Verschlüsselung
- TLS 1.3 in Transit, HSTS Preload, ausschließlich moderne Cipher Suites.
- AWS KMS SSE-KMS at-Rest für Paid-Dossiers und Uploads.
- Kundengetrennte S3-Prefixe; nie ein gemeinsam genutzter Bucket-Key.
Trust
Security Übersicht
Technische und organisatorische Maßnahmen zum Schutz der LegalAudit-Infrastruktur und Kundenbeweise.
Audit Chain
- SHA-256 hash-chained WORM Audit-Log für jede relevante Aktion.
- Automatische Verifikation auf /api/ready; Tamper-Alerts an On-Call.
- Admin-Aktionen werden über authentifizierte Sessions signiert.
Anwendungssicherheit
- Strikte Content-Security-Policy mit nonced Scripts, in Produktion erzwungen.
- ClamAV-Vorscan jedes Uploads; Archive in bwrap-Sandbox extrahiert.
- SSRF-Schutz bei jedem ausgehenden URL-Fetch (DNS-Pinning, IP-Allowlists).
- Server-seitiges Rate Limiting pro Tenant/User und pro IP.
Identity & Access
- MFA-Pflicht für gesamtes Personal mit Produktionszugriff.
- RBAC, vierteljährliche Zugriffsprüfungen.
- Secrets in verwaltetem Secret Store; Rotation bei Incident.
Resilienz
- Tägliche verschlüsselte DB-Backups, Point-in-Time-Recovery.
- Redis-basierte Queue mit Ack/Visibility-Semantik und DLQ.
- Health- und Readiness-Probes für DB, Redis, S3, LLM und Audit Chain.
Testing
- Externer Penetrationstest in Q4 2026 beauftragt (Report auf Anfrage nach Abschluss).
- Kontinuierliches Dependency-Scanning und CSP-Report-Monitoring.
- Internes Red-Teaming mit Fokus auf Prompt Injection und Data Exfiltration.
Coordinated Disclosure
Vulnerabilities an security@legalaudit.ch melden. Bestätigung binnen 24 h, Triage binnen 72 h. PGP-Fingerprint: PGP-Schlüssel auf Anfrage — Platzhalter bis zur Veröffentlichung des offiziellen Schlüsselblocks.
Informationsdokument der LegalAudit SA. Aussagen spiegeln den aktuellen Stand der Kontrollen wider und werden quartalsweise geprüft. Keine vertragliche Zusicherung, ausser durch unterzeichneten Vertrag. Verbindliche Bedingungen: AVV bei privacy@legalaudit.ch anfordern.