Zum Hauptinhalt springen

Sicherheit bei JustParity

Wie wir die Gehaltsdaten Ihrer Beschäftigten schützen, welchen Sicherheitsstandards wir folgen und wie Sie Schwachstellen melden.

Zuletzt aktualisiert: 7. Juli 2026 · security@justparity.com

Sicherheitsarchitektur

JustParity ist auf einem modernen, isolierten Stack mit Defense-in-Depth-Architektur aufgebaut:

  • Multi-Tenant-Isolation: Row-Level Security (RLS) auf Tabellen mit personenbezogenen Daten, logische Multi-Tenant-Isolation getestet und gehärtet (zuletzt 04-2026). Keine bekannte Cross-Tenant-Exponierung nach der Härtung.
  • Authentifizierung: Supabase Auth mit JWT, MFA-Unterstützung, Session Hardening und Rate Limiting beim Login.
  • Verschlüsselung bei der Übertragung: TLS 1.3 überall. HSTS-Preload eingereicht.
  • Verschlüsselung im Ruhezustand: AES-256 für die Datenbank und alle Dateien (Supabase Storage).
  • Netzwerkisolation: Der Datenbankzugriff ist durch Row-Level Security, JWT und TLS geschützt. Keine direkte SQL-Exponierung gegenüber dem Internet.
  • Observability: Sentry für das Fehlermonitoring im Browser.

OWASP Top 10

JustParity wurde mit den OWASP Top 10 als Baseline entwickelt. Status gemäß letztem internen Audit (18.01.2026):

RisikoStatusKontrollen
A01 Broken Access ControlMitigiertRLS, Rollenprüfungen, Audit-Trail
A02 Cryptographic FailuresMitigiertTLS 1.3, AES-256 im Ruhezustand
A03 InjectionMitigiertParametrisierte Queries, Zod-Validierung
A04 Insecure DesignMitigiertThreat Modeling, Secure by Default
A05 Security MisconfigurationMitigiertEnv-Validierung beim Boot, HSTS, CSP
A06 Vulnerable ComponentsÜberwachtDependabot, npm audit in der CI
A07 Authentication FailuresMitigiertJWT, MFA, Rate Limiting, Session Hardening
A08 Software/Data IntegrityMitigiertSignierte CI/CD, unveränderliche Audit-Logs
A09 Security LoggingMitigiertSentry, Supabase-Logs, Audit-Trail
A10 SSRFMitigiertAllowlist für ausgehende Aufrufe

Zertifizierungen und Roadmap

Wir arbeiten auf formelle Zertifizierungen hin, um die Anforderungen von Enterprise-Kunden zu erfüllen:

SOC 2 Type II

Langfristiges Ziel. Kein Datum festgelegt.

ISO 27001

Langfristiges Ziel.

DSGVO

DSGVO-konformer Betrieb; internes Security-Audit im Januar 2026 abgeschlossen, externe unabhängige Erklärung (ISAE 3000) in Vorbereitung. Details unter /dsgvo und im Auftragsverarbeitungsvertrag.

Penetrationstests

Internes Security-Audit abgeschlossen am 18.01.2026 (Security-Hardening-Sprint). Externer Penetrationstest in Vorbereitung. Ergebnisse externer Penetrationstests können auf Anfrage an security@justparity.com unter NDA geteilt werden.

Datenaufbewahrung und Löschung

Daten aus Lohnsystem-Integrationen werden nur so lange aufbewahrt, wie es für die Compliance-Berichterstattung und das aktive Abonnement des Kunden erforderlich ist:

  • Aktiver Kunde: Daten sind verfügbar, solange das Abonnement aktiv ist.
  • Bei Kündigung: Personenbezogene Daten werden innerhalb von 30 Tagen gelöscht. Aggregierte Compliance-Berichte (anonymisiert) werden gemäß gesetzlichen Vorgaben aufbewahrt.
  • Recht auf Löschung: Einzelpersonen können uns über ihren Arbeitgeber oder direkt kontaktieren, um ihre Rechte nach Art. 17 DSGVO auszuüben. Siehe /dsgvo.
  • Audit-Logs: Sicherheitsrelevante Logs werden für Compliance-Zwecke 12 Monate aufbewahrt.

Verantwortungsvolle Offenlegung von Schwachstellen

Wenn Sie eine Schwachstelle in JustParity finden, bitten wir Sie, diese verantwortungsvoll zu melden:

So melden Sie eine Schwachstelle:

  1. Senden Sie eine E-Mail an security@justparity.com
  2. Beschreiben Sie die Schwachstelle, den Reproduktionsweg und die potenzielle Auswirkung.
  3. Wir bestätigen den Eingang innerhalb von 48 Stunden und geben Ihnen innerhalb von 7 Tagen ein Status-Update.
  4. Bitte warten Sie mit einer öffentlichen Offenlegung, bis der Patch ausgerollt ist (Standardfrist: 90 Tage).

Hinweis: Die oben genannten Fristen (48 Stunden, 7 Tage, 90 Tage) gelten für die verantwortungsvolle Offenlegung von Schwachstellen. Die Meldung einer Verletzung des Schutzes personenbezogener Daten richtet sich nach dem Auftragsverarbeitungsvertrag (spätestens 24 Stunden an den Verantwortlichen), vgl. AVV Abschnitt 10.1.

Wir bieten derzeit kein formelles Bug-Bounty-Programm an, würdigen verantwortungsvolle Sicherheitsforscher jedoch stets in einer Hall of Fame beim Patch-Release.

Unterauftragsverarbeiter und Datenflüsse

JustParity setzt die folgenden Unterauftragsverarbeiter ein. Die vollständige Liste mit Zweck und Standort finden Sie im Auftragsverarbeitungsvertrag.

  • Supabase (Datenbank und Auth, EU-Region)
  • Netlify (Webhosting, EU-Edge)
  • Google Ireland Limited (Transaktions-E-Mails, EU/USA)
  • Slack Technologies (interne Benachrichtigungen, EU)
  • Sentry (Fehlermonitoring im Browser; EU-Region bei EU-Org)
  • Redis-Anbieter (Rate-Limiting, EU-Region)

Fragen zur Sicherheit?

Schreiben Sie an security@justparity.com oder füllen Sie das untenstehende Formular aus.

Sicherheitsfragen

Beschreiben Sie Ihr Anliegen oder nutzen Sie direkt security@justparity.com für die verantwortungsvolle Offenlegung von Schwachstellen.