Sicherheit & Compliance

Der Luchs bewacht, was nicht in falsche Hände darf.

DSGVO-konforme Datenminimierung, GoBD-revisionssichere Archivierung, automatische §14-UStG-Prüfung und konsequente PCI-Scope-Minimierung — ein Compliance-Fundament, das für DACH-Enterprises prüfungs- und auditfest ist.

EU
Hosting & Backups
0
gespeicherte PAN
10 J.
GoBD-Aufbewahrung
Append-only
Audit-Trail

Vertrauen, das im Datenmodell verankert ist

Sicherheit ist bei Belegluchs kein Anhang, sondern Architektur. Jede Säule ist konkret im Code und im Schema durchgesetzt.

DSGVO & AVV

Belegluchs ist Auftragsverarbeiter nach Art. 28 DSGVO. Vor Produktivnutzung schließen wir einen AVV inklusive transparenter Unterauftragsverarbeiter-Liste.

  • Standard-AVV nach Art. 28 DSGVO
  • TOM nach Art. 32 (Verschlüsselung, RBAC, Trennung)
  • Betroffenenrechte: Auskunft, Berichtigung, Löschung
  • Datenminimierung im Datenmodell verankert

GoBD-revisionssicher

Belege werden unveränderbar und nachvollziehbar archiviert — vom Beleg zur Buchung und zurück, lückenlos über die gesamte Aufbewahrungsfrist.

  • WORM/Object-Lock-Archivierung (ARCHIVED)
  • Datei-Integrität über fileHash
  • Erklärbares Matching (Match.signals)
  • Verfahrensdokumentation als Baustein

§14-UStG-Prüfung

Jeder Beleg wird bei der Extraktion automatisch auf die Pflichtangaben nach §14 Abs. 4 UStG geprüft — damit kein Vorsteuer-Euro im Haus verloren geht.

  • isTaxCompliant + maschinenlesbare complianceIssues
  • Prüfung von USt-IdNr, Rechnungsnummer, Steuersätzen
  • Kleinbetragsregelung (§33 UStDV) berücksichtigt
  • Betragsplausibilität in Cent (nie Floats)

EU-Hosting

Sämtliche Primärdaten — Datenbank, Object-Storage, Queues, Backups — liegen ausschließlich in der EU, Standard Deutschland. Keine Drittlandübermittlung.

  • PostgreSQL, S3 & Redis in der EU
  • Anthropic über EU-Endpunkt, Zero-Retention
  • US-Subdienstleister nur mit SCC (z. B. Stripe)
  • Backups verschlüsselt, EU-Region

Verschlüsselung

Daten sind in Transit und at-rest geschützt. Downloads laufen ausschließlich über kurzlebige, tenant-geprüfte presigned URLs.

  • TLS 1.2+ (Ziel 1.3), HSTS, signierte Webhooks
  • AES-256 at-rest für DB & Backups
  • Server-Side-Encryption für alle Dateien
  • Presigned, ablaufende Download-URLs

Kein PAN — nur last4

Eine vollständige Kartennummer wird nie gespeichert, verarbeitet oder übertragen. Das ist architektonisch ausgeschlossen, nicht nur Policy.

  • Card hält ausschließlich last4 (kein PAN-Feld)
  • Kein CVV, keine Spurdaten
  • PSP (Stripe) hält Mandate via Hosted Fields
  • Ziel-Scope SAQ-A (PCI-DSS)

Mandantentrennung

Organization ist die Tenant-Wurzel. Jede Abfrage auf Tenant-Daten ist hart mit der orgId der aktiven Organisation gefiltert.

  • requireContext() / requirePermission() erzwungen
  • Kein Cross-Tenant-Zugriff möglich
  • onDelete: Cascade auch im Löschpfad sauber
  • RBAC: OWNER, ADMIN, FINANCE, MANAGER, CARDHOLDER

Audit-Trail

Jede Mutation schreibt einen unveränderlichen AuditLog-Eintrag — das zentrale Beweismittel für DSGVO-Rechenschaft und GoBD-Nachvollziehbarkeit.

  • Append-only: kein Update, kein Delete
  • action, actorId, target, Vorher/Nachher-diff
  • ip & userAgent für Forensik
  • 10 Jahre Aufbewahrung

Funktionstrennung (SoD)

Wer eine Ausgabe verursacht, gibt sie nicht selbst final frei. Das Vier-Augen-Prinzip ist technisch erzwungen, nicht nur empfohlen.

  • APPROVED → EXPORTED nur durch FINANCE
  • Mehrstufige Approvals (Manager → Finance)
  • Least-Privilege via can(role, permission)
  • Quartals-Access-Reviews vorgesehen

Ein Regelwerk-Mapping ohne Lücken

Belegluchs unterliegt gleichzeitig DSGVO, GoBD, §14 UStG und den Grundsätzen von PCI-DSS — und erfüllt jedes davon konkret.

DSGVO Art. 28Auftragsverarbeitungsvertrag

Standard-AVV inkl. Subprozessor-Liste, vor Produktivnutzung verpflichtend

DSGVO Art. 32Technische & organisatorische Maßnahmen

Verschlüsselung at-rest/in-transit, RBAC, Mandantentrennung, Audit-Trail

GoBD + §147 AOUnveränderbarkeit, 10 J. Aufbewahrung

AuditLog, fileHash, WORM-Storage, Verfahrensdokumentation

§14 UStGPflichtangaben auf Rechnungen

Automatische Prüfung via isTaxCompliant + complianceIssues

PCI-DSS (SAQ-A)Kein Speichern voller PAN

Architektonisch ausgeschlossen — nur last4, PSP hält Mandate

DSGVO Art. 5/17Datenminimierung & Löschkonzept

last4 statt PAN, Lösch-Jobs, GoBD-konforme Sperrfristen

Transparenz

Unterauftragsverarbeiter, offen gelegt

Jeder eingesetzte Subprozessor ist vertraglich auf gleichwertige Schutzmaßnahmen verpflichtet — und seine Hosting-Region transparent. Für die Belegextraktion nutzen wir ausschließlich Endpunkte mit Zero-Data-Retention; Belegtexte werden nie zum Training verwendet.

SubprozessorZweckRegion
Hosting/Compute (Hetzner / AWS eu-central-1)App, PostgreSQL, RedisDE / EU
Object-Storage (S3-kompatibel, EU)Beleg- & Statement-DateienEU
Anthropic (Claude API)Belegextraktion, Zero-RetentionEU-Endpunkt
Stripe (Billing-PSP)Mandat & Einzug der Abo-GebührEU/Global, SCC
E-Mail-Versand (Inbound/Outbound)Belegeingang & NachforderungenEU
Anweso (digitise-IT)SSO, Mitarbeiter- & Reise-SyncEU
Roadmap

ISO 27001 & SOC 2 — der Weg ist gesteckt

Unser ISMS richtet sich an ISO/IEC 27001 und SOC 2 (Type II) aus. Die Phasen vom Fundament bis zum Zertifikat sind definiert und in Umsetzung.

  1. 1
    Phase 1
    Fundament

    Asset-/Risiko-Register, Policies, Vendor-Management

  2. 2
    Phase 2
    SOC-2 Readiness

    Type-I-Assessment, Gap-Remediation, Control-Tooling

  3. 3
    Phase 3
    SOC-2 Type II

    6-Monats-Beobachtung, externes Type-II-Audit

  4. 4
    Phase 4
    ISO 27001

    Stage-1/2-Audit, Zertifikat + Surveillance

Responsible Disclosure: Sicherheitslücken melden Sie unter security@belegluchs.com (siehe /.well-known/security.txt). Jährliche externe Pen-Tests mit Fokus auf Mandantentrennung sind Teil unseres Programms.

Kein Beleg entkommt — und kein sensibles Datum gerät außer Kontrolle.

Sie evaluieren Belegluchs für Ihre Compliance-Abteilung? Wir stellen AVV, Verfahrensdokumentation und das vollständige Subprozessor-Register bereit.