Sicherheit bei Sendekontor.de

Wir verarbeiten Ihre Briefe und Dokumente mit der Sorgfalt, die wir selbst von einem digitalen Postdienst erwarten würden. Diese Seite gibt einen Überblick über die wichtigsten technischen und organisatorischen Schutzmaßnahmen.

Datenübertragung

• Vollständige TLS-Verschlüsselung (HTTPS) sämtlicher Zugriffe auf das Portal.
• Strict-Transport-Security (HSTS) verhindert Downgrade-Angriffe.
• Strikte Sicherheits-Header (Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy).

Authentifizierung

• Passwörter werden nach aktuellem Stand der Technik mit bcrypt gehasht; Klartext-Passwörter werden zu keinem Zeitpunkt gespeichert.
• Schutz vor Brute-Force-Angriffen über Rate-Limits auf Login und Passwort-Reset.
• Sessions werden nach erfolgreichem Login regeneriert, sind HTTP-only und SameSite=Lax markiert.
• Passwort-Reset-Links sind kryptographisch zufällig, einmalig verwendbar und nach 60 Minuten ungültig.

Speicherung der Dokumente

• Hochgeladene PDFs liegen außerhalb des öffentlichen Webroots und sind nicht direkt aus dem Internet abrufbar.
• Download und Anzeige sind ausschließlich über das Portal mit Berechtigungs-Prüfung möglich.
• Datei-Uploads werden auf Endung, MIME-Typ und Größe geprüft, bevor sie gespeichert werden.
• Nach standardmäßig 90 Tagen werden ausgelieferte PDFs automatisch gelöscht (konfigurierbar).

Datenbank & Anwendung

• Sämtliche Datenbankabfragen sind als Prepared Statements (PDO) implementiert; SQL-Injection wird so strukturell verhindert.
• Formulare sind durch CSRF-Tokens gegen Cross-Site-Request-Forgery abgesichert.
• Mandantentrennung über company_id und Rollen-/Rechtekonzept.
• Fehlerausgaben sind in Produktion deaktiviert; Fehlermeldungen werden geloggt, nicht angezeigt.

Infrastruktur

• Server-Standort: Deutschland.
• Regelmäßige Sicherheits-Updates für Betriebssystem, Webserver, PHP und Datenbank.
• Backups der Datenbank und Konfigurationen; Wiederanlauf-Tests in regelmäßigem Turnus.
• Logging sicherheitsrelevanter Ereignisse (Logins, Auftragsänderungen).

Datenschutz

Wir verarbeiten Ihre Daten ausschließlich nach DSGVO und BDSG. Geschäftskunden stellen wir auf Wunsch einen Auftragsverarbeitungsvertrag (AVV) bereit. Details zur Verarbeitung finden Sie in der Datenschutzerklärung.

Sicherheitslücke gefunden? - Responsible Disclosure

Wenn Sie eine Sicherheitslücke in unserem Dienst entdeckt haben, freuen wir uns über eine vertrauliche Meldung an kontakt@sendekontor.de. Bitte geben Sie uns angemessene Zeit (in der Regel 30 Tage) zur Behebung, bevor Sie Details veröffentlichen. Wir behandeln Ihre Hinweise vertraulich.

Stand: 05/2026