Sicherheit

Trust Center

Transparenz zu Sicherheit, Datenschutz und Verlässlichkeit bei oxom.

Sicherheitslücke melden Kontakt

Status & Highlights

Sicherheit

In Arbeit

Sicherheitsanforderungen werden in Architektur, Betrieb und Releases berücksichtigt.

Datenschutz

In Arbeit

Wir zielen darauf ab, Datenzugriffe auf den jeweils notwendigen Umfang zu begrenzen.

Datenresidenz

Umgesetzt

Wo möglich und providerseitig verfugbar, setzen wir auf EU-nahe Infrastruktur.

Zugriffskontrolle

Umgesetzt

Authentifizierung, Rollenmodell und Workspace-Scoping sind im Produkt verankert.

Verschlusselung

Umgesetzt

Ubertragung erfolgt per TLS. Verschlusselung at-rest wird von Infrastruktur-Providern bereitgestellt.

Incident Response

Aktiv

Sicherheitsmeldungen werden priorisiert triagiert; Ziel fur Erstbestatigung: 72 Stunden.

Kontrollen & Maßnahmen

Identitat & Zugriff

Authentifizierung (Clerk)

Zugriffe auf geschutzte Bereiche laufen uber Clerk-Authentifizierung.

Umgesetzt

Rollenmodell

Zugriffe werden uber Rollen wie Admin, Editor und Member differenziert.

Umgesetzt

Least Privilege

Berechtigungen werden moglichst eng am Workspace- und Aufgabenkontext gehalten.

In Arbeit

Applikationssicherheit

Anderungsprufung

Anderungen werden vor Veroffentlichung gepruft.

In Arbeit

Dependency Hygiene

Abhangigkeiten werden laufend beobachtet und aktualisiert.

In Arbeit

Rate Limiting & Abuse Prevention

Ausbau von Schutzmechanismen fur missbrauchsanfallige Endpunkte ist geplant.

Geplant

Datenschutz & Schutzmassnahmen

Transportverschlusselung

Verbindungen zur Plattform sind auf HTTPS/TLS ausgelegt.

Umgesetzt

Backups

Backup-Funktionen werden primar durch unsere Infrastruktur-Provider bereitgestellt.

Umgesetzt

Audit Logging

Erweiterte Security-Audit-Logs fur mehr Transparenz sind geplant.

Geplant

Multi-Tenancy-Isolation

Workspace-Isolation

Datenzugriffe werden uber Workspace-Scoping und Supabase-RLS-Policies begrenzt.

Umgesetzt

Domain-Separation

Plattform-, Subdomain- und Custom-Domain-Routing folgt einem Tenant-Resolution-Modell.

Umgesetzt

Security Advisories

OXOM-2026-001

Vault Decrypt Secret — Unauthentifizierter API-Zugriff

Hoch

Eine interne Datenbankfunktion zur Entschlüsselung gespeicherter API-Credentials war ohne Authentifizierung über die REST-API erreichbar. Der Zugriff wurde auf serverseitige Service-Role beschränkt. Betroffene Daten: keine Anzeichen auf unautorisierte Zugriffe.

Gemeldet: 03.05.2026Behoben: 03.05.2026

Subprozessoren

Aktuelle Provider

Diese Liste zeigt zentrale externe Anbieter im aktuellen Produktbetrieb und kann sich ändern.

Anbieter	Zweck	Standort	Link
Vercel	Hosting und Edge-Auslieferung	EU/US (providerabhangig)	vercel.com
Supabase	Postgres-Datenbank und Plattformdienste	EU/US (providerabhangig)	supabase.com
Clerk	Authentifizierung und Session-Management	EU/US (providerabhangig)	clerk.com
Anthropic	AI Features	Variiert	www.anthropic.com/
OpenAI	AI Features	Variiert	openai.com
Dub	Link-Infrastruktur	Variiert	dub.co
Liveblocks	Collab	EU/US (providerabhangig)	liveblocks.io
Cloudflare	Datenspeicher (R2)	EU/US (providerabhangig)	www.cloudflare.com/
Stripe	Zahlungsabwicklung und Billing	EU/US (providerabhangig)	stripe.com
DeepL	Ubersetzung und Sprachverarbeitung	EU/US (providerabhangig)	www.deepl.com/en
ElevenLabs	Text-to-Speech	Variiert	elevenlabs.io
Upstash	Redis-basiertes Rate Limiting	EU/US (providerabhangig)	upstash.com
Discord	Community- und Ankundigungs-Integrationen	Variiert	discord.com
Twitch	Command- und Bot-Integrationen	Variiert	www.twitch.tv/
Linear	Issue-Tracking und internes Ticketing	Variiert	linear.app
Buffer	Social-Media-Planung und Publishing	Variiert	buffer.com

Vulnerability Disclosure

Sicherheitsmeldungen

Sicherheitsmeldungen bitte an security@oxom.de.

Bitte betroffene URL, Reproduktionsschritte und erwartete Auswirkung angeben.

Keine Störung des laufenden Betriebs und nur minimal notwendiger Datenzugriff.

Reaktionsziele

Erstbestatigung innerhalb von 72 Stunden.
Kritisch: Ziel fur erste Mitigation innerhalb von 72 Stunden.
Hoch: Ziel fur Behebung innerhalb von 7 Tagen.
Mittel: Ziel fur Behebung innerhalb von 30 Tagen.
Niedrig: Ziel fur Behebung innerhalb von 90 Tagen.

Safe Harbor: Gutglaubige, verantwortungsvolle Meldungen werden unterstutzt, sofern legal, nicht-destruktiv und mit begrenztem Scope getestet wird.

FAQs

Wo werden meine Daten gespeichert?

Daten liegen bei ausgewahlten Infrastruktur-Providern. Wo sinnvoll und moglich, setzen wir auf EU-nahe Deployments.

Wie trennt ihr Workspaces voneinander?

Workspace-Daten werden auf Anwendungsebene und uber Supabase Row-Level Security (RLS) voneinander isoliert.

Unterstutzt oxom Custom Domains?

Ja. Subdomains und Custom Domains sind uber das Domain-Mapping-Modell der Plattform vorgesehen.

Wie kann ich ein Sicherheitsproblem melden?

Bitte an security@oxom.de senden, inklusive betroffener URL, Reproduktionsschritten und moglicher Auswirkung.

Gibt es ein Bug-Bounty-Programm?

Ein offentliches Bug-Bounty-Programm ist aktuell nicht angekundigt. Coordinated Disclosure ist uber den Security-Kontakt moglich.

Unterstutzt ihr SSO?

Ein offentlicher SSO-Status ist derzeit nicht separat dokumentiert. Fur den aktuellen Stand bitte Support kontaktieren.

Wie geht ihr mit AI-Daten um?

AI-Funktionen konnen externe Modell-Provider nutzen. Wir zielen darauf ab, nur notwendige Daten zu ubermitteln und den Umfang zu minimieren.

Wie schnell reagiert ihr auf Sicherheitsmeldungen?

Ziel ist eine Erstbestatigung innerhalb von 72 Stunden und eine priorisierte Behebung nach Schweregrad.

Zuletzt aktualisiert: 22. Februar 2026