FloOne
LoginKostenlos testen

Sicherheit & Compliance

Wie FloOne Kundendaten schützt — transparent und nachweisbar. Für Käufer, Steuerberater und IT-Compliance.

Diese Seite gibt einen ehrlichen Überblick über die Sicherheits- und Compliance-Maßnahmen von FloOne. Sie ersetzt kein formales Audit-Dokument, aber sie beantwortet die häufigsten Fragen, die wir von Käufern, Steuerberatern und IT-Verantwortlichen bekommen. Falls du ein detaillierteres Datenblatt für einen Audit brauchst, fordere es per E-Mail an info@floone.de an.

Hosting & Infrastruktur

  • Rechenzentrum: Hetzner Online GmbH, Falkenstein/Nürnberg — ISO 27001 zertifiziert
  • Datenstandort: ausschließlich Deutschland, keine Verarbeitung außerhalb der EU
  • Backups: verschlüsselt (GPG) auf separate Hetzner Storage Box, zweiter Standort
  • TLS: 1.2+ mit HSTS (Strict-Transport-Security aktiv auf allen Marketing- und App-Domains)
  • Container-Hardening: Anwendung läuft als non-root User (UID 1000), kein Direkt-Zugriff auf Host

Verschlüsselung

  • In Transit: TLS 1.2+ für alle externen Verbindungen, HSTS-Header aktiv
  • At Rest (Datenbank): Sensible Felder via Fernet (AES-128-CBC + HMAC-SHA256) verschlüsselt — OAuth-Tokens für eBay/Amazon/Shopify/WooCommerce, 2FA-TOTP-Secrets, Carrier-Credentials, Lieferanten-Bankdaten
  • Passwörter: bcrypt mit Cost Factor 12 (≥4.000 Hashes/Sekunde Rechenkosten für Brute-Force)
  • Schlüssel-Verwaltung: FERNET_KEY außerhalb des Repos, im verschlüsselten Off-Server-Backup (Vaultwarden), Rotation-Verfahren dokumentiert

Authentifizierung & Zugriffsschutz

  • 2FA-Pflicht (TOTP): seit Juni 2026 systemweit für alle Passwort-Konten verpflichtend
  • Account-Lockout: 10 aufeinanderfolgende Fehlversuche → 15 Min Sperre (verhindert Brute-Force + Credential-Stuffing)
  • Rate-Limiting: Login 5/min, Signup 3/min, Password-Reset 3/min (slowapi)
  • Login-Audit-Log: jeder Auth-Event (Login Success/Fail, 2FA, Password-Reset) wird strukturiert geloggt (12 Monate Retention)
  • CSRF-Schutz: Origin-Header-Check auf allen state-changing Endpoints
  • Session-Cookies: httpOnly + Secure + SameSite=Lax

Multi-Tenancy & Datenisolation

FloOne ist als Multi-Tenant-SaaS konzipiert: jeder Mandant (\"Tenant\") hat eine eigene tenant_id, die auf allen relevanten Datenbank-Tabellen geführt wird. Jeder API-Endpoint filtert über die auth-gebundene Tenant-ID — ein versehentlicher Cross-Tenant-Read ist auf Code-Pfad-Ebene ausgeschlossen. Code-Reviews prüfen Cross-Tenant-Lücken explizit als Worst-Case-Risiko. Keine geteilten Caches zwischen Tenants.

Webhook- & OAuth-Sicherheit

  • OAuth-State-Store: persistente DB-Tabelle mit sha256-PK + 10-Min-TTL, one-shot — keine In-Memory- Dictionaries (CSRF-resistent)
  • eBay Account-Deletion-Webhook: IP-Whitelist gegen eBay AS10780, Signaturprüfung, dokumentierte DSGVO-Lösch-Pipeline
  • Billbee-Webhook: URL-Secret-Pattern mit ShopID-Match, alte unsichere Endpoints permanent 503

Datenschutz (DSGVO)

  • Auftragsverarbeitung: AV-Vertrag verfügbar unter /avv
  • Sub-Processor-Liste: Hetzner (Hosting), Sentry (Error-Tracking, EU-Region, kein PII-Scrubbing), Stripe (Billing), Resend (transaktionale E-Mails) — vollständige Liste im AV-Vertrag
  • Löschanfragen (Art. 17 DSGVO): PII-Felder (E-Mail, Telefon) werden sofort entfernt; buchhalterisch relevante Daten (Name/Adresse auf Belegen) bleiben gemäß §147 AO / §14b UStG 10 Jahre erhalten
  • Cookies: Analytics ist self-hosted (Umami) und cookielos — kein Consent-Banner nötig
  • Sentry-Konfig: send_default_pii=false, Session-Replay deaktiviert, Request-Bodies/Cookies werden nicht übertragen

GoBD-Konformität

  • Rechnungen + Stornorechnungen: unveränderbar (PDF + ZUGFeRD-XML), 10-Jahre-Retention
  • Journal-Buchungen: append-only, Storno via Gegenbuchung mit Referenz auf Ursprungs-Buchung
  • Audit-Trail: Admin-Impersonation denormalisiert geloggt (wer-wann-welcher-Tenant), 10 Jahre aufbewahrt
  • Eigenbelege §25a: bei Differenzbesteuerungs-Ankäufen werden Eigenbelege signiert erzeugt

Audit- & Test-Rhythmen

  • Quartalsweise: OWASP ZAP Scan gegen Produktionssystem. Nächster Termin: Juli 2026, dann Okt 2026, Jan 2027, Apr 2027
  • Jährlich: Tiefer-Audit (geplant ab April 2027) — umfasst Code-Review, Architektur-Review und Penetrationstest
  • Dependency-Audit: alle 3 Monate via pip-audit gegen alle Python-Dependencies, sofortiges Patchen bei CRITICAL/HIGH mit realer Exploit-Route
  • Ereignisbasiert: sofort bei CVE ≥ 7.0 mit relevantem Pfad, bei neuer OAuth-Integration, bei DSGVO-/GoBD-relevanter Änderung
  • Amazon-SPP-Assessment: aktuell laufendes externes Sicherheits-Assessment im Rahmen der Amazon-Selling-Partner-Program-Zulassung

Incident-Response

Dokumentierter Incident-Response-Prozess: betroffene Tenants werden binnen 24 Stunden informiert. Eine DSGVO-Meldung an die zuständige Aufsichtsbehörde erfolgt binnen 72 Stunden gemäß Art. 33 DSGVO. Forensische Auswertung über strukturierte Login-Audit-Logs und Sentry-Error-Tracking (ohne PII-Leak).

Was wir aktuell nicht haben

Im Sinne der Transparenz: Ein extern beauftragter Penetrationstest mit veröffentlichbarem Report liegt aktuell nicht vor — geplant für 2027. FloOne ist nicht ISO 27001 oder SOC 2 zertifiziert; diese Zertifizierungen prüfen wir, sobald unser Mid-Market-B2B-Anteil dies wirtschaftlich rechtfertigt. Falls du das vor einem Vertragsabschluss zwingend brauchst: melde dich, dann sprechen wir bilateral über einen vorgezogenen Pentest oder eine Compliance-Kooperation.

Häufige Fragen

Ist FloOne extern pentestet?
Ehrliche Antwort: Aktuell führen wir quartalsweise interne Sicherheits-Scans mit OWASP ZAP durch (nächster Termin Juli 2026) und planen einen externen Tiefer-Audit für 2027. Wenn dein Compliance-Bedarf einen vorgezogenen externen Pentest erfordert, sprechen wir bilateral — bei Bedarf koordinieren wir das mit einem zertifizierten Anbieter (Cure53, SySS o. ä.).
Wo werden meine Daten gespeichert?
Ausschließlich in Deutschland: Hetzner-Rechenzentrum in Falkenstein/Nürnberg. Keine Datenverarbeitung außerhalb der EU. Backups laufen verschlüsselt auf eine separate Hetzner Storage Box (zweiter Standort).
Sind sensible Daten verschlüsselt?
Ja. Sensible Felder (OAuth-Tokens für eBay/Amazon/Shopify/WooCommerce, 2FA-Secrets, Carrier-Credentials, Lieferanten-Bankdaten) werden mit Fernet (AES-128-CBC + HMAC-SHA256) verschlüsselt in der Datenbank gespeichert ("at rest"). Übertragung läuft ausschließlich über TLS 1.2+ mit HSTS.
Habe ich 2FA-Pflicht?
Ja. Seit Juni 2026 ist 2FA via TOTP (Google Authenticator, Authy, 1Password etc.) systemweit Pflicht für alle Passwort-Konten. Reine Google-SSO-Konten sind ausgenommen — dort liegt die MFA-Verantwortung beim Identity-Provider.
Wie verhindert ihr Cross-Tenant-Datenleaks?
Row-Level Multi-Tenancy: jede Tabelle hat ein tenant_id-Feld, jeder Endpoint filtert über das auth-gebundene Token. Code-Reviews prüfen Cross-Tenant-Lücken explizit. Keine geteilten Caches zwischen Tenants.
Wie lange werden meine Daten aufbewahrt?
Buchhalterisch relevante Daten (Rechnungen, Buchungen, Kundennamen/-adressen auf Belegen) werden gemäß §147 AO / §14b UStG 10 Jahre aufbewahrt. Reine PII wie E-Mail-Adressen werden auf DSGVO-Löschanfrage sofort entfernt (Name/Adresse bleiben buchhalterisch erhalten, markiert mit deletion_requested_at).
Was passiert bei einem Datenleck?
Wir folgen einem dokumentierten Incident-Response-Prozess: betroffene Tenants werden binnen 24 Stunden informiert, eine DSGVO-Meldung an die zuständige Aufsichtsbehörde erfolgt binnen 72 Stunden gemäß Art. 33 DSGVO. Sentry-basiertes Error-Tracking erlaubt forensische Auswertung ohne PII-Leak.
Bekomme ich ein Security-Datenblatt für meinen Auditor?
Ja. Auf Anfrage an info@floone.de versenden wir ein detailliertes Security & Compliance Brief mit Architektur-Diagramm, Verschlüsselungs-Inventar, Sub-Processor-Liste, Backup-Mechanik und Incident-Response-Plan — geeignet für Wirtschaftsprüfer, Datenschutzbeauftragte und Compliance-Audits.

Du brauchst ein Security-Datenblatt für deinen Auditor?

Schreib uns kurz an info@floone.de — du bekommst innerhalb von 2 Werktagen ein PDF mit Architektur-Diagramm, Verschlüsselungs-Inventar, Sub-Processor-Liste und Incident-Response-Plan.

Stand dieser Seite: Juni 2026. Inhalte werden bei jedem Sicherheits-Update aktualisiert.