidder-Tracking-Cookien, keng Reklamm-Pixel. Cloudflare Web Analytics gëtt nëmme op Marketing-Säite benotzt — cookielos, ouni perséinlech Donnéeën.
Aktuellen Assurance-Status #
EthicsPortal beansprocht op dëser Websäit aktuell keng akkreditéiert ISO-27001-Zertifizéierung. Et publizéiert och aktuell keen onofhängegen Drëtt-Audit vun der Anonymitéitsarchitektur. Wann dat ännert, ginn Ëmfang an Datum hei publizéiert.
Material fir de Sécherheetsreview #
Clienten, déi Material fir Procurement oder juristesche Review brauchen, kënnen et am Kader vum Review ufroen. Disponibelt Material kann eng ënnerschriwwen DPA, Register- a Steierbeleeër, en ausgefëllte Sécherheetsquestionnaire an schrëftlech Äntwerten zu Backup- a Restore-Prozeduren, privilegéierte Production Access an Incident Response ëmfaassen.
Zougangskontroll #
Autoriséierung iwwer Pundit -Richtlinnen.
| Roll | Kann Meldunge kucken | Kann Organisatiounseinstellunge verwalten |
|---|---|---|
| Admin | All Meldungen | Jo |
| Bearbeechter | Just zougewise Meldungen | Nee |
Zwee-Faktor-Authentifizéierung #
TOTP-baséiert 2FA fir Admins a Bearbeechter.
Och Hiweisgeeber authentifizéieren mat zwee Faktoren: Dossier-ID (ongëlleg eleng) a selwergewielte Zougangscode (nëmmen als bcrypt-Hash gespäichert).
Sessiouns-Liewenszyklus #
All authentifizéiert Sessioun späichert last_seen_at bei all Ufro (debounced). Benotzer kënnen hir aktiv Sessiounen iwwerpréiwen, kucken wéini all eng zulescht aktiv war, eng eenzel Sessioun widerrufen oder sech mat engem Klick aus all aneren Sessiounen ausloggen.
Sessiounen verfalen automatesch no 14 Deeg Inaktivitéit. Déi nächst Ufro vun enger inaktiver Sessioun läscht de Server-säitegen Eintrag, läscht de Cookie an erzwéngt eng nei Authentifizéierung iwwer en neie Magic Link. En nuetse Job botzt verloossen Sessiounen no derselwechter Frist, sou datt user_agent an ip_address net iwwer d’Inaktivitéitsfenster eraus opbehale ginn, och wann de Benotzer net méi zréckkënnt.
D’Magic-Link-Authentifizéierung limitéiert d’Stéiergebitt vu laangliewege Sessiounen: e geklauten Sessiouns-Cookie gëtt keng erneit benotzbar Login-Donnéeë an d’Re-Authentifizéierung verlaangt den Zougang op d’E-Mail.
Memberzougang an Offboarding #
Den Zougang zu der Organisatioun gëtt op der Ufrogrenz duerchgesat. Wann e Member deaktivéiert gëtt:
- Den Zougang zu der Organisatioun gëtt direkt refuséiert, och op virdru gespäicherten URLen.
- Oppe Meldungszouweisunge ginn opgehuewen.
- Bedeelegunge ginn entfernt.
- D’Audit-Log-Historique vum Member bleift konservéiert.
- Den deaktivéierte Member gëtt benoricht.
- Eng Reaktivéierung stellt de virege Falle-Zougang net automatesch erëm hier.
De leschten aktiven Admin an de Besëtzer vun der Organisatioun kënnen net deaktivéiert ginn. All Deaktivéierungs- a Reaktivéierungseventer ginn an d’unhängend Audit-Log geschriwwen.
Memberen ouni Compliance-Foussofdrock (keng Audit-Log-Entréen, keng Zouweisungen, keng Bedeelegungen) ginn beim Entfernen hard geläscht; Memberen mat engem Foussofdrock ginn weich deaktivéiert, sou datt d’Audit-Spur opléisbar bleift.
Rate-Limiting #
| Endpunkt | Limit |
|---|---|
| Meldung | 5 pro 10 Minutten |
| Fallabruf | 10 pro 3 Minutten |
| Message | 10 pro 3 Minutten |
Audit a Compliance #
Revisiounsséchert Audit-Protokoll #
All Aktioun mat Zäitstempel (UTC), Akteur an Aktiounstyp. Onveränderbar.
Späicherdauer #
Konfiguréierbar: 12, 24, 36 oder 60 Méint. Automatesch Läschung.
CSRF-Schutz #
Iwwer Rails’ agebauten CSRF-Tokens.
Ofhängegkeets- a Patch-Management #
EthicsPortal setzt keng Softwarekomponenten am End-of-Life-Status an. D’Applikatioun leeft op aktiv ënnerstëtzte Versioune vu Rails, Ruby, PostgreSQL an dem ënnerläffegen Betribssystem; d’Sécherheetsreleases vum Upstream gi laafend agespillt.
D’Ofhängegkeete ginn kontinuéierlech an der Continuous Integration gescannt:
- Brakeman mellt Rails-spezifesch Schwachstellen bei all Ännerung.
- bundler-audit vergläicht de Gemfile bei all Ännerung an zousätzlech all Dag no engem fixe Zäitplang mat der Ruby Advisory Database, sou datt nei verëffentlecht Schwachstellen och ouni Codeännerung erkannt ginn.
importmap auditscannt d’JavaScript-Imports bei all Ännerung an zousätzlech all Dag no engem fixe Zäitplang op bekannten Schwachstellen.- Dependabot mécht wëchentlech Pull Requests fir verâlt Ruby-Gemmen a GitHub Actions op, gruppéiert no Minor-/Patch-Updates.
Komponenten, déi am Upstream den End-of-Life erreechen, ginn ersat oder upgegradéiert, ier hire Support-Zäitraum oflaaft.
Infrastruktur #
| Komponent | Ubidder | Standuert |
|---|---|---|
| Applikatioun an Datebank | Hetzner | Nürnberg, Däitschland (EU) |
| Dateispäicherung | Hetzner Object Storage | Nürnberg, Däitschland (EU) |
| Transaktionell E-Mailen | Mailjet | Frankräich (EU) |
| Bezueelung | Stripe | EU |
Backup a Restore #
EthicsPortal bedreift zwee komplementär Backup-Schichten, déi béid an der EU gespäichert ginn:
| Schicht | Wat | Wou | Späicherung |
|---|---|---|---|
| Datebank | Deeglech verschlësselte PostgreSQL-Dumpen iwwer e Kamal-Accessory | Hetzner Object Storage, Nürnberg (EU) | 7 Deeg |
| Server | Komplett Disk-Snapshots vum Applikatiounsserver | Hetzner Cloud, Nürnberg (EU) | 7 Deeg |
Recovery-Ziler. Recovery Point Objective (RPO) ass 24 Stonnen. Recovery Time Objective (RTO) ass 4 Stonnen. Dës Ziler erschéngen och am Service Level Agreement .
Restore-Tester. Eng Restore-Iwwung gëtt op d’mannst all Trimester an enger ofgrenzter Ëmgéigend ausgefouert. Lescht Iwwung: 2026-05-14.
Verschlësselung. D’Datebank-Dumpe ginn am Rou vu Hetzner Object Storage verschlësselt; Felder, déi op Applikatiounsschicht mat Rails ActiveRecord Encryption verschlësselt sinn, bleiwen am Dump verschlësselt.
Operative Review #
Dës Säit ass eng ëffentlech Sécherheets-Zesummefaassung. En Deel vun den operative Materialien gëtt am Procurement-Review gedeelt an net voll am oppene Web publizéiert, well et Infrastruktur- a Reaktiounsdetailer enthält, déi sech besser fir kontrolléiert Verëffentlechung eegnen.
Themen, déi op Ufro am Procurement-Review disponibel sinn, enthalen ënner anerem:
- Zesummefaassung vum privilegéierte Production Access
- Incident-Response-Workflow an Eskalatiounskontakter
- Äntwerten zu Business Continuity an Customer Offboarding / Export
Verantwortungsvoll Offenlegung #
Melden vu Sécherheetsproblemer un security@ethicsportal.eu . Mir bestätegen bannent 2 Aarbechtsdeeg.
Zulescht aktualiséiert: