Sicherheit & Qualitätsmanagement

Tirugo-Kundenportal und -Infrastruktur erfüllen die Sicherheitsanforderungen industrieller B2B-Kunden. Diese Seite dokumentiert unsere technischen und organisatorischen Massnahmen – transparent und überprüfbar.

Swiss nDSG 2023 konform TLS 1.3 AES-256 Argon2id 2FA verpflichtend OWASP ASVS Level 2 Audit-Log 7 Jahre ISO 27001 ready

Ihre Daten bleiben in Europa

Wir betreiben ausschliesslich Infrastruktur in der EU und der Schweiz. Kein US-Cloud-Hosting, keine Datenübermittlung in unsichere Drittstaaten.

  • Primärer Serverstandort: Hetzner Online GmbH, Rechenzentrum Falkenstein und Nürnberg (Deutschland). ISO 27001 zertifiziert, DSGVO-konform.
  • E-Mail-Versand (transaktional): Resend, Inc. – EU-Region Irland. SPF, DKIM und DMARC aktiv auf tirugo.ch.
  • Backup-Standort: Verschlüsselte Offsite-Backups bei einem Schweizer Anbieter (Details auf Anfrage bei Audit).
  • Keine Drittland-Übermittlung ausser für Cloudflare Turnstile (Bot-Schutz, keine Personendaten übertragen – ausschliesslich Challenge-Token).
  • Schweizer nDSG 2023 konform. DSGVO konform für Kunden aus dem EU/EWR-Raum.

Defense in Depth

Mehrschichtige Sicherheit – jede Ebene schützt unabhängig, auch wenn andere Ebenen versagen.

01

Transportverschlüsselung

TLS 1.3 mit TLS 1.2 als Fallback. Perfect Forward Secrecy. HSTS mit Preload-Einreichung. Keine veralteten Ciphers, keine SSLv3/TLSv1.0/1.1. CAA-DNS-Records beschränken Zertifikatsausstellung auf Let's Encrypt.

02

Passwort-Sicherheit

Argon2id mit 64 MB Memory-Cost, 3 Iterationen, 4 Threads – der OWASP-empfohlene Password-Hashing-Algorithmus. Passwörter werden nie im Klartext gespeichert. Bei Neuregistrierung: Breach-Check gegen HaveIBeenPwned via k-Anonymity.

03

Zwei-Faktor-Authentifizierung

Verpflichtend für alle Portal-Accounts. Zeitbasierte Einmalpasswörter (TOTP nach RFC 6238) – kompatibel mit Google Authenticator, Microsoft Authenticator, Authy, 1Password, Bitwarden. Passkeys/WebAuthn als Alternative in Vorbereitung.

04

Session-Management

Opaque Session-Tokens (serverseitig gespeichert). HttpOnly, Secure, SameSite=Strict. Automatischer Logout nach Inaktivität (15 Min Admin, 30 Min Kunde, 12 h Monteur). Aktive Sessions im Nutzer-Profil einsehbar, Remote-Logout möglich.

05

Verschlüsselung at rest

LUKS-Festplattenverschlüsselung (AES-256) auf dem Hetzner-Server. Dokumente zusätzlich serverseitig (SSE-S3) verschlüsselt. Datenbank-Backups mit separatem Schlüssel verschlüsselt.

06

Autorisierung

Row-Level-Security auf PostgreSQL-Ebene – der Datenbank-Kernel filtert Zugriffe pro Rolle. Application-Layer-Checks zusätzlich (Defense in Depth). Alle IDs als UUID v7 – kein Enumeration-Angriff möglich.

07

Security-Headers & CSP

Content-Security-Policy Level 3, Strict-Transport-Security mit Preload, Permissions-Policy restriktiv, alle OWASP-Secure-Headers aktiv. Rating: securityheaders.com A+.

08

Rate-Limiting & Bot-Schutz

Mehrstufige Rate-Limits: pro Endpoint, pro IP, pro Account. Cloudflare Turnstile gegen fortgeschrittene Bots. Crowdsec für kollaborative Angriffserkennung. Account-Lockout nach 5 Fehlversuchen mit exponentiellem Backoff.

09

Input-Validation

Strict Pydantic-Schemas, keine „extra fields allowed". Parametrisierte SQL-Queries (asyncpg). Output-Encoding via Jinja2 Auto-Escape. File-Uploads: Magic-Bytes-Check statt Extension-Check, Re-Encoding durch Pillow (EXIF-Strip), PDF-Sanitizing via qpdf.

Überwachung, Protokollierung, Wiederherstellung

Sicherheit endet nicht bei der Implementierung. Fortlaufende Beobachtung, Protokollierung und Wiederherstellungsfähigkeit sind essenziell.

Permanentes Monitoring

Zentrale Logs via Loki und Grafana. Alerts bei: fehlgeschlagenen Logins (5+ in 5 Min), ungewöhnlichen Download-Volumina, neuen Prozessen unter dem Service-User, Konfigurationsänderungen an PostgreSQL oder nginx. Externes Uptime-Monitoring.

Unveränderliches Audit-Log

Jede schreibende Aktion und jeder Dokumenten-Zugriff wird protokolliert: Nutzer-ID, Aktion, Entität, Zeitstempel, IP-Hash, User-Agent-Hash, Request-ID. Die Log-Tabelle ist append-only (Datenbank-Trigger verhindert UPDATE/DELETE). Zusätzlich Hash-Chain – jedes Log-Event enthält SHA-256-Hash des vorigen. Täglich GPG-signiert und offsite gesichert. Retention: 7 Jahre gemäss Schweizer OR.

Backup-Strategie (3-2-1)

Drei Kopien der Daten, auf zwei verschiedenen Medien, eine davon offsite in der Schweiz. Tägliche inkrementelle PostgreSQL-Backups (WAL-E). Wöchentliche vollständige MinIO-Snapshots der Dokumente. Monatlicher automatisierter Restore-Test. RPO 24 Stunden, RTO 4 Stunden.

Intrusion Detection

Crowdsec am Host – Open-Source-Nachfolger von Fail2ban mit kollaborativer Threat-Intelligence. Automatisches Blocken bekannter Angreifer-IPs.

Patch-Management

Automatisierte Security-Updates (unattended-upgrades) für Betriebssystem und kritische Pakete. Dependency-Scanning in CI (pip-audit, Safety). Monatliche manuelle Review aller Dependencies.

Admin-Zugriffe

Nur via WireGuard-VPN auf einem separaten Management-Interface. Kein öffentliches SSH. SSH-Keys statt Passwörter, kein Root-Login. Jeder administrative Zugriff protokolliert.

Prozesse und Standards

Entwicklung

Code-Reviews verpflichtend (2-Augen-Prinzip). Static Analysis in CI: Bandit, Semgrep mit OWASP-Rules, Ruff. Automatisierte Tests vor jedem Deployment. Staging-Umgebung identisch zu Production. Dokumentierter Release-Prozess mit Rollback-Plan. Branch-Protection: signierte Commits, Pflicht-Reviews auf main.

Sicherheitsaudits

Interne Pen-Tests vor jedem Major-Release (OWASP ZAP, Burp Suite Community). Jährliches externes Pen-Test durch eine Schweizer Firma. Responsible-Disclosure-Policy öffentlich unter /security-policy.html.

Incident Response

Dokumentiertes Incident-Response-Playbook. Datenpannen-Meldeprozess: Meldung an EDÖB innerhalb 72 Stunden bei meldepflichtigen Vorfällen. Kunden-Benachrichtigung bei relevanten Sicherheitsvorfällen ohne Verzögerung. Post-Mortem und Lessons-Learned dokumentiert.

Zertifizierungspfad

Aktuell: OWASP ASVS Level 2 konform (Self-Assessment).
In Vorbereitung: ISO 27001 Zertifizierung (geplante Einreichung in Vorbereitung).
Evaluation: SOC 2 Type II.

Für Ihre Compliance-Abteilung

Wir unterstützen Ihre IT-Audits und Beschaffungsprozesse mit vorbereiteten Dokumenten und direkter Kommunikation.

Auf Anfrage verfügbar:

  • Tirugo Security Whitepaper – technische Dokumentation der Sicherheitsarchitektur (PDF, NDA-gebunden)
  • Verzeichnis der Bearbeitungstätigkeiten (VBT) – gemäss nDSG
  • Auftragsdatenverarbeitungsvertrag (ADV/DPA) – Vorlage für Datenverarbeitung zwischen Tirugo und Ihrem Unternehmen
  • SOC-2-Report – in Evaluation

Detaillierte Sicherheitsdokumentation für Ihre IT-Abteilung

E-Mail: security@tirugo.ch

Unsere Verpflichtungen

Die Tirugo-Sicherheitssiegel visualisieren konkrete technische und organisatorische Massnahmen. Es sind keine externen Zertifikate, sondern Selbstverpflichtungen zu überprüfbaren Standards.

nDSG konform

Schweizer Datenschutzgesetz 2023. Prüfbar via Datenschutzerklärung + VBT.

TLS 1.3

Transport-Verschlüsselung aktuell. Prüfbar via ssllabs.com.

AES-256

Verschlüsselt gespeichert. Prüfbar im Pen-Test, interne Doku.

Argon2id

Password-Hashing OWASP-konform. Prüfbar im Pen-Test + Code-Review.

2FA-Pflicht

Zweiter Faktor verpflichtend. Prüfbar via Demo-Login + Policy.

OWASP ASVS L2

Application Security Verification Standard Level 2. Self-Assessment, optional extern.

Audit-Log 7 J.

Unveränderliches Protokoll mit Hash-Chain. Prüfbar im Demo + Code-Review.

ISO 27001 READY

In Vorbereitung. Prozesse nach ISO-27001-Anforderungen; formale Zertifizierung in Planung.

Wichtiger Hinweis: Das ISO-27001-Siegel ist ausdrücklich als "READY / IN VORBEREITUNG" markiert. Tirugo ist aktuell nicht ISO-27001-zertifiziert. Die formale Zertifizierung ist in Planung.

Sicherheitsfragen? Wir antworten.

IT-Audits & Grosskundenanfragen

Persönlicher Termin mit dem Tirugo-Security-Verantwortlichen: Anfrage an security@tirugo.ch.

Transparenz-Bericht

Wir kommunizieren offen zu Sicherheitsthemen. Diese Liste wird vierteljährlich aktualisiert.

Meldepflichtige Datenpannen seit Portal-Launch0
Letzter externer Pen-TestPortal noch nicht öffentlich – Pen-Test nach Go-Live geplant
Offene Security-Advisories0
Letzter Audit-Log-Integrity-CheckPortal noch nicht live; Hash-Chain-Verifikation ab Go-Live
Uptime Homepage letzte 12 MonateEchte Werte ab Trust-Center-Launch – Messung via externes Monitoring

Wir kommunizieren Sicherheitsvorfälle offen, auch wenn sie uns betreffen. Diese Transparenz ist Teil unseres Qualitätsversprechens.