Sicherheit und Compliance, die Sie überprüfen können
UniAuth basiert auf überprüfbaren Sicherheitspraktiken, offenen Standards und transparentem Umgang mit Daten. Jede Aussage auf dieser Seite entspricht einer konkreten Implementierung.
Compliance-Status
Status Rahmenwerk für Rahmenwerk. Selbst attestiert bedeutet, dass wir die technischen Kontrollen umsetzen; zertifiziert erfordert einen verlinkten Bericht eines Dritten.
GDPR
Selbst attestiertData subject rights, DPA available, EU residency supported
CCPA
Selbst attestiertCalifornia opt-out, data inventory, DSR support
SOC 2 Type II
In BearbeitungControls implemented; third-party audit not yet completed
FIPS 203 (ML-KEM)
Selbst attestiertPost-quantum key encapsulation used for session keys
FIPS 204 (ML-DSA)
Selbst attestiertPost-quantum digital signatures on every session
FIDO2 / WebAuthn
Selbst attestiertPasskey and hardware key support with direct attestation
HIPAA
Nicht begonnenNot yet evaluated
ISO 27001
Nicht begonnenNot yet evaluated
Sicherheitsstandards und Protokolle
Basiert auf den Standards von NIST, IETF und OASIS. Keine proprietäre Bindung.
FIPS 203 (ML-KEM)
Post-Quanten-Schlüsselkapselung für Schlüsselaustausch und -rotation
FIPS 204 (ML-DSA)
Post-Quanten-Signaturen auf jeder Benutzersitzung
FIDO2 / WebAuthn
Unterstützung für Passkeys und Hardware-Sicherheitsschlüssel mit direkter Attestierung
OAuth 2.0 / OIDC
Standardkonformer Autorisierungsserver und OpenID-Provider
SAML 2.0
Vollständiger IdP mit SSO, SLO, signierten Assertions und Metadaten
SCIM 2.0
Automatisierte Bereitstellung von Benutzern und Gruppen mit Massenoperationen
Wie wir Ihre Daten verarbeiten
Datenspeicherung
Alle Daten werden in PostgreSQL mit TLS-verschlüsselten Verbindungen gespeichert. Datenbank-Backups werden mit AES-256 verschlüsselt und an geografisch redundanten Standorten gespeichert. Es werden keine Daten in Analyse- oder Tracking-Diensten Dritter gespeichert.
Verschlüsselung
AES-256-GCM-Verschlüsselung im Ruhezustand für alle sensiblen Werte: TOTP-Geheimnisse, OAuth-Token, private PQC-Schlüssel, LDAP-Passwörter. TLS 1.3 für Daten bei der Übertragung. Separater 256-Bit-Verschlüsselungsschlüssel, unabhängig von den JWT-Signaturschlüsseln.
Datensparsamkeit
Paarweise Subjekt-Identifikatoren verhindern die anwendungsübergreifende Korrelation von Benutzern. Es werden nur die für die Authentifizierung notwendigen Daten erhoben. Kein Verhaltens-Tracking, keine Werbeprofile, kein Datenverkauf.
Aufbewahrung und Löschung
Konfigurierbare Datenaufbewahrungsrichtlinien. Standard: Sitzungen nach 30 Tagen gelöscht, OTP-Token nach 24 Stunden, Aktivitätsprotokolle nach 1 Jahr. Vollständige Selbstlöschung des Kontos mit kompletter Datenlöschung jederzeit möglich.
Verantwortungsvolle Offenlegung
Wir nehmen Sicherheitslücken ernst. Wenn Sie ein Sicherheitsproblem in UniAuth entdecken, melden Sie es bitte verantwortungsvoll. Wir verpflichten uns, Meldungen innerhalb von 24 Stunden zu bestätigen, innerhalb von 72 Stunden eine erste Einschätzung zu geben und Sie über den Fortschritt der Behebung auf dem Laufenden zu halten.
Qualifizierte Meldungen kommen für unser Bug-Bounty-Programm infrage. Der Schweregrad wird anhand des CVSS-3.1-Scores bewertet. Wir gehen nicht rechtlich gegen Forscher vor, die die Richtlinien zur verantwortungsvollen Offenlegung einhalten.