Cookie preferences

YARDtwin uses essential cookies for authentication and session management. We don’t currently set analytics or marketing cookies, but our cookie policy categorises them ahead of any future change. Read our Privacy Policy, GDPR Policy, and Cookie Policy.

Sicherheit bei YARDtwin

Wie wir Kundendaten schützen, die Plattformverfügbarkeit gewährleisten und die Anforderungen von EU GMP Annex 11, 21 CFR Part 11 und GDPR erfüllen.

Bewertung 4,8/5,00 Pentest-BefundeEU/EEA DatenstandortGDPR-konform

Plattform & Hosting

YARDtwin läuft auf Microsoft Azure mit Compute in Norway East und Sweden Central für Daten, Registry und Geheimnisse. Alle Kundendaten verbleiben innerhalb der EU/EEA, konform mit GDPR Artikel 44–49.

App Service (Linux Container) — Norway East
Azure PostgreSQL Flexible Server — Sweden Central
Azure Blob Storage — Norway East, private Container
Azure Key Vault — Sweden Central, RBAC-gesteuert
Azure Front Door + WAF — Präventionsmodus
Log Analytics + Microsoft Sentinel — 90 Tage Aufbewahrung

Netzwerk- & Transportsicherheit

Maßnahme	Umsetzung	Status
TLS	TLS 1.3 mit AES-256-GCM über Azure	Verifiziert
WAF	Azure Front Door WAF (Präventionsmodus)	Aktiv
HSTS	2 Jahre max-age mit Preload	Verifiziert
Nur HTTPS	App Service erzwungen	Verifiziert
Datenbank-Firewall	Nur Azure + Administrator-IP-Allowlist	Verifiziert

Authentifizierung & Zugriffskontrolle

Maßnahme	Umsetzung	Status
Passwortrichtlinie	Mind. 8 Zeichen, Groß-/Kleinbuchstaben, Zahl, Sonderzeichen	Durchgesetzt
Datenleck-Prüfung	HIBP k-Anonymitäts-Abfrage bei Registrierung / Änderung	Aktiv
MFA	TOTP (Google/Microsoft Authenticator)	Verfügbar
SSO/SAML	SAML 2.0 (Azure AD, Okta, Google Workspace)	Aktiv
Brute-Force-Schutz	5 Versuche, 15-minütige Sperrung (429)	Aktiv
JWT-Token	1 Stunde Zugriff, 7 Tage Aktualisierung	Aktiv
RBAC	8 Rollen mit routenbasierter Durchsetzung	Aktiv
Mandantenisolierung	Jede Abfrage gefiltert nach tenant_id	Verifiziert

Datenschutz

Maßnahme	Umsetzung	Status
Verschlüsselung im Ruhezustand	Azure PostgreSQL AES-256	Aktiv
Verschlüsselung bei der Übertragung	TLS 1.3	Aktiv
Passwort-Hashing	bcrypt (12 Runden)	Aktiv
Parametrisiertes SQL	154 Abfragen, 0 Verkettungen	Verifiziert
Geheimnisse	Azure Key Vault	Aktiv
Audit-Trail	Nur-Anhänge-Modus, ALCOA+-konform	Aktiv

Content Security Policy

Strikte CSP mit anforderungsspezifischen Nonces für Skripte (kein unsafe-inline). Vollständiger Satz an Sicherheits-Headern bei jeder Antwort: HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy.

Tests & Validierung

Unabhängiger Penetrationstest am 17.–18. April 2026 (10 OWASP-Kategorien, 36 Payloads): 0 Schwachstellen.Funktionaler Sicherheitstest am 11. April 2026 mit über 1.890 API-Aufrufen in 270 Terminen: 0 Fehler.Jährlicher externer Penetrationstest geplant und SOC 2 Type II-Prüfung in Bearbeitung.

Compliance

EU GMP Annex 11 — Datenintegrität (ALCOA+), Nur-Anhänge-Audit-Trail, elektronische Aufzeichnungen, Zugriffskontrolle, validiert
21 CFR Part 11 — Elektronische Aufzeichnungen, Audit-Trail, Zuordnung, Siegelkette der Custody
GDPR — Datenportabilität (JSON + CSV), DSAR-Workflow, Einwilligungsverfolgung, ausschließlich EU/EEA-Datenhaltung
SOC 2 Type II — Prüfung in Bearbeitung

Dokumente & Vorlagen

Auftragsverarbeitungsvertrag (DPA) Vorlage — zur unternehmensinternen Prüfung & Unterzeichnung
GDPR-Richtlinie
Datenschutzrichtlinie
security.txt

Verantwortungsvolle Offenlegung

Wir begrüßen Meldungen von Sicherheitsforschern. Senden Sie eine E-Mail an admin@yardtwin.commit einer Beschreibung des Befundes und den Schritten zur Reproduktion. Wir bestätigen den Eingang innerhalb von 2 Werktagen und beheben kritische Probleme in der Regel innerhalb von 7 Tagen. Bitte veröffentlichen Sie Sicherheitslücken nicht, bevor wir die Möglichkeit zur Behebung hatten.

Zuletzt aktualisiert: April 2026 · yardtwin.com

Hallo! Starten Sie Ihre kostenlose Testversion in 2 Minuten – ich helfe Ihnen bei der Einrichtung!