Sicherheit & Datenschutz
Restaurant-Daten in der EU. Backups in der Schweiz.
Wie Kapy Restaurant-Daten schützt: Hosting in Europa, Schweizer Backups, FADP-konforme Verarbeitung und ein offenes Responsible-Disclosure-Programm. Diese Seite richtet sich an Restaurant-Inhaber, Investoren und Sicherheitsforscher.
- Eingabe-Pfad bleibt EU/CH — kein Hop über US-Cloud
- Multi-Tenant-Isolation per Postgres-RLS, DB-enforced
- Tägliche verschlüsselte Backups in der Schweiz
Hosting & Datenstandort
Zwei Anbieter, beide in Europa.
Die Kapy-Infrastruktur läuft auf zwei voneinander getrennten Anbietern in Europa, beide GDPR/FADP-konform und nach ISO 27001 zertifiziert. Restaurant-Bestelldaten verlassen die EU/CH-Region nicht.
Verschlüsselung
TLS auf der Leitung. AES-256 auf der Disk.
Daten unterwegs und im Ruhezustand sind verschlüsselt. Lizenz-Tokens sind Ed25519-signiert, Passwörter mit Argon2id gehasht.
- Transport: TLS 1.2+ erzwungen (HSTS preload, max-age 1 Jahr). HTTP wird per 301 auf HTTPS umgeleitet.
- At rest: Datenbank-Volumes verschlüsselt (LUKS/AES-256). Backups vor dem Transport zur zweiten Region nochmals verschlüsselt.
- Lizenz-Tokens: Ed25519-signierte JWTs mit kurzer Gültigkeit, Online-Verifikation gegen api.kapy.ch.
- Passwörter: Argon2id mit pro-User-Salt, kein reversibles Hashing.
Backup & Disaster Recovery
RTO < 4 h. RPO < 1 h.
Geo-Redundanz primär Frankfurt, Backup-Kopien in Schweizer Region. Restore-Tests vierteljährlich auf Staging.
- Automatische tägliche Datenbank-Backups, 30 Tage Retention.
- Stündliche WAL-Archivierung — Point-in-Time-Recovery auf jede Sekunde der letzten 7 Tage.
- Geo-Redundanz: Primär Frankfurt, Backup-Kopien in Schweizer Region.
- RTO (Recovery Time Objective): < 4 h. RPO (Recovery Point Objective): < 1 h.
- Restore-Tests vierteljährlich auf Staging-Umgebung.
Zugriffskontrolle
Multi-Tenant per RLS. SSH per Key.
Cross-Tenant-Zugriff ist auf DB-Ebene technisch ausgeschlossen, nicht nur in der App. SSH zur Infrastruktur nur per Public-Key.
- SSH-Zugriff: nur Public-Key-Auth (Ed25519), keine Passwörter, MFA für administrative Konten.
- Anwendungs-Login: rollenbasiert (Inhaber / Manager / Mitarbeiter / Fahrer), Passwort-Mindestlänge 12 Zeichen.
- Multi-Tenancy: jedes Restaurant hat eine isolierte Datenbank-Schicht, Cross-Tenant-Zugriff technisch ausgeschlossen.
- Audit-Logs: Anmeldungen, Lizenzaktivierungen und administrative Aktionen werden dauerhaft protokolliert.
Software-Updates
CVE-Patches in 48 h.
Kapy folgt einem definierten Update-Zyklus. CI-Pipeline mit npm audit und automatischen Dependabot-PRs.
- Sicherheits-Patches: innerhalb von 48 h nach Bekanntwerden einer relevanten CVE.
- OS / Kernel: wöchentlich automatische Updates auf den Hetzner-Servern.
- Anwendungs-Releases: Liefersoftware-Client erhält Auto-Updates, Versionsnummer in den Einstellungen.
- Dependency-Audit: CI-Pipeline mit npm audit + automatische Dependabot-PRs.
Compliance
FADP. DSGVO. MWSTG. GoBD.
Auftragsverarbeitungs-Vertrag (AVV / DPA) auf Anfrage. Datenexporte (DSAR) bearbeiten wir innerhalb von 14 Tagen kostenlos.
Sub-Processors
Vollständige Liste der Auftragsverarbeiter.
Änderungen werden 30 Tage im Voraus auf dieser Seite angekündigt. Was hier nicht steht: Google Analytics, Facebook Pixel, AWS, GCP, US-CRM. Bewusst nicht.
Responsible Disclosure
Sicherheitslücke entdeckt? Schreib uns vertraulich.
Wenn du eine Sicherheitslücke entdeckst, melde sie bitte vertraulich, bevor du sie öffentlich machst. PGP-Key auf Anfrage. Bestätigung innerhalb von 48 h, Status-Update spätestens nach 7 Tagen, Fix-Veröffentlichung mit Credit (sofern gewünscht).
- Sicherheits-Kontakt: [email protected]
- Maschinenlesbar: /.well-known/security.txt (RFC 9116)
- Aktuell kein bezahltes Bug-Bounty, aber Hall-of-Fame-Eintrag für jede ernsthafte Meldung
- Letzte Aktualisierung dieser Seite: 30. April 2026
DPA · Datenexport · Sicherheitsfragen