1. Über diese Seite
Diese Seite wird von MIKUJY Sàrl gepflegt, um häufige Fragen zu Sicherheit und Datenschutz im Zusammenhang mit mikujy.com und der MIKUJY-Plattform zu beantworten. Sie beschreibt die derzeit eingesetzten Kontrollen; sie stellt keine unabhängige Zertifizierung dar.
Für detaillierte Dokumente (AVV, Sicherheitsfragebögen, Unterauftragsverarbeiter) schreiben Sie bitte an info@mikujy.com.
2. Hosting & Infrastruktur
- Haupt-Hosting: Lovable / Cloudflare (globaler Edge mit EU-Replikaten) für die öffentliche Website.
- Datenbank und Authentifizierung: Supabase (Frankfurt, EU), mit aktivierter Row-Level Security auf allen Anwendungstabellen.
- Domainname und geschäftliche E-Mail: Infomaniak (Schweiz).
- HTTPS/TLS wird auf allen öffentlichen Endpunkten erzwungen (HSTS aktiviert).
3. Datenschutz
- Bei der Übertragung: TLS 1.2+ für alle öffentlichen und administrativen Verbindungen.
- Im Ruhezustand: Verschlüsselung auf Speicherebene, verwaltet durch unsere Hosting-Anbieter (Supabase, Cloudflare R2).
- Isolierung: pro Organisation scoped RLS-Policies, strikte Trennung der Anwendungsrollen.
- Secrets: im Tresor der Plattform verwaltet, niemals im Quellcode.
4. Zugriffskontrolle
- Least-Privilege-Prinzip für administrative Zugriffe.
- MFA ist für interne Konten mit Produktionszugriff erforderlich.
- Audit-Logs sensibler Zugriffe werden 12 Monate aufbewahrt.
5. Unterauftragsverarbeiter
| Unterauftragsverarbeiter | Zweck | Standort |
|---|---|---|
| Lovable / Cloudflare | Website-Hosting, CDN, DDoS-Schutz | EU / globaler Edge |
| Supabase | Anwendungsdatenbank, Authentifizierung, Speicherung | EU (Frankfurt) |
| Resend | Versand transaktionaler E-Mails | EU / USA |
| Infomaniak | Domain und E-Mail-Postfächer | Schweiz |
| Google (GA4 / Ads) | Analytics und Werbung (einwilligungsbasiert) | USA |
6. Reaktion auf Vorfälle & verantwortungsvolle Offenlegung
Im Falle eines Sicherheitsvorfalls, der Kundendaten betrifft, benachrichtigt MIKUJY die betroffenen Kunden innerhalb von 72 Stunden nach Bekanntwerden gemäß DSGVO (Art. 33).
Eine Schwachstelle melden: info@mikujy.com — siehe auch security.txt. Wir bestätigen den Eingang innerhalb von 3 Arbeitstagen und verpflichten uns, Forschende, die in gutem Glauben handeln, nicht rechtlich zu verfolgen.
7. Zertifizierungen & geteilte Verantwortung
MIKUJY verfügt derzeit nicht über eigene ISO 27001-, SOC 2- oder HDS-Zertifizierungen. Wir stützen uns auf die Zertifizierungen unserer Unterauftragsverarbeiter (Cloudflare, Supabase, Google), die auf deren jeweiligen Trust-Seiten dokumentiert sind.
Geteilte Verantwortung: MIKUJY ist für die Sicherheit der Plattform und der Daten verantwortlich, die unsere Kunden darin speichern. Der Kunde bleibt für die Verwaltung seiner Konten, Zugriffsrechte und der Daten verantwortlich, die er importieren möchte.