Sicherheit auf Unternehmensniveau ohne die Komplexität eines Unternehmens
Firma.dev schützt Ihre Dokumente mit Verschlüsselung auf Bankniveau, strengen Zugriffskontrollen und einer compliance-bereiten Infrastruktur. Entwickelt für Teams, die Sicherheit ohne den Beschaffungsaufwand benötigen.
Infrastruktur
Firma.dev läuft auf AWS-Infrastruktur in der Europäischen Union
AWS behält SOC 2 Typ II, ISO 27001 und HIPAA Zertifizierungen. Alle Kundendaten werden in Rechenzentren in der EU gespeichert.
Backups werden alle 60 Sekunden mit point-in-time-Recovery durchgeführt. Alle Backups sind verschlüsselt und werden in der EU gespeichert. Eine vollständige Versionsgeschichte ist für jedes Dokument verfügbar.
Der Systemstatus ist öffentlich unter status.firma.dev. Wir bieten derzeit keine formellen SLAs an.
Verschlüsselung
Authentifizierung und Zugriffskontrolle
API-Authentifizierung
Alle API-Anfragen erfordern schlüsselbasierte Authentifizierung. Ratenbegrenzungen schützen vor Missbrauch. Details zu Ratenbegrenzungen ansehen.
Dashboard-Anmeldung
Google- und GitHub-SSO werden unterstützt. Die rollenbasierte Zugriffskontrolle ermöglicht es Kontoinhabern, festzulegen, was Teammitglieder sehen und tun können.
Kundenarbeitsbereiche
Signer-Sicherheit
Firma.dev schützt Unterzeichner während des gesamten Unterzeichnungsprozesses
Einzigartige Signierlinks
Jeder Unterzeichner erhält eine einzigartige URL, die mit seiner Signaturanfrage verknüpft ist. Links können von anderen Unterzeichnern nicht geteilt oder wiederverwendet werden.
Linkablauf
Signierlinks laufen standardmäßig nach 7 Tagen ab. Sie können benutzerdefinierte Ablaufzeiträume (in Stunden) beim Erstellen von Vorlagen konfigurieren.
Für Implementierungsdetails siehe die Dokumentation zur Anforderungsunterzeichnung.
Webhook-Sicherheit
Alle Webhook-Anfragen werden mit HMAC SHA-256 signiert.
Jede Anfrage enthält:
X-Firma-Signaturemit deinem aktuellen SignaturgeheimnisX-Firma-Signature-Oldmit deinem vorherigen Geheimnis während der 7-tägigen Rotationsfrist
Du kannst dein Signaturgeheimnis vom Dashboard abrufen und es über die API rotieren. Überprüfe immer Webhook-Signaturen, um Spoofing zu verhindern. Siehe den Webhooks-Leitfaden.
Prüfpfade
Identität des Unterzeichners und E-Mail-Adresse
Zeitstempel jeder Aktion (angesehen, unterzeichnet, abgeschlossen)
IP-Adresse des Unterzeichners
Dokument-Hash zur Manipulationserkennung
Einwilligungsnachweis, der die Zustimmung des Unterzeichners bestätigt
Abschlussstatus und Zertifikatserstellung
Audit-Protokolle können nicht geändert oder gelöscht werden. Sie können sie über die API für Compliance-Überprüfungen, rechtliche Streitigkeiten oder interne Audits abrufen.
Einhaltung
Gültigkeit der elektronischen Unterschrift
Firma.dev produziert rechtsverbindliche elektronische Signaturen unter:
ESIGN-Gesetz und UETA (Vereinigte Staaten)
Elektronische Signaturen sind rechtlich gleichwertig mit handschriftlichen Signaturen für die meisten Transaktionen.
eIDAS SES und AdES (Europäische Union)
Firma.dev unterstützt einfache elektronische Signaturen und fortgeschrittene elektronische Signaturen mit manipulationssicheren Prüfpfaden und Signiererkennung.
UK eIDAS (Vereinigtes Königreich)
Elektronische Signaturen bleiben nach dem geltenden EU-Recht gültig.
Datenschutz
Die Zustimmung des Unterzeichners wird erfasst und aufgezeichnet, bevor eine Signatur angewendet wird.
DSGVO (Europäische Union)
Alle Daten werden in der EU gespeichert. Firma.dev agiert als Datenverarbeiter in Ihrem Auftrag. Eine Datenverarbeitungsvereinbarung steht allen Kunden zur Verfügung. Wir unterstützen bei Anfragen von betroffenen Personen nach Bedarf.
HIPAA (Vereinigte Staaten)
Firma.dev läuft auf HIPAA-konformer AWS-Infrastruktur, was es für gesundheitsbezogene Dokumente geeignet macht. Wenn Sie eine Business Associate Agreement benötigen, kontaktieren Sie den Support.
Sicherheitsstandards
Firma.dev ist mit SOC 2-Prinzipien im Hinterkopf entwickelt. SOC 2 Typ II und ISO 27001 Zertifizierungen sind auf unserer Roadmap.
Langzeit-Signaturvalidierung (PAdES B-LTA)
Jedes signierte Dokument enthält ein PAdES B-LTA-Signaturprofil. Das bedeutet, dass Signaturen fälschungssicher und über 30 Jahre lang vollständig selbstvalidierend sind, ohne nach der Signierung von externen Zertifizierungsstellen oder Online-Validierungsdiensten abhängig zu sein.
Alle erforderlichen Validierungsdaten (Zertifikate, Widerrufsinformationen und Zeitstempel) werden zum Zeitpunkt der Signierung direkt in das PDF eingebettet.
Datenverarbeitung & Speicherung
Datenverarbeitungsvereinbarung
Eine Datenverarbeitungsvereinbarung ist für alle Kunden hier verfügbar. Gegenzeichnung Kopien sind auf Anfrage erhältlich. Kontaktieren Sie den Support.
Datenaufbewahrung und Löschung
Dokumente werden auf unbestimmte Zeit aufbewahrt, es sei denn, Sie fordern die Löschung an. Kunden können jederzeit die vollständige Löschung ihres Kontos und ihrer Daten anfordern.
Personalzugangskontrolle
Der Zugriff auf Kundendaten ist auf spezifisches Firma.dev-Personal beschränkt. Das Betrachten von Dokumenteninhalten erfordert explizite Kontoberechtigung.
Sicherheitstests und Incident Response
Wir beschäftigen Vollzeit-Penetrationstester und Code-Reviewer, um Schwachstellen zu identifizieren, bevor sie in die Produktion gelangen. Interne Richtlinien zur Vorfallsreaktion sind vorhanden und werden regelmäßig getestet.
Firma.dev
VS
D
DocuSign
Verantwortliche Offenlegung
Wir begrüßen Schwachstellenberichte von Sicherheitsforschern. Wenn Sie ein potenzielles Sicherheitsproblem entdecken, kontaktieren Sie uns bitte unter security@Firma.dev. Wir prüfen alle Berichte und antworten umgehend.
