Sicherheit bei JustParity
Wie wir die Gehaltsdaten Ihrer Beschäftigten schützen, welchen Sicherheitsstandards wir folgen und wie Sie Schwachstellen melden.
Zuletzt aktualisiert: 7. Juli 2026 · security@justparity.com
Sicherheitsarchitektur
JustParity ist auf einem modernen, isolierten Stack mit Defense-in-Depth-Architektur aufgebaut:
- Multi-Tenant-Isolation: Row-Level Security (RLS) auf Tabellen mit personenbezogenen Daten, logische Multi-Tenant-Isolation getestet und gehärtet (zuletzt 04-2026). Keine bekannte Cross-Tenant-Exponierung nach der Härtung.
- Authentifizierung: Supabase Auth mit JWT, MFA-Unterstützung, Session Hardening und Rate Limiting beim Login.
- Verschlüsselung bei der Übertragung: TLS 1.3 überall. HSTS-Preload eingereicht.
- Verschlüsselung im Ruhezustand: AES-256 für die Datenbank und alle Dateien (Supabase Storage).
- Netzwerkisolation: Der Datenbankzugriff ist durch Row-Level Security, JWT und TLS geschützt. Keine direkte SQL-Exponierung gegenüber dem Internet.
- Observability: Sentry für das Fehlermonitoring im Browser.
OWASP Top 10
JustParity wurde mit den OWASP Top 10 als Baseline entwickelt. Status gemäß letztem internen Audit (18.01.2026):
| Risiko | Status | Kontrollen |
|---|---|---|
| A01 Broken Access Control | Mitigiert | RLS, Rollenprüfungen, Audit-Trail |
| A02 Cryptographic Failures | Mitigiert | TLS 1.3, AES-256 im Ruhezustand |
| A03 Injection | Mitigiert | Parametrisierte Queries, Zod-Validierung |
| A04 Insecure Design | Mitigiert | Threat Modeling, Secure by Default |
| A05 Security Misconfiguration | Mitigiert | Env-Validierung beim Boot, HSTS, CSP |
| A06 Vulnerable Components | Überwacht | Dependabot, npm audit in der CI |
| A07 Authentication Failures | Mitigiert | JWT, MFA, Rate Limiting, Session Hardening |
| A08 Software/Data Integrity | Mitigiert | Signierte CI/CD, unveränderliche Audit-Logs |
| A09 Security Logging | Mitigiert | Sentry, Supabase-Logs, Audit-Trail |
| A10 SSRF | Mitigiert | Allowlist für ausgehende Aufrufe |
Zertifizierungen und Roadmap
Wir arbeiten auf formelle Zertifizierungen hin, um die Anforderungen von Enterprise-Kunden zu erfüllen:
SOC 2 Type II
Langfristiges Ziel. Kein Datum festgelegt.
ISO 27001
Langfristiges Ziel.
DSGVO
DSGVO-konformer Betrieb; internes Security-Audit im Januar 2026 abgeschlossen, externe unabhängige Erklärung (ISAE 3000) in Vorbereitung. Details unter /dsgvo und im Auftragsverarbeitungsvertrag.
Penetrationstests
Internes Security-Audit abgeschlossen am 18.01.2026 (Security-Hardening-Sprint). Externer Penetrationstest in Vorbereitung. Ergebnisse externer Penetrationstests können auf Anfrage an security@justparity.com unter NDA geteilt werden.
Datenaufbewahrung und Löschung
Daten aus Lohnsystem-Integrationen werden nur so lange aufbewahrt, wie es für die Compliance-Berichterstattung und das aktive Abonnement des Kunden erforderlich ist:
- Aktiver Kunde: Daten sind verfügbar, solange das Abonnement aktiv ist.
- Bei Kündigung: Personenbezogene Daten werden innerhalb von 30 Tagen gelöscht. Aggregierte Compliance-Berichte (anonymisiert) werden gemäß gesetzlichen Vorgaben aufbewahrt.
- Recht auf Löschung: Einzelpersonen können uns über ihren Arbeitgeber oder direkt kontaktieren, um ihre Rechte nach Art. 17 DSGVO auszuüben. Siehe /dsgvo.
- Audit-Logs: Sicherheitsrelevante Logs werden für Compliance-Zwecke 12 Monate aufbewahrt.
Verantwortungsvolle Offenlegung von Schwachstellen
Wenn Sie eine Schwachstelle in JustParity finden, bitten wir Sie, diese verantwortungsvoll zu melden:
So melden Sie eine Schwachstelle:
- Senden Sie eine E-Mail an security@justparity.com
- Beschreiben Sie die Schwachstelle, den Reproduktionsweg und die potenzielle Auswirkung.
- Wir bestätigen den Eingang innerhalb von 48 Stunden und geben Ihnen innerhalb von 7 Tagen ein Status-Update.
- Bitte warten Sie mit einer öffentlichen Offenlegung, bis der Patch ausgerollt ist (Standardfrist: 90 Tage).
Hinweis: Die oben genannten Fristen (48 Stunden, 7 Tage, 90 Tage) gelten für die verantwortungsvolle Offenlegung von Schwachstellen. Die Meldung einer Verletzung des Schutzes personenbezogener Daten richtet sich nach dem Auftragsverarbeitungsvertrag (spätestens 24 Stunden an den Verantwortlichen), vgl. AVV Abschnitt 10.1.
Wir bieten derzeit kein formelles Bug-Bounty-Programm an, würdigen verantwortungsvolle Sicherheitsforscher jedoch stets in einer Hall of Fame beim Patch-Release.
Unterauftragsverarbeiter und Datenflüsse
JustParity setzt die folgenden Unterauftragsverarbeiter ein. Die vollständige Liste mit Zweck und Standort finden Sie im Auftragsverarbeitungsvertrag.
- Supabase (Datenbank und Auth, EU-Region)
- Netlify (Webhosting, EU-Edge)
- Google Ireland Limited (Transaktions-E-Mails, EU/USA)
- Slack Technologies (interne Benachrichtigungen, EU)
- Sentry (Fehlermonitoring im Browser; EU-Region bei EU-Org)
- Redis-Anbieter (Rate-Limiting, EU-Region)
Fragen zur Sicherheit?
Schreiben Sie an security@justparity.com oder füllen Sie das untenstehende Formular aus.
Sicherheitsfragen
Beschreiben Sie Ihr Anliegen oder nutzen Sie direkt security@justparity.com für die verantwortungsvolle Offenlegung von Schwachstellen.