Sicherheitsrichtlinie

Zuletzt aktualisiert: 1. Dezember 2024

Bei Apilium Corp OU ist Sicherheit grundlegend für alles, was wir entwickeln. Als Entwickler selbst verstehen wir die kritische Bedeutung des Schutzes Ihres Codes und Ihrer Daten. Diese Sicherheitsrichtlinie beschreibt unseren umfassenden Ansatz zur Sicherung von Apilium Forge IDE und allen zugehörigen Diensten.

1. Unser Sicherheitsversprechen

Wir verpflichten uns zu:

  • Schutz der Vertraulichkeit, Integrität und Verfügbarkeit Ihres Codes und Ihrer Daten
  • Niemals Ihren Code zum Training von KI-Modellen ohne ausdrückliche Einwilligung zu verwenden
  • Implementierung branchenführender Sicherheitskontrollen und Best Practices
  • Transparenz über unsere Sicherheitspraktiken durch diese Richtlinie
  • Kontinuierliche Überwachung, Tests und Verbesserung unserer Sicherheitslage
  • Prompte und transparente Reaktion auf Sicherheitsvorfälle

Zertifizierungen und Bewertungen

Wir pflegen die folgenden Sicherheitszertifizierungen und unterziehen uns regelmäßigen Bewertungen:

  • SOC 2 Type II Zertifizierung (in Bearbeitung)
  • Jährliche Penetrationstests durch Dritte
  • Kontinuierliche Schwachstellenscans
  • Regelmäßige Sicherheitsaudits durch unabhängige Firmen

Detaillierte Sicherheitsberichte sind unter apilium.com/security verfügbar

2. Infrastruktursicherheit

Code-Datenfluss

Wenn Sie Apilium Forge IDE verwenden, fließt Ihr Code durch unsere sichere Infrastruktur:

  • Ihr Code wird während der Übertragung mit TLS 1.3 verschlüsselt
  • Anfragen werden über unsere Backend-Server verarbeitet, die auf AWS gehostet werden
  • KI-Verarbeitung wird von unseren Modellanbietern mit Null-Aufbewahrungsvereinbarungen durchgeführt
  • Bei aktiviertem Datenschutzmodus wird kein Klartext-Code nach Abschluss der Anfrage gespeichert

Infrastrukturpartner

Primäre Infrastruktur

  • AWS (Amazon Web Services) - Primäre Cloud-Infrastruktur (US- und EU-Regionen)
  • Cloudflare - DDoS-Schutz, WAF und CDN-Dienste
  • Google Cloud Platform - Sekundäre/Backup-Infrastruktur

KI-Modellanbieter

Wir arbeiten mit führenden KI-Anbietern zusammen, alle mit Null-Datenaufbewahrungsvereinbarungen für Datenschutzmodus-Nutzer:

  • Anthropic (Claude-Modelle)
  • OpenAI (GPT-Modelle)
  • Maßgeschneiderte feinabgestimmte Modelle auf sicherer Infrastruktur

3. Technische Sicherheitsmaßnahmen

Verschlüsselung

Daten bei Übertragung: Alle Daten, die zwischen Apilium Forge und unseren Servern übertragen werden, sind mit TLS 1.3 mit starken Cipher-Suites verschlüsselt

Daten im Ruhezustand: Alle gespeicherten Daten sind mit AES-256-GCM-Verschlüsselung verschlüsselt

Verschlüsselungsschlüssel werden mit AWS KMS mit automatischer Rotation alle 90 Tage verwaltet

Für Enterprise-Kunden bieten wir Ende-zu-Ende-Verschlüsselung an, bei der nur Sie die Entschlüsselungsschlüssel besitzen

Zugriffskontrollen

  • Multi-Faktor-Authentifizierung (MFA) für alle Mitarbeiterkonten erforderlich
  • Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn) für privilegierten Zugriff
  • Rollenbasierte Zugriffskontrolle (RBAC) mit Prinzip der geringsten Berechtigung
  • Just-in-Time-Zugriffsbereitstellung für Produktionssysteme
  • Vierteljährliche Zugriffsüberprüfungen und sofortige Deaktivierung bei Ausscheiden
  • IP-Allowlisting und VPN-Anforderungen für administrativen Zugriff

Netzwerksicherheit

  • Web Application Firewall (WAF) mit benutzerdefinierten Regelsätzen
  • Enterprise-Grade DDoS-Mitigation (Cloudflare Magic Transit)
  • Netzwerksegmentierung mit privaten Subnetzen für sensible Dienste
  • Intrusion Detection/Prevention Systeme (IDS/IPS)
  • Kontinuierliche Netzwerkverkehrsüberwachung und Anomalieerkennung
  • Regelmäßige externe und interne Penetrationstests

Anwendungssicherheit

  • Secure Software Development Lifecycle (SSDLC) mit Sicherheits-Gates
  • Obligatorische Code-Reviews mit sicherheitsfokussierter Checkliste
  • Static Application Security Testing (SAST) in der CI/CD-Pipeline
  • Dynamic Application Security Testing (DAST) für bereitgestellte Anwendungen
  • Software Composition Analysis (SCA) für Abhängigkeitsschwachstellen
  • Regelmäßige Sicherheitsschulungen für alle Entwickler
  • Schutz gegen OWASP Top 10 und SANS Top 25 Schwachstellen

Client (IDE) Sicherheit

Apilium Forge IDE wurde mit Sicherheit im Fokus entwickelt:

  • Code-signierte Binärdateien für alle Plattformen (Windows, macOS, Linux)
  • Automatische Sicherheitsupdates mit Rollback-Fähigkeit
  • Sandboxed Extension-Ausführungsumgebung
  • Lokale Verschlüsselung von gecachten Daten und Anmeldeinformationen
  • Konfigurierbarerer Netzwerkzugriff mit Allowlist-Domains
  • Unterstützung für .apiliumignore zum Ausschluss sensibler Dateien von der KI-Verarbeitung

4. Organisatorische Sicherheit

Mitarbeiter-Sicherheitsschulungen

Alle Apilium-Mitarbeiter durchlaufen umfassende Sicherheitsschulungen:

  • Sicherheitsbewusstseinsschulung beim Onboarding
  • Vierteljährliche Sicherheitsschulungs-Updates und -Bewertungen
  • Monatliche Phishing-Simulationsübungen
  • Rollenspezifische Sicherheitsschulungen für Ingenieure
  • Jährliche Incident-Response-Tabletop-Übungen

Sicherheitsrichtlinien

Wir pflegen und setzen umfassende Sicherheitsrichtlinien durch:

  • Informationssicherheitsrichtlinie und -standards
  • Acceptable Use und Zugriffskontrollrichtlinien
  • Incident Response und Kommunikationsplan
  • Business Continuity und Disaster Recovery Plan
  • Anbieter-Sicherheitsbewertungsanforderungen
  • Datenklassifizierungs- und Handhabungsrichtlinien
  • Change Management und Release-Verfahren

Mitarbeiterüberprüfung

Alle Mitarbeiter mit Zugang zu Kundendaten durchlaufen Hintergrundüberprüfungen entsprechend ihrer Rolle und Zuständigkeit und unterzeichnen Vertraulichkeitsvereinbarungen.

5. Datenschutzmodus-Sicherheitsgarantien

Wenn der Datenschutzmodus in Apilium Forge aktiviert ist (standardmäßig aktiviert), bieten wir folgende Sicherheitsgarantien:

  • Keine Datenaufbewahrung bei allen KI-Modellanbietern
  • Kein Klartext-Code wird auf unseren Servern über die unmittelbare Anfrageverarbeitung hinaus gespeichert
  • Ihr Code wird nie zum Training von KI-Modellen verwendet
  • Alle KI-Anfragen enthalten durchgesetzte Datenschutz-Header (x-privacy-mode)
  • Anfragen verwenden standardmäßig datenschutzerhaltenes Verhalten bei fehlenden Headern
  • Codebase-Indizierung speichert nur verschleierte Embeddings, keinen Klartext-Code

Enterprise-Datenschutzoptionen

  • On-Premises-Bereitstellung für vollständige Datenhoheit
  • Dedizierte Infrastruktur, isoliert von anderen Kunden
  • Benutzerdefinierte Datenresidenzanforderungen (nur EU, bestimmte Regionen)
  • Bring-your-own-Key (BYOK) Verschlüsselung
  • Private Netzwerkkonnektivität (AWS PrivateLink, VPN)

6. Datenschutz

Datenklassifizierung

Wir klassifizieren alle Daten basierend auf Sensibilitätsstufe:

  • Öffentlich: Marketingmaterialien, öffentliche Dokumentation
  • Intern: Interne Prozesse, nicht-sensible Geschäftsdaten
  • Vertraulich: Kundenkontodaten, Support-Kommunikation
  • Eingeschränkt: Kundencode, Anmeldeinformationen, Sicherheitskonfigurationen

Backup und Wiederherstellung

Wir pflegen robuste Backup- und Disaster-Recovery-Fähigkeiten:

  • Verschlüsselte, geografisch verteilte Backups
  • Point-in-Time-Wiederherstellung für Datenbanken (bis zu 35 Tage)
  • Recovery Time Objective (RTO): 4 Stunden
  • Recovery Point Objective (RPO): 1 Stunde
  • Vierteljährliche Disaster-Recovery-Tests
  • Multi-Region-Failover-Fähigkeit

7. Sicherheitsvorfall-Reaktion

Incident Response Prozess

Wir folgen einem strukturierten Incident-Response-Prozess:

  • Erkennung: 24/7 automatisierte Überwachung und Alarmierung
  • Triage: Sicherheitsteam-Bewertung innerhalb von 15 Minuten
  • Eindämmung: Sofortige Isolierung betroffener Systeme
  • Untersuchung: Ursachenanalyse und Auswirkungsbewertung
  • Beseitigung: Entfernung der Bedrohung und Systemhärtung
  • Wiederherstellung: Kontrollierte Wiederherstellung der Dienste
  • Post-Mortem: Lessons Learned und Prozessverbesserungen

Benachrichtigung bei Sicherheitsverletzungen

Im Falle einer Sicherheitsverletzung, die Ihre Daten betrifft, verpflichten wir uns zu:

  • Benachrichtigung betroffener Nutzer innerhalb von 72 Stunden nach bestätigter Verletzung
  • Klare Details darüber, welche Daten betroffen waren
  • Erklärung der Maßnahmen, die wir zur Behebung des Vorfalls ergreifen
  • Anleitung zu Schritten, die Sie zu Ihrem Schutz unternehmen können
  • Benachrichtigung relevanter Aufsichtsbehörden wie gesetzlich vorgeschrieben
  • Regelmäßige Updates, bis der Vorfall behoben ist

8. Schwachstellen-Offenlegungsprogramm

Wir pflegen ein verantwortungsvolles Offenlegungsprogramm und begrüßen Sicherheitsforschung.

Im Geltungsbereich

  • Apilium Forge IDE (alle Plattformen)
  • api.apilium.com und alle Subdomains
  • portal.apilium.com (Kundenportal)
  • apilium.com (Website)

Wie melden

Wenn Sie eine Sicherheitsschwachstelle entdecken:

  • E-Mail an [email protected] mit detaillierten Schwachstelleninformationen
  • Schritte zur Reproduktion, potenzielle Auswirkungen und Proof-of-Concept angeben
  • Für sensible Berichte unseren PGP-Schlüssel verwenden (verfügbar auf unserer Sicherheitsseite)
  • Bis zu 90 Tage für die Behebung vor öffentlicher Offenlegung einräumen

Unser Versprechen

Wir verpflichten uns gegenüber Sicherheitsforschern zu:

  • Empfangsbestätigung innerhalb von 24 Stunden
  • Erste Bewertung innerhalb von 5 Werktagen
  • Information über den Behebungsfortschritt
  • Nennung in unseren Sicherheitsdanksagungen (sofern keine Anonymität gewünscht)
  • Keine rechtlichen Schritte bei gutgläubiger Sicherheitsforschung

Wir bieten Belohnungen für qualifizierende Schwachstellen. Kontaktieren Sie uns für aktuelle Programmdetails.

9. Drittanbieter-Sicherheit

Anbieter-Sicherheitsanforderungen

Alle Anbieter mit Zugang zu Kundendaten müssen unsere Sicherheitsanforderungen erfüllen:

  • Vollständiger Sicherheitsfragebogen und Risikobewertung
  • SOC 2 Type II oder gleichwertige Zertifizierung
  • Datenverarbeitungsvertrag (DPA) mit DSGVO-konformen Klauseln
  • Jährliche Sicherheitsüberprüfung und Rezertifizierung
  • Sofortige Benachrichtigungsanforderungen bei Verletzungen

Unterauftragsverarbeiter

Aktuelle Unterauftragsverarbeiter mit Zugang zu Kundendaten:

  • AWS (Infrastruktur) - US/EU
  • Anthropic, OpenAI (KI-Modelle) - US mit Null-Aufbewahrung
  • Stripe (Zahlungsabwicklung) - US/EU
  • Cloudflare (CDN/Sicherheit) - Global
  • MongoDB Atlas (Datenbank) - EU
  • SendGrid (E-Mail) - US

Wir benachrichtigen Kunden 30 Tage vor dem Hinzufügen neuer Unterauftragsverarbeiter. Aktuelle Liste verfügbar unter apilium.com/compliance

10. Physische Sicherheit

Unsere Infrastruktur wird in Enterprise-Grade-Rechenzentren mit umfassender physischer Sicherheit gehostet:

  • 24/7/365 Sicherheitspersonal und Videoüberwachung
  • Multi-Faktor physische Zugriffskontrollen (biometrisch + Badge)
  • Mantrap-Eingangssysteme und Besucherbegleitungspflicht
  • Umgebungskontrollen (Brandbekämpfung, Klimakontrolle, USV, Generatoren)
  • SOC 2 Type II zertifizierte Einrichtungen
  • Regelmäßige physische Sicherheitsaudits

11. Richtlinien-Updates

Wir überprüfen diese Sicherheitsrichtlinie vierteljährlich und aktualisieren sie, um Änderungen in unseren Sicherheitspraktiken, Technologie und Vorschriften widerzuspiegeln. Wesentliche Änderungen werden per E-Mail an alle Nutzer kommuniziert.

12. Kontaktinformationen

Bei sicherheitsbezogenen Fragen oder zur Meldung von Sicherheitsproblemen:

Company: Apilium Corp OU

Address: Tallinn, Estland

Sicherheitsteam: [email protected]

PGP-Schlüssel: Verfügbar unter apilium.com/security

Trust Center: apilium.com/security

Allgemeine Anfragen: [email protected]