Sicherheit in jede Schicht eingebaut.
Diese Seite ist für die Person, an die Ihr CTO sie weiterleiten wird. Verschlüsselung, Authentifizierung, Infrastruktur und Incident Response — geschrieben, um die Fragen zu beantworten, die ein Security Review tatsächlich stellt.
Vier Schichten. Jede unabhängig durchgesetzt.
Ein Sicherheitsvorfall in einer Schicht kaskadiert nicht weiter. Jede Schicht hat eigene Kontrollen, Logs und Fehlermodi.
Zugriff
OAuth 2.0, SSO/SAML, rollenbasierte Zugriffskontrolle und unveränderliche Audit-Logs. Least Privilege als Standard.
Anwendung
Mandanten-Isolation, Eingabevalidierung, scoped Tokens und automatisiertes Dependency-Scanning bei jedem Deploy.
Daten
AES-256 im Ruhezustand, TLS 1.3 bei der Übertragung, verwaltete Schlüsselrotation und verschlüsselte Backups, die die Verschlüsselungsgrenze nie verlassen.
Infrastruktur
Verwaltete Cloud mit privaten Subnetzen, Netzwerk-Isolation, DDoS-Schutz, WAF auf Edge-Endpunkten und kontinuierlichen Anomalie-Alarmen.
Verschlüsselung, Aufbewahrung, Schlüsselverwaltung.
Kundendaten werden Ende-zu-Ende verschlüsselt. Schlüssel rotieren nach dokumentiertem Plan. Sie kontrollieren die Aufbewahrung.
Verschlüsselung im Ruhezustand
AES-256 · Cloud KMS · dokumentierter Schlüsselrotationsplan
Verschlüsselung bei Übertragung
TLS 1.3 · HSTS · Zertifikate automatisch erneuert via öffentlicher CAs
Backups
Verschlüsselt · Point-in-Time-Wiederherstellung · getesteter Wiederherstellungsrhythmus
Mandanten-Isolation
Row-Level-Durchsetzung auf Anwendungsebene — kein reines UI-Filtering
Gesprächsaudio
Standardmäßig transkribiert und gelöscht · konfigurierbares Aufbewahrungsfenster
Datenlöschung
Kontodaten binnen 30 Tagen entfernt · Export vor Löschung möglich
Nutzerauthentifizierung
E-Mail Magic Link + OAuth · SSO/SAML im Scale-Plan
Integrationsauthentifizierung
OAuth 2.0 für CRM, E-Mail, Video, Kalender, LinkedIn — keine gespeicherten Passwörter
Berechtigungen
Rollenbasierte Zugriffskontrolle · Workspace-Ebene · Least Privilege als Standard
Audit-Trail
Admin-Aktions-Audit-Log im Scale-Plan · unveränderlich · zeitgestempelt · exportierbar
Token-Widerruf
Widerruf im Quellsystem → Gangly-Zugriff endet sofort
OAuth zuerst. Keine Klartext-Zugangsdaten auf unseren Servern.
Jede Integration authentifiziert sich über OAuth 2.0. Wir speichern Refresh-Tokens, keine Passwörter. Widerrufen Sie den Zugriff in Ihrem Quellsystem — Gangly verliert ihn sofort.
Verwaltete Cloud. Definierter Prozess, keine Improvisation.
Infrastruktur
- Verwaltete Cloud-Infrastruktur mit Netzwerk-Isolation
- Private Subnetze für Anwendungs- und Datenbankebenen
- DDoS-Schutz und WAF auf allen Edge-Endpunkten
- Kontinuierliche Log-Aggregation und Anomalie-Alarmierung
- Dependency- und Container-Scanning in CI bei jedem Push
Incident Response
- Dokumentiertes Incident-Response-Runbook mit namentlich benannten On-Call-Verantwortlichen
- Kundenbenachrichtigung innerhalb von 72 Stunden nach einem bestätigten Datensicherheitsvorfall
- Post-Incident-Bericht mit Ursachenanalyse und Korrekturmaßnahmen
- Öffentliche Statusseite für Degradierungen und Ausfälle
- Responsible Disclosure an security@getgangly.com
Für den DACH-Markt gebaut.
Gangly wurde mit den Anforderungen des deutschen, österreichischen und schweizerischen B2B-Markts entwickelt. Nachfolgend die relevanten Compliance-Punkte für Ihre Beschaffungsprüfung.
EU-Datenspeicherung
Daten in der EU
EU-Datenspeicherung ist in den Growth- und Scale-Plänen verfügbar. Kundendaten verlassen die EU nicht, wenn diese Option aktiviert ist.
AV · Auftragsverarbeitungsvertrag
AV auf Anfrage
Unser Auftragsverarbeitungsvertrag (AV) gemäß Art. 28 DSGVO ist für alle Kunden verfügbar, inklusive Standardvertragsklauseln für EU–US-Transfers. Antwort innerhalb eines Werktages.
SOC 2 · Sicherheitszertifizierung
SOC 2 Type II in Bearbeitung
SOC 2 Type II-Prüfung läuft. Letter of Engagement auf Anfrage erhältlich. Sicherheitsfragebögen werden innerhalb eines Werktages beantwortet.
Responsible Disclosure
Sicherheitslücke entdeckt?
Wir antworten auf Responsible-Disclosure-Meldungen innerhalb eines Werktages. Bitte nicht veröffentlichen, bevor Sie es mit uns abgestimmt haben.
security@getgangly.comSicherheitsprüfungen
Sicherheitsfragebögen & AVs
Sicherheitsfragebögen, SOC 2-Briefe und Auftragsverarbeitungsverträge (AVs) werden innerhalb eines Werktages abgeschlossen. Schreiben Sie uns mit Ihrem Zeitplan und wir koordinieren alles.
security@getgangly.comWeitere Sicherheitsressourcen
Datenschutzerklärung, DSGVO-Compliance, Cookie-Richtlinie und Trust-Übersicht — alles an einem Ort.
Fragen Ihres Sicherheitsteams, die hier nicht beantwortet wurden?
Schreiben Sie an security@getgangly.com oder buchen Sie einen Termin. Wir beantworten jede Frage — und sagen Ihnen ehrlich, wenn etwas noch nicht bereit ist.