01 / 07
RLS Multi-Tenant
100 % der mandantenfähigen Tabellen sind durch Row-Level Security geschützt. Policies basieren nur auf JWT-Claims, niemals auf DB-SELECTs (keine Rekursion, keine Performance-Probleme).
Postgres / JWT
Sicherheit
Wenn Vertraulichkeit eine Berufsregel ist, ist Sicherheit die Architektur
FidUp wurde nach Schweizer Finanzbranchen-Standards entworfen. Verschlüsselung, Isolation, Audit-Trail, Zugriffsbeschränkung — auf allen Ebenen.
RLS
Multi-tenant
AES-256
GCM
Audit
10 ans
Cabinet cockpit
Mardi, 07:12
Inbox
synchronisé
LBA
synchronisé
Mandats
synchronisé
Priorité IA
Valider ADE Tessuto Holding avant vendredi.
Ouvrir le mandat
Sicherheitsarchitektur
Sieben Säulen
Jede Säule ist im Produkt implementiert, getestet und Teil unserer DPA-Verpflichtungen.
02 / 07
AES-256-GCM-Verschlüsselung
Alle OAuth-Tokens, API-Keys und sensiblen Konfigurationen werden vor dem Speichern in der DB applikativ mit AES-256-GCM verschlüsselt. Schlüsselrotation v1 → v2 unterstützt.
AES-256 / GCM
03 / 07
Unveränderliche Audit-Logs
Triggerverbot für UPDATE und DELETE auf der audit_logs-Tabelle. Jede Operation auf sensiblen Daten wird unveränderlich protokolliert. Aufbewahrung 10 Jahre.
Trigger / 10y
04 / 07
2FA und Sitzungsverwaltung
2FA via TOTP für jeden Benutzer empfohlen. Pflicht für Administratoren und GwG-Verantwortliche. Sitzungen verfallen nach Inaktivität, automatische JWT-Aktualisierung.
TOTP / JWT
05 / 07
Trennung der Privilegien
Der service_role-Schlüssel verlässt niemals den Server. Niemals in einer React-Komponente. Privilegierte Operationen über Supabase RPCs SECURITY DEFINER.
RPC / DEFINER
06 / 07
Anti-Tipping-off GwG
Die Tabelle der MROS-Kommunikationen ist 95 % des Büros unsichtbar. Nur GwG-Verantwortliche und Administratoren haben Zugriff, jede Lese-Operation wird protokolliert.
RLS dédiée
07 / 07
Pentest und Bug Bounty
Jährlicher Pentest durch unabhängige Schweizer Firma geplant ab 2027. Privates Bug-Bounty-Programm offen für Forscher (Kontakt: security@fidup.io).
Pentest 2027
Reaktion auf Vorfälle
Klares Verfahren, keine Improvisation
SLA dokumentiert, publiziert, vertraglich gebunden. Wir spielen nicht mit Ihren Daten.
Status incident
status.fidup.io — öffentlich, in Echtzeit, ohne Login.
01
Erkennung
Sentry-Monitoring + Supabase-Alerts + Vercel-Logs auf alle Anomalien.
02
Eindämmung
Sofortige Sperrung kompromittierter Sitzungen, JWT-Schlüsselrotation in unter 1 Stunde.
03
Benachrichtigung
EDÖB innerhalb von 72 h gemäss DSG benachrichtigt, betroffene Kunden direkt informiert.
04
Post-Mortem
Öffentlich auf status.fidup.io innerhalb von 14 Tagen veröffentlicht.
Sicherheit in Aktion sehen
In 14 Tagen können Sie unsere RLS-Architektur, Audit-Logs und GwG-Anti-Tipping-off-Mechanismen mit Ihren echten Daten testen.