ProyectaSecurity

Security

Last Updated: May 21, 2026

Übersetzt zu Ihrer Bequemlichkeit. Bei Widersprüchen zwischen dieser Version und der englischen Version ist die englische Version maßgeblich.

Proyecta ist eine Plattform, bei der Ihr Quellcode, Ihre Eingabeaufforderungen und Projektdaten durch KI-Systeme und isolierte Ausführungsumgebungen fließen. Der Schutz dieser Daten ist grundlegend für die Art und Weise, wie wir die Dienste entwickeln. Diese Seite fasst unsere Sicherheitspraktiken in verständlicher Sprache zusammen; sie ergänzt unsere Datenschutzerklärung, unsere Nutzungsbedingungen und die Liste der Unterauftragsverarbeiter.

Für Sicherheitsfragen, Sicherheitsprüfungen für Unternehmenskunden oder zur Meldung einer Schwachstelle wenden Sie sich bitte an security@proyecta.dev.

1. Infrastruktur und Hosting

Die Dienste werden auf Google Cloud Platform betrieben, einer Kubernetes-nativen Infrastruktur, die in etablierten Cloud-Regionen betrieben wird. Cloudflare ist unseren öffentlichen Endpunkten vorgeschaltet für Content Delivery, DDoS-Schutz und Web Application Firewalling.

Wir betreiben keine eigenen Rechenzentren. Unsere Cloud-Anbieter unterhalten eigene unabhängige Sicherheitszertifizierungen für ihre Infrastruktur, und eine aktuelle Liste der Anbieter, die Daten in unserem Auftrag verarbeiten, ist auf unserer Seite Unterauftragsverarbeiter veröffentlicht.

2. Verschlüsselung

  • Bei der Übertragung: Der gesamte Datenverkehr zwischen Ihnen und den Diensten ist mit TLS 1.2 oder höher verschlüsselt.
  • Im Ruhezustand: Kundeninhalte, Kontodaten und Backups sind im Ruhezustand verschlüsselt.
  • Geheimnisse: Zugangsdaten und Integrationstoken werden verschlüsselt gespeichert und werden niemals in clientseitigem Code oder Protokollen offengelegt.

3. Zugriffskontrollen

  • Rollenbasierte Zugriffskontrolle. Der Zugriff auf Produktionssysteme und Kundendaten ist nach dem Least-Privilege-Prinzip auf autorisiertes Personal von Proyecta beschränkt.
  • Audit-Protokollierung. Administrative Aktionen und Datenzugriffe werden zu Nachweiszwecken protokolliert.
  • Auf den Zweck beschränkte Zugangsdaten. Service- und Integrations-Zugangsdaten sind auf die für ihre Funktion mindestens erforderlichen Berechtigungen beschränkt.
  • Vertraulichkeitsverpflichtungen. Personal mit Zugriff auf Inhalte unterliegt Vertraulichkeitsverpflichtungen und erhält Sicherheitsschulungen.

Wie in unserer Datenschutzerklärung beschrieben, greift autorisiertes Personal nur in dem Umfang auf Inhalte zu, der erforderlich ist, um Support zu leisten, Fehler zu beheben, die Zuverlässigkeit aufrechtzuerhalten oder gesetzliche Verpflichtungen zu erfüllen.

4. Umgang mit Ihrem Code und KI-Daten

Dies ist die Frage, die den meisten Kunden am wichtigsten ist, daher beantworten wir sie unmissverständlich:

  • Wir trainieren keine KI-Modelle mit Ihren Inhalten. Wir verwenden Ihren Code, Ihre Eingabeaufforderungen oder Ihre Daten nicht, um unsere KI-Modelle zu trainieren oder feinabzustimmen, und wir senden Ihre Inhalte nicht zum Zweck des Trainings ihrer Modelle an KI-Anbieter.
  • Inhalte werden verarbeitet, um Ihnen zu dienen, nicht um ausgewertet zu werden. Ihre Inhalte werden ausschließlich verarbeitet, um Antworten innerhalb Ihrer eigenen Sitzungen zu liefern.
  • Drittanbieter von KI verarbeiten Eingaben nur vorübergehend. Zur Generierung von Antworten werden Eingaben über deren APIs an KI-Modellanbieter (Anthropic, OpenAI, Google) gesendet. Wir nutzen API-Stufen, die nach den aktuellen API-Bedingungen dieser Anbieter nicht zum Trainieren ihrer Modelle mit Kundeneingaben verwendet werden. Wir kontrollieren diese Anbieter nicht, und ihr Umgang mit Daten unterliegt ihren eigenen Bedingungen, die Sie eigenständig prüfen sollten (siehe Nutzungsbedingungen §10.2).
  • Ausschließlich aggregierte Analysen. Sämtliche Analysen, die wir zur Verbesserung der Dienste ableiten, verwenden aggregierte, anonymisierte Daten, die nicht zur Identifizierung Ihrer Person oder zur Rekonstruktion Ihrer Inhalte verwendet werden können.

5. Laufzeit-Isolation

Code, der von den Diensten generiert und ausgeführt wird, läuft innerhalb isolierter Laufzeitumgebungen — dedizierte, in einer Sandbox isolierte Kubernetes-Pods, die pro Workload bereitgestellt werden. Laufzeitumgebungen sind voneinander isoliert und werden gemäß ihrem Lebenszyklusplan abgebaut, wodurch der Schadensumfang jeder einzelnen Ausführung begrenzt wird.

6. Schwachstellenmanagement

  • Wir führen regelmäßig Schwachstellenbewertungen und Sicherheitstests der Dienste durch.
  • Wir überwachen unsere Software-Abhängigkeiten auf bekannte Schwachstellen und spielen Updates risikopriorisiert ein.
  • Verantwortungsvolle Offenlegung. Falls Sie glauben, eine Sicherheitslücke gefunden zu haben, melden Sie diese bitte an security@proyecta.dev. Wir werden Ihren Bericht bestätigen, unverzüglich untersuchen und Sie auf dem Laufenden halten. Bitte geben Sie uns vor einer öffentlichen Offenlegung eine angemessene Frist zur Behebung.

7. Datenaufbewahrung und Löschung

Wir bewahren Informationen nur so lange auf, wie es zur Erbringung der Dienste und zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist. Der Konversationsverlauf, einschließlich Eingabeaufforderungen und generierter Ausgaben, wird aufbewahrt, bis Sie ihn löschen oder Ihr Konto kündigen. Bei Kontobeendigung haben Sie 30 Tage Zeit, Ihre Daten zu exportieren; danach werden sie gemäß unserem Aufbewahrungszeitplan gelöscht. Vollständige Einzelheiten finden Sie in der Datenschutzerklärung §4.

8. Incident Response

Wir unterhalten einen Incident-Response-Prozess für Sicherheitsereignisse. Im Falle einer Verletzung, die Ihre personenbezogenen Daten betrifft, benachrichtigen wir betroffene Kunden innerhalb von 72 Stunden nach Entdeckung, soweit durchführbar, oder früher, soweit das geltende Recht dies erfordert, einschließlich der Art des Vorfalls, der betroffenen Daten und der empfohlenen Maßnahmen.

9. Unterauftragsverarbeiter

Wir setzen eine geprüfte Auswahl von Drittanbietern für den Betrieb der Dienste ein. Jeder ist vertraglich verpflichtet, die in unserem Auftrag verarbeiteten Daten zu schützen. Die vollständige, aktuelle Liste — einschließlich des Zwecks jedes Anbieters, der von ihm verarbeiteten Daten und seines Standorts — ist auf unserer Seite Unterauftragsverarbeiter veröffentlicht, auf der beschrieben wird, wie wir über Änderungen informieren.

10. Compliance und Sicherheitsprüfungen

  • Auftragsverarbeitungsvertrag. Kunden, die als Verantwortliche handeln, können einen AVV anfordern, der unsere Datenschutzerklärung um zusätzliche Datenschutzverpflichtungen ergänzt. Kontaktieren Sie legal@proyecta.dev.
  • Sicherheitsfragebögen. Wir füllen gerne Lieferanten-Sicherheitsfragebögen aus und unterstützen Sicherheitsprüfungen von Unternehmenskunden — kontaktieren Sie security@proyecta.dev.
  • Transparenz bei Unterauftragsverarbeitern. Unsere Liste der Unterauftragsverarbeiter ist öffentlich und wird aktuell gehalten.

Mit dem Wachstum von Proyecta bauen wir unser formales Sicherheits- und Compliance-Programm kontinuierlich aus. Für den aktuellen Stand einer bestimmten Zertifizierung oder Bescheinigung wenden Sie sich bitte an uns, und wir teilen Ihnen mit, wo wir stehen.

11. Kontakt

Related Documents

Questions?

Contact Legal

Reach us at legal@proyecta.dev for any inquiries.