Sicherheit & Transparenz

Unser Sicherheitsansatz ist dokumentiert, überprüfbar und transparent.

MITRE ATT&CK Mobile Abdeckung

Unsere Funktionen stützen sich auf mehrere Prüfpunkte, die dem MITRE ATT&CK Mobile Framework zugeordnet sind. Jede Erkennung ist mit einer öffentlich überprüfbaren MITRE-Kennung verknüpft.

Bedrohungsmodell

Trasimene zielt auf die im MITRE ATT&CK Mobile Framework dokumentierten Bedrohungen ab: Phishing und Quishing, bösartige Anwendungen, Abfangen des Netzwerkverkehrs (MITM), Datenlecks und Spyware. Der genaue Umfang der Erkennungen hängt von den Möglichkeiten der jeweiligen Plattform (Android, iOS) ab: Wir dokumentieren, was die Anwendung erkennen kann — und was nicht —, ohne einen 100-prozentigen Schutz zu versprechen.

Standardkonformität

OWASP Mobile Top 10, OWASP MASTG, NIST SP 800-63B, DSGVO, ISO 25010. Unser Code wird regelmäßig geprüft.

Verschlüsselung

AES-256-GCM für den Tresor, TLS 1.3 für Kommunikation, WireGuard für das VPN. Verschlüsselungsschlüssel werden in Google Cloud Secret Manager gespeichert.

Verwaltung von Schlüsseln und Geheimnissen

Verschlüsselungsschlüssel und Infrastrukturgeheimnisse werden in Google Cloud Secret Manager, Region europe-west1 (EU), gespeichert, mit per IAM beschränktem und protokolliertem Zugriff. Der Inhalt des Tresors wird mit AES-256-GCM verschlüsselt; keine Kreditkartendaten werden von uns gespeichert.

Datenstandort

Die Infrastruktur (Website, API, Daten) wird auf Google Cloud, Region europe-west1 (EU), gehostet. Keine Daten werden verkauft. Die Auftragsverarbeiter und etwaige Übermittlungen außerhalb der EU, die durch Standardvertragsklauseln abgesichert sind, werden in unserer Datenschutzrichtlinie erläutert.

Datenschutz

Trasimene erhebt nur Daten, die für den Dienst unbedingt erforderlich sind. Keine Daten werden verkauft. Keine Tracker von Drittanbietern in der App.

Verantwortungsvolle Offenlegung

Sie haben eine Schwachstelle entdeckt? Schreiben Sie uns an contact@trasimene.com — unsere Richtlinie ist in unserer Datei security.txt veröffentlicht (/.well-known/security.txt). Wir bestätigen den Eingang, beheben das Problem mit Priorität und leiten keine rechtlichen Schritte gegen in gutem Glauben handelnde Sicherheitsforscher ein.