Sicherheit · DSGVO · EU-Hosting

Deine Zahlen.
Europäisch gesichert.

App-Auslieferung und Datenhaltung bleiben in der EU. Sub-Processor werden transparent dokumentiert. Steuerberater und Finanz-Teams sollen NorthProfit ohne Bauchweh einsetzen dürfen.

EU-Hosting. Kein Umweg.

Unsere Primär-Datenbank liegt in Frankfurt, die Anwendung wird über eine EU-Region ausgeliefert. Cross-Border-Daten fließen nur, wenn ein Subprocessor technisch aus den USA reagiert — mit Standard-Vertragsklauseln abgesichert.

Immer verschlüsselt.

Jede Verbindung ist TLS 1.3. Daten ruhen in verschlüsselten Volumes (AES-256). Keys werden nicht in Klartext geloggt und nicht im Frontend-Bundle ausgeliefert.

Least-Privilege by Default.

Mandantendaten sind strikt getrennt. Applikations-Code kann Kundendaten nur über die User-Session sehen, nicht global. Interne Zugriffe sind auditierbar und auf die wenigen nötigen Engineers beschränkt.

Backup, das funktioniert.

Tägliche automatische Datenbank-Backups. RPO ≤ 24h, RTO ≤ 4h. Backups sind geografisch redundant innerhalb der EU gespeichert.

Incident-Response geregelt.

Bei einem sicherheitsrelevanten Vorfall informieren wir betroffene Kunden innerhalb von 72 Stunden — das ist auch die DSGVO-Meldefrist an Aufsichtsbehörden. Post-Mortems veröffentlichen wir bei systemweiten Vorfällen.

Secrets bleiben Secrets.

OAuth-Tokens (Shopify / Ads / DATEV) werden serverseitig gespeichert und nie an den Browser ausgeliefert. API-Keys für unsere eigene API sind rotierbar und scope-gebunden.

Technischer Stack

Konkret, nicht
allgemein.

HostingEU-App-Auslieferung + EU-DatenhaltungEdge-Cache, globales CDN

DatenbankVerschlüsselte EU-DatenbankTägliche Backup-Retention

BackupsTäglich automatisch, verschlüsseltEU-only, geografisch redundant

TransportTLS 1.3 / HSTS für alle VerbindungenKeine self-signed Certs

AuthentifizierungNorthProfit Auth · OAuth 2.0 · 2FA (TOTP)SSO auf Enterprise-Plänen

Session-HandlingHttpOnly, Secure, SameSite=StrictAuto-Revocation bei Key-Änderung

Audit-LogKritische Aktionen 2 Jahre retentionExport via API für Kunden

SecretsServerside-only, nie im BrowserOAuth-Tokens rotierbar

MonitoringError-Tracking (Sentry EU)Öffentliche Statuspage

DeletionDSGVO-konform, 30-Tage WindowValidierter Data-Delete-Flow

Sub-Processors · Stand Juni 2026

Subprocessor-Liste

Für den Betrieb greifen wir auf wenige vertrauenswürdige Dienstleister zurück. Mit jedem haben wir einen AV-Vertrag (Data Processing Agreement) abgeschlossen. Wenn wir einen Subprocessor hinzufügen oder ändern, informieren wir Business-Kunden mit AV mit 30 Tagen Vorlauf.

DienstleisterZweckRegionAV

STRATO (NorthProfit Datenplattform)App-Hosting, primäre Datenhaltung, Authentifizierung, mandantengetrennte ZugriffeFrankfurt (EU)DPA ansehen

StripeAbonnement-Abrechnung (Kunden-Billing NorthProfit → Kunde)Irland (EU) / USA (Zusatzvertrag SCC)DPA ansehen

ResendTransaktionale E-Mails (Login, Rechnungs-Versand, Mahnwesen)USA (SCC)DPA ansehen

Integrations-Status · Transparenz

Shop-Integrations-Matrix

Alle Shop-Integrationen laufen produktiv mit nativen API-Connectoren — Shopify, WooCommerce, Shopware 6, Amazon Seller, TikTok Shop und eBay. Wir listen die jeweilige API-Basis und den Audit-Stand transparent.

IntegrationStatusNachweis

ShopifyLiveOrders/Customers/Payments/Refunds/Disputes · REST Admin 2025-07, Public-App-Review läuft

WooCommerceLiveREST API v3 — code-komplett + Sandbox-verifiziert

Shopware 6LiveStore + Admin API — code-komplett + Sandbox-verifiziert, Plugin im Shopware-Store-Review

Amazon SellerLiveSP-API (Orders, Finances, Returns) — code-komplett + Sandbox-verifiziert

TikTok ShopLiveSeller Center API v202309 — code-komplett + Sandbox-verifiziert

eBayLiveTrading + Sell APIs — code-komplett + Sandbox-verifiziert

Vollständiger Integrations-Katalog (Werbung, Payments, Retention, Logistik, Buchhaltung) →

Compliance-Status

Compliance-Status

Wir listen hier ehrlich auf, was aktiv belegt ist. Kein Label ohne Nachweis.

DSGVO / GDPRAktiv
Datenverarbeitung EU-zentriert, AV-Verträge verfügbar
AV-Vertrag (Art. 28 DSGVO)Aktiv
Auf Anfrage als PDF; für Business-Kunden standardmäßig
AVV + DPA abgeschlossenAktiv
Standardvertragsklauseln (SCC) für US-SubprocessorAktiv

Security-Fragen?

Dein CISO darf
direkt schreiben.

Pentest-Reports, Architektur-Diagramme, Incident-Historie, AV-Vertrag — alles auf Anfrage (NDA).

security@northprofit.eu Vollständige Datenschutz-Erklärung

Responsible-Disclosure bevorzugt. Wir antworten innerhalb von 2 Werktagen.

Deine Zahlen.Europäisch gesichert.

Unsere Sicherheits-Prinzipien