Skip to main content
HomeSicherheit
Sicherheits-Controls · Evidenz in Arbeit

Wir verwalten deine Keys. Niemals dein Geld.

PipSync hält Broker-API-Credentials in einem verschlüsselten Store, routet Orders über isolierte Bridges und berührt niemals Kundengeld. Dein Broker bleibt dein Verwahrer. Immer.

Zugangsdaten-Eingang

TLS · HSTS-fähiges Deployment
OAuth 2.0 / API-Key-Flow
Nur Trading-Berechtigung — keine Auszahlungsrechte
IP-Allowlist (optional)
Keine Passwortspeicherung
AES-GCM-Speicher

Ausführungs-Ausgang

Dedizierte Broker-Bridge
Auf den Workspace begrenzter Schlüsselkontext
Signiert + mit Zeitstempel
Anomalie — automatische Pause
Vollständiges Audit-Protokoll
Vertrauenskontrollen

Entwickelt für Trader, die die Doku lesen.

Jede Kontrolle unten ist standardmäßig aktiv. Keine Sternchen, keine Enterprise-only-Paywalls für die Grundlagen.

AES-GCM im Ruhezustand

Sensible Zugangsdaten nutzen eine app-verwaltete AES-GCM-Verschlüsselung. KMS-gestützte Rotation ist als Produktionshärtung erfasst.

TLS bei der Übertragung

HTTPS-fähiges Deployment, sichere Cookies, HSTS-Konfiguration und die Ablehnung von Legacy-TLS gehören zum Produktionsprofil.

Risiko-Engine standardmäßig aktiv

Tägliches DD-Limit, Risiko % pro Trade, Symbol-Whitelist, News-Event-Blocker.

Audit-Protokoll

Kritische Konto-, Abrechnungs-, Rollen- und Trading-Aktionen schreiben strukturierte Audit-Events für die Prüfung durch Betreiber.

Mandantentrennung

Auf den Workspace begrenztes RBAC und serverseitige Query-Guards sind vorhanden; die Härtung auf DB-Ebene bleibt ein erfasstes Launch-Gate.

Sicherungsmechanismen

Rate-Limits pro Quelle, pro Broker, pro Konto. Automatische Pause bei Anomalien.

EU-first-Bereitschaft

EU-Deployment, DPA-/Unterauftragsverarbeiter-Prüfung und SCC-Nachweise werden vor dem Launch als rechtliche Vorbereitungsarbeit behandelt.

Compliance-Roadmap

Wo wir stehen, wohin wir gehen.

Wir sind klein und stehen ehrlich dazu. Hier ist jeder Compliance- und Audit-Meilenstein — aktenkundig.

Q2 2026
Kontrollinventar

Interne Kontrollen, Evidenz-Verantwortliche und Bereitschaftslücken werden vor dem externen Audit dokumentiert.

Q3 2026
Externe Bereitschaftsprüfung

Unabhängige Prüfung, ob die Audit-Nachweise vollständig genug sind, um mit der Zertifizierungsarbeit zu beginnen.

offen
SOC 2 Type I

Nicht verfügbar, bis ein unabhängiger Auditor einen Bericht ausstellt.

offen
ISO 27001

Die Zertifizierung bleibt nicht verfügbar, bis die Stufen-Audits abgeschlossen sind.

Live-Status

Betrieb, öffentlich einsehbar.

Die Produktions-Statusseite ist als Launch-Gate verdrahtet; Live-Telemetrie wird veröffentlicht, sobald die Deployment-Umgebung angebunden ist.

Router-Kern

Letzter Vorfall: vor 42 Tagen

Nachverfolgt
MT4/5-Bridge

Letzter Vorfall: vor 18 Tagen

Nachverfolgt
cTrader-Bridge

Keine Vorfälle in 90 Tagen

Nachverfolgt
KI-Parser

Letzter Vorfall: vor 7 Tagen

Nachverfolgt
Verschlüsselung der Zugangsdaten

KMS-Härtung ausstehend

Nachverfolgt
Dashboard

Letzter Vorfall: vor 3 Tagen

Nachverfolgt
90-Tage-Bereitschaft
Belegbasierte Verfügbarkeit wird nach dem Launch veröffentlicht
Ausstehend

Sicherheitsfragebogen?

Auf Anfrage teilen wir den aktuellen Sicherheitsfragebogen, das Kontrollinventar und den DPA-Entwurf. SOC 2-, Pen-Test- und Unterauftragsverarbeiter-Nachweise sind als ausstehend markiert, bis sie extern validiert wurden.