Sicherheit

Sicherheit bei nueprice

Cloud-Kunden erhalten bei nueprice einen eigenen, physisch getrennten Server in Deutschland. Diese Seite beschreibt die konkreten Sicherheitsmaßnahmen für Mandantentrennung, Zugriff, Monitoring, Backups, Schwachstellenmanagement, Entwicklung und Updates.

Sicherheitskontakt Disclosure Policy

Kurzüberblick

7 Sicherheitsaspekte

  • Eigener physisch getrennter Server pro Kunde
  • Hosting in Deutschland
  • SAML2-SSO möglich
  • Rollen, Policies und API-Tokens
  • Security-Monitoring mit MITRE ATT&CK-Einordnung
  • Verschlüsselte Backups und prüfbare Wiederherstellung
  • SBOM und Schwachstellenmanagement
Kurzüberblick

Sicherheitsmaßnahmen auf einen Blick

Der Kurzüberblick zeigt die wichtigsten Schutzmaßnahmen über Produkt, Betrieb und Entwicklungsprozess hinweg. Detailnachweise stellen wir bei Bedarf im Rahmen Ihres Security- oder Datenschutzprozesses bereit.

Hosting & Standort

Von nueprice betriebene Cloud-Systeme laufen in Deutschland bei einem deutschen Infrastrukturbetreiber. Die genutzten deutschen Standorte sind nach ISO/IEC 27001:2022 zertifiziert.

Physische Mandantentrennung

Jeder Cloud-Kunde erhält einen eigenen, physisch getrennten Server. Zusätzlich werden Anwendung, Datenbank, Cache, Sessions, Persistenz und Netzwerksegmente je Kundenumgebung getrennt betrieben.

Identität & Berechtigungen

nueprice unterstützt SAML2-SSO oder Passwortlogin, nutzt rollenbasierte Berechtigungen und erlaubt widerrufbare API-Tokens.

Erkennung & Transparenz

Security-, System- und Verfügbarkeitsereignisse laufen in einer zentralen Übersicht zusammen: Log-Alarme, CVE-Überblick, Serververfügbarkeit, Datei-Integritätsprüfungen, Systeminventar und Containerereignisse.

Backups & Wiederherstellung

Der Backup-Prozess erstellt temporäre Datenbank-Dumps, speichert verschlüsselte und deduplizierte Snapshots in getrennten Repositories und stellt Dry-Run- sowie Konfigurationsprüfungen für operative Prüfungen bereit.

Schwachstellenmanagement

Abhängigkeiten bleiben über Lockfiles und SBOM nachvollziehbar. Automatische Schwachstellenhinweise und eine öffentliche Disclosure Policy strukturieren Prüfung und Meldung.

Architektur

Mandantentrennung und Datenfluss

nueprice wird als containerisierte Webanwendung betrieben. Die Trennung findet nicht erst in der Datenbanklogik statt, sondern beginnt mit einem eigenen, physisch getrennten Server pro Kunde.

Kundeninstanz

Jede verwaltete Kundenumgebung läuft auf einem eigenen, physisch getrennten Server und erhält eine eigene Applikationsinstanz mit dedizierten Diensten.

  • Eigener physisch getrennter Server pro Kunde
  • Eigene Applikationslaufzeit pro Instanz
  • Eigene Datenbank pro Instanz
  • Eigene Cache-, Queue- und Session-Dienste
  • Getrennte Netzwerksegmente für Applikation und Reverse Proxy

Netzwerk & TLS

Der öffentliche Zugriff läuft über Reverse Proxy und HTTPS; interne Dienste sind nicht direkt öffentlich erreichbar.

  • Automatisierte TLS-Zertifikate
  • HTTP wird auf HTTPS weitergeleitet
  • Reverse Proxy und Anwendung setzen Sicherheitsheader
  • Host-Firewall mit Beschränkung auf erforderliche Dienste

Datenablage

Persistente Daten liegen in Datenbank- und Applikationsvolumes; Dateien werden privat gespeichert.

  • Private Dateiuploads mit akzeptierten MIME-Typen und Größenlimits
  • Verschlüsselte Speicherung von Anwendung-Secrets
  • Kunden- und Umgebungsdaten werden nicht in öffentlichen Buckets abgelegt
Zugriff

Identität, Rollen und API-Zugriff

Sicherheit im Produkt folgt dem Least-Privilege-Prinzip: Nutzer erhalten Rollen, Rollen enthalten konkrete Berechtigungen, und kritische Aktionen werden über Policies geprüft.

SSO oder Passwortlogin

nueprice kann gegen einen SAML2 Identity Provider angebunden werden. MFA, Passwortregeln und Joiner-Mover-Leaver-Prozesse können bei SSO über Ihren IdP gesteuert werden. Alternativ steht Passwortauthentifizierung mit sicheren Passwortregeln zur Verfügung.

Granulare Rollen

Berechtigungen steuern unter anderem Artikel, Preise, Szenarien, Exporte, Veröffentlichungen, Einstellungen, Nutzer, Rollen, Secrets, Preislisten und Modulrechte.

API-Tokens

API-Zugriffe laufen über persönliche Tokens. Tokens werden pro Nutzer benannt, können widerrufen werden und zeigen den letzten Nutzungszeitpunkt.

Betrieb

Hardening, Monitoring und Wiederherstellung

Die Infrastruktur wird als Code verwaltet. So bleiben Serverrollen, Container, Firewalls, Monitoring-Agenten und Betriebsdienste reproduzierbar.

Provisionierung & Hardening

Server werden nach einem standardisierten Provisioning- und Hardening-Prozess eingerichtet. Firewall, Laufzeitumgebung, Logging und Betriebsdienste werden reproduzierbar konfiguriert.

  • SSH-Zugriff über verwaltete Schlüssel
  • Firewall-Regeln für notwendige Ports
  • Tägliche Aktualisierung von Server- und Container-Komponenten
  • Zentrales Container-Logging
  • Container-Deployment mit Healthchecks und nicht-root Anwendungslaufzeit

Zentrale Security- und Verfügbarkeitsüberwachung

Security-, System- und Verfügbarkeitsereignisse werden zentral zusammengeführt und ausgewertet, damit IT-Verantwortliche Serverzugriffe, Log-Alarme, CVEs, Serververfügbarkeit und auffällige Verhaltensmuster in einer Oberfläche sehen.

  • Zentrale Oberfläche für Server-, Container- und Security-Ereignisse
  • Überwachung der Serververfügbarkeit; bei Ausfällen werden Verantwortliche umgehend informiert
  • CVE-Übersicht für installierte Pakete und Betriebssysteme
  • Alarme auf Basis von journald-, auditd- und Anwendungslogs
  • Nachvollziehbarkeit von administrativen Zugriffen und IT-Personal-Aktivitäten auf Servern
  • Einordnung auffälliger Muster anhand von MITRE ATT&CK-Methoden
  • Datei-Integritätsprüfung und Systeminventar für zentrale Systempfade

Backups & Wiederherstellung

Für verwaltete Umgebungen wird das konkrete Backup-Profil im Betriebskonzept festgelegt. Sicherungen werden als verschlüsselte, deduplizierte Snapshots in separaten Repositories abgelegt.

  • Verschlüsselte, deduplizierte Backup-Snapshots in getrennten Repositories
  • Planbare Sicherungen bis zu sechsmal täglich
  • Konfigurierbare Aufbewahrungsregeln mit Retentionsfenstern bis zu fünf Jahre
  • Datenbank-Dumps werden nur temporär für den Sicherungslauf erzeugt und danach entfernt
  • Dry-Run- und Konfigurationsprüfungen stehen für operative Prüfungen bereit
Produktkontrollen

Nachvollziehbarkeit im Preisprozess

nueprice schützt nicht nur Infrastruktur. Das Produkt selbst verhindert unkontrollierte Preisänderungen und macht Entscheidungen nachvollziehbar.

Vier-Augen-Prinzip

Szenario- und Preisfreigaben können anhand von Umsatz-, Preis- und Margenkriterien an Reviewer eskaliert werden.

Historie und Verantwortlichkeit

Preis-, Szenario- und Stammdatenänderungen speichern Ersteller, Bearbeiter, Reviewstatus und Zeitpunkte.

Unveränderliche Veröffentlichungen

Veröffentlichte Szenarien sind gegen nachträgliche Bearbeitung geschützt; Änderungen erfolgen über neue Szenarien oder neue Preise.

SBOM, Schwachstellenhinweise und Version

Administratoren können im Produkt die nueprice-Version sehen und eine CycloneDX Software Bill of Materials für Anwendungs- und Frontend-Abhängigkeiten herunterladen. Automatische Hinweise zu bekannten Schwachstellen in verwendeten Abhängigkeiten werden geprüft, priorisiert und in den Update-Prozess übernommen.

Security FAQ

Antworten auf typische Prüfungsfragen

Wo werden Daten gehostet?

Von nueprice betriebene Cloud-Systeme werden in Deutschland bei einem deutschen Infrastrukturbetreiber gehostet. Für On-Premise-Installationen gelten die Vorgaben der jeweiligen Kundenumgebung.

Ist nueprice selbst ISO 27001-zertifiziert?

Die genutzten deutschen Rechenzentrumsstandorte des Infrastrukturbetreibers sind nach ISO/IEC 27001:2022 zertifiziert. Das ist eine Infrastrukturzertifizierung, keine eigene ISO-Zertifizierung der nueprice GmbH.

Welche Verschlüsselung wird genutzt?

Transportverschlüsselung erfolgt über HTTPS/TLS. Backups werden verschlüsselt gespeichert. Anwendung-Secrets werden verschlüsselt gespeichert.

Wie funktioniert Mandantentrennung?

Jeder Kunde erhält einen eigenen, physisch getrennten Server. Darauf verwenden verwaltete Kundenumgebungen getrennte Applikations-, Datenbank-, Cache- und Session-Dienste sowie getrennte Netzwerksegmente. Die Trennung ist damit physisch und architektonisch umgesetzt, nicht nur logisch in Tabellen.

Welche Authentifizierung und MFA gibt es?

nueprice unterstützt SAML2-SSO und Passwortlogin. Bei SAML2 übernimmt Ihr Identity Provider Richtlinien wie MFA, Conditional Access und Account Lifecycle.

Wie werden Schwachstellen behandelt?

Security-Hinweise können über security@nueprice.com gemeldet werden. Wir bestätigen Meldungen in der Regel innerhalb von 5 Werktagen und geben, soweit möglich, innerhalb von 10 weiteren Werktagen eine erste Einschätzung.

Wie gehen Sie mit Schwachstellen in Abhängigkeiten um?

Wir halten Abhängigkeiten über Lockfiles nachvollziehbar, stellen eine SBOM bereit und prüfen automatische Hinweise auf bekannte CVEs in verwendeten Abhängigkeiten. Kritische und hohe Findings werden priorisiert, getestet und als Sicherheitsupdate ausgeliefert; niedrigere Findings fließen in reguläre Wartungsupdates ein.

Welche Nachweise können wir bereitstellen?

Je nach Prüfkontext stellen wir technische Architekturinformationen, die Vulnerability Disclosure Policy, SBOM/CycloneDX-Export, Hinweise zur Infrastrukturzertifizierung und kundenspezifische Betriebsinformationen bereit.

Wie werden KI-Funktionen abgesichert?

Der KI-Assistent ist optional und nur verfügbar, wenn ein Provider-Schlüssel konfiguriert ist. Gespräche sind nutzerbezogen gespeichert und können durch Nutzer gelöscht werden. Der Einsatz externer KI-Provider wird kundenspezifisch abgestimmt.

Meldungen

Sicherheitslücke melden

Wenn Sie eine potenzielle Schwachstelle finden, melden Sie diese bitte verantwortungsvoll. Nutzen Sie nur eigene Daten oder Testkonten und vermeiden Sie Tests, die Verfügbarkeit, Integrität oder Vertraulichkeit beeinträchtigen.

security@nueprice.com Policy öffnen