Sicherheit
Wir haben umfassende Sicherheitskontrollen implementiert, um Ihre Daten zu schützen und die Integrität unserer Plattform zu gewährleisten.
Unsere Sicherheitsmaßnahmen sind an branchenüblichen Frameworks wie den OWASP Top 10 ausgerichtet und bieten Schutz auf Unternehmensniveau gegen moderne Sicherheitsbedrohungen.
Zugriffstoken verwenden asymmetrische RS256-Signierung und enthalten Benutzeridentität, Sitzungsverfolgung und automatisches Ablaufen. Jedes Token wird kryptografisch verifiziert und Sitzungen können bei Bedarf sofort widerrufen werden.
Benutzersitzungen werden durch sichere, HTTP-only Cookies und kurzlebige Sitzungstoken geschützt. Sitzungen laufen automatisch nach Inaktivitätsphasen ab, und Token werden sicher gespeichert und bei Abmeldung oder verdächtiger Aktivität ungültig gemacht. Sitzungsdaten werden niemals clientseitigen Skripten zugänglich gemacht, wodurch das Risiko von Session-Hijacking reduziert wird.
Trainingsmaterialien und hochgeladene Dateien werden über kurzlebige vorsignierte URLs bereitgestellt, die nach 60 Sekunden ablaufen, wodurch das Fenster für sensible Inhalte minimiert wird.
Alle Daten während der Übertragung werden mit branchenüblichem HTTPS mit aktiviertem HTTP Strict Transport Security (HSTS) geschützt. Wir setzen Content Security Policy (CSP) durch, implementieren Frame-Schutz und deaktivieren Content-Type-Sniffing, um vor gängigen browserbasierten Angriffen zu schützen.
Alle API-Schlüssel werden vor der Speicherung mit branchenüblichen Algorithmen gehasht. Ausgehende Webhooks können mit HMAC-Signaturen kryptografisch signiert werden, sodass Sie die Authentizität der von unserer Plattform gesendeten Daten überprüfen können.
URL-basierte Importe und das Abrufen entfernter Ressourcen werden streng validiert. Wir erlauben nur Standard-HTTP/HTTPS-Protokolle und blockieren automatisch Anfragen an interne Netzwerke, private IP-Bereiche und andere potenziell gefährliche Ziele.
Der Produktions-API-Zugriff wird durch eine strikte CORS-Whitelist geschützt, die sicherstellt, dass nur autorisierte Domains mit Ihren Daten interagieren können. HTTP-Parameter-Pollution-Angriffe werden automatisch durch Ablehnung doppelter Parameter blockiert.
Das Dashboard kann nicht in Drittanbieter-Frames eingebettet werden, wodurch Schutz vor Clickjacking-Angriffen und unbefugter Einbettung geboten wird.
Unsere Plattform setzt strikte Isolation zwischen verschiedenen Chatbots und Konten durch. Die Ressourcen jedes Chatbots sind vollständig getrennt, um unbefugten mandantenübergreifenden Zugriff zu verhindern.
Jeder Chatbot in Ihrer Organisation ist durch granulare Berechtigungen geschützt, die Lese- und Schreibzugriffskontrollen durchsetzen. Teammitglieder können nur auf Ressourcen zugreifen, für die sie ausdrücklich autorisiert sind, um eine ordnungsgemäße Aufgabentrennung zu gewährleisten.
Konversationsdaten respektieren Freigaberichtlinien, die auf Chatbot-Ebene konfiguriert sind. Ob Konversationen auf bestimmte Teammitglieder beschränkt oder breiter geteilt werden, diese Berechtigungen werden serverseitig durchgesetzt und können nicht umgangen werden.
Benutzerpasswörter werden mit branchenüblichen Algorithmen gehasht und niemals im Klartext gespeichert. Passwort-Reset-Flows verwenden kryptografisch signierte, zeitlich begrenzte Token, die nicht wiederverwendet oder gefälscht werden können.
Anmeldeversuche werden sowohl nach E-Mail-Adresse als auch nach IP-Adresse überwacht. Wiederholte fehlgeschlagene Anmeldeversuche lösen automatische temporäre Sperren aus und schützen Konten vor Credential-Stuffing-Angriffen.
Die Trainingsdaten und Wissensbasis jedes Chatbots werden in isolierten Vektor-Datenbank-Namespaces gespeichert, wodurch jegliche Möglichkeit einer Cross-Kontamination zwischen verschiedenen Chatbots oder Konten verhindert wird.
Alle sensiblen Anmeldeinformationen werden im AWS Secrets Manager gespeichert und niemals in Code oder Konfigurationsdateien committed. Datenbankverbindungen werden über sichere RDS-Proxies mit erzwungener Verschlüsselung geleitet.
Umfassendes Rate-Limiting wird über alle Chat-Endpunkte hinweg unter Verwendung eines Gleitfenster-Algorithmus angewendet. Dies schützt vor Denial-of-Service-Angriffen und automatisiertem Missbrauch und stellt gleichzeitig sicher, dass legitime Benutzer einen unterbrechungsfreien Service erleben.
Alle von Benutzern generierten Inhalte, einschließlich Playbook-Konfigurationen, Chatbot-Namen, Regeln und Trigger, werden vor der Speicherung automatisch mit branchenüblichen HTML-Sanitization-Bibliotheken bereinigt. Dies verhindert, dass bösartige Skripte in die Plattform injiziert werden.
Unsere Plattform verwendet intelligente Spam-Erkennung mit persistenten IP-Blacklisting-Funktionen. Legitimer Traffic wird auf die Whitelist gesetzt, um False Positives zu minimieren und gleichzeitig einen starken Schutz gegen böswillige Akteure aufrechtzuerhalten.
Hochgeladene Dateien durchlaufen eine strenge Validierung einschließlich Dateinamen-Sanitization, Dateityp-Verifizierung und Größenbeschränkungen. Bösartige Dateipfade werden automatisch abgelehnt, um Directory-Traversal-Angriffe zu verhindern.
Suchanfragen und Benutzereingaben im gesamten Dashboard unterliegen Längenbeschränkungen und Rate-Limiting, wodurch die Angriffsfläche für Injection-Versuche und Missbrauch reduziert wird.
Widget-Embeds können auf bestimmte Domains mit Parent-Domain-Validierung beschränkt werden. Zeitbasierte aktive Stunden reduzieren die Exposition weiter, indem sie einschränken, wann auf Ihren Chatbot zugegriffen werden kann.
Alle sicherheitsrelevanten Ereignisse werden protokolliert, einschließlich Autorisierungsfehlern, Rate-Limit-Verstößen, Quota-Überschreitungen und abgelehnten Datei-Uploads. Dies bietet umfassende Audit-Trails für komplexe Sicherheitsanalysen und detaillierte Compliance-Anforderungen.
Sowohl unsere Backend-Infrastruktur als auch unsere Dashboard-Anwendung werden durch unternehmenstaugliche Fehlerverfolgung überwacht. Dies beinhaltet detaillierte Sitzungswiedergabe-Funktionen, die sich automatisch bei Fehlern aktivieren und eine schnelle Diagnose und Lösung ermöglichen.
Alle hochgeladenen Dateien und remote importierten Inhalte werden mit serverseitigem Virenschutz gescannt, bevor sie gespeichert oder verarbeitet werden. Dies umfasst Trainingsmaterialien, Avatar-Bilder und alle von externen URLs importierten Inhalte.
Strikte Whitelists regeln, welche Dateitypen für verschiedene Zwecke hochgeladen werden können. Dateigrößen sind begrenzt, um Ressourcenerschöpfungsangriffe zu verhindern, und Inhalte werden vor der Verarbeitung validiert.
Chat-Widgets und Embeds können nach IP-Adresse oder geografischem Standort eingeschränkt werden. Diese Einschränkungen werden in Echtzeit basierend auf Ihrer Konfiguration durchgesetzt.
Automatisierter Bot-Traffic wird erkannt und aus Analysen und Telemetrie gefiltert, um sicherzustellen, dass Ihre Engagement-Metriken echte Benutzerinteraktionen widerspiegeln.
Ausgehende Webhooks enthalten HMAC-Signaturen, die Sie überprüfen können, um sicherzustellen, dass Anfragen wirklich von unserer Plattform stammen. Webhook-Secrets werden sicher generiert und können jederzeit rotiert werden.
Stripe-Webhook-Ereignisse werden mit offiziellen Signaturvalidierungsmethoden verifiziert, um sicherzustellen, dass Abrechnungsereignisse authentisch und nicht manipuliert sind.
Integrationen mit WhatsApp, Instagram und anderen Messaging-Plattformen verwenden Verifizierungstoken, Event-Deduplizierung und Authentizitätsprüfungen, um gefälschte Nachrichten und Replay-Angriffe zu verhindern.