Trust Center

Sicherheitsverpflichtungen

Grundprinzipien, die regeln, wie die autonomen Agenten von SQUR bei jedem Auftrag arbeiten.

Nur Tests im Scope

SQUR arbeitet streng innerhalb autorisierter Ziele und Scope-Definitionen. Tests gehen nie über das hinaus, was Sie ausdrücklich autorisiert haben. Assets außerhalb des Scopes werden automatisch ausgeschlossen.

Rate-Limits & kontrollierte Ausführung

Alle automatisierten Aktivitäten sind rate-limitiert, um Betriebsstörungen zu vermeiden. Tests nutzen nicht-destruktive Techniken mit konfigurierbarer Drosselung. Für Produktionsumgebungen lassen sich zusätzliche Schutzmaßnahmen festlegen.

Nur verifizierte Funde

Jede gemeldete Schwachstelle wird von den KI-Agenten von SQUR aktiv ausgenutzt und bestätigt, bevor sie in Ihrem Bericht erscheint. Wenn wir nicht nachweisen können, dass sie real ist, melden wir sie nicht.

Kein DoS, keine Datenexfiltration

SQUR versucht niemals Denial-of-Service-Angriffe und exfiltriert keine echten Daten. Wenn eine Ausnutzung nötig ist, um einen Fund zu bestätigen, werden synthetische Payloads unter isolierten Testbedingungen verwendet.

Vollständiger Audit-Trail

Jede während eines Pentests durchgeführte Aktion wird mit Zeitstempel, Begründung und Nachweis protokolliert. Einsehbar in Ihrem Dashboard und für vollständige Transparenz im Abschlussbericht enthalten.

Kostenloser Retest inklusive

Nachdem Sie Funde behoben haben, retesten Sie kostenlos, um zu bestätigen, dass die Schwachstellen behoben sind. Der Nachweis-Kreislauf schließt sich - ein Testpreis deckt den gesamten Fix-Verify-Zyklus ab.

Abdeckung von Compliance-Frameworks

SQUR-Berichte sind so strukturiert, dass sie Nachweise zur Unterstützung der Sicherheitstest-Anforderungen gängiger Compliance-Frameworks liefern. Wir stellen zugeordnete Nachweise bereit - wir beanspruchen keine eigene Zertifizierung.

Berichte zugeordnet zu: ISO 27001 SOC 2 DSGVO NIS2 DORA BSI CRA

Framework	Relevante Kontrolle	Von SQUR bereitgestellte Nachweise	Abdeckung
ISO 27001:2022	Anhang A 8.8 - Technisches Schwachstellenmanagement	Pentest-Bericht mit Zeitstempel, verifizierte Funde, Nachweis der Behebung	✓ Unterstützt
SOC 2 Type II	CC7.1 - Logische & physische Zugangskontrollen; CC9.2 - Risikomanagement	Penetrationstest-Nachweis, Offenlegung von Schwachstellen, Retest-Bestätigung	✓ Unterstützt
DORA (Artikel 24)	Resilienztest-Programm einschließlich Penetrationstests	Umfassender Testbericht, Liste ausgenutzter Funde, Nachweis der Behebung	✓ Unterstützt
NIS2	Artikel 21 - Maßnahmen zum Cybersicherheits-Risikomanagement	Schwachstellenbewertung, Schweregradeinstufungen, Anleitung zur Behebung	✓ Unterstützt
DSGVO (Artikel 32)	Technische Sicherheitsmaßnahmen, dem Risiko angemessen	Sicherheitstest-Nachweise, die proaktives Risikomanagement belegen	✓ Unterstützt
CRA (Cyber Resilience Act)	Wesentliche Cybersicherheitsanforderungen für digitale Produkte	Sicherheitstest-Nachweise für API und Webanwendungen	~ Teilweise

Unsere Zertifizierungslage

Wir arbeiten aktiv auf die Zertifizierung nach ISO 27001 und SOC 2 Type II hin. Wir werden Audit-Termine veröffentlichen, sobald sie feststehen. In der Zwischenzeit sind unsere Berichte so strukturiert, dass sie Kunden unterstützen, die diese Frameworks verfolgen, und die unten genannten Kontrollen sind im aktiven täglichen Betrieb.

Laufend

DSGVO Artikel 25 Datenschutz durch Technikgestaltung

AKTIV

Laufend

Jährlicher externer Penetrationstest

AKTIV

Datenverarbeitung & Datenschutz

Wir minimieren, was wir erheben, schützen, was wir speichern, und geben Ihnen klare Kontrollen über die Datenaufbewahrung.

Datenstandort

Alle Kundendaten werden in EU-Cloud-Regionen gespeichert (europe-west1, Belgien)
Keine Datenübertragung außerhalb der EU/des EWR ohne ausdrückliche Einwilligung
DSGVO-konforme Auftragsverarbeitungsverträge auf Anfrage verfügbar

Verschlüsselung

Bei der Übertragung: TLS 1.2+ auf allen Verbindungen erzwungen
Im Ruhezustand: AES-256 verwaltete Verschlüsselung (Google Cloud KMS)
Zugangsdaten und Tokens getrennt von Berichtsdaten gespeichert

Aufbewahrung & Löschung

Testdaten werden nach Abschluss des Tests für einen begrenzten Zeitraum aufbewahrt
Berichte stehen während des Aufbewahrungsfensters zum Download bereit
Datenlöschung auf Anfrage
Kein Verkauf von Kundendaten an Dritte

Zugriffskontrolle

Rollenbasierte Zugriffskontrolle innerhalb von Kundenkonten
Interner Zugriff auf Kundendaten nach dem Least-Privilege-Prinzip
Jeder interne Zugriff auf Produktivsysteme wird protokolliert und auditiert
Multi-Faktor-Authentifizierung für alle SQUR-Mitarbeiter mit Zugriff auf die Produktion erforderlich

Plattformsicherheit

SQUR wird mit Security-by-default gebaut und betrieben. Wir kochen mit unserem eigenen Rezept.

Sicherer SDLC

Die eigene Plattform von SQUR wird kontinuierlich mit SQUR getestet. Code-Änderungen durchlaufen vor dem Deployment eine automatisierte Sicherheitsanalyse, Dependency-Scanning (Snyk, Dependabot) und SAST.

Infrastruktursicherheit

Gehärtete Container-Laufzeitumgebung. Segmentierung auf Netzwerkebene zwischen Kundenumgebungen. Strikte Content Security Policies. Keine gemeinsame Compute-Nutzung zwischen Kunden während aktiver Tests.

Schwachstellenmanagement

Kritische Schwachstellen werden innerhalb von 24 Stunden gepatcht. Hohe Schweregrade innerhalb von 7 Tagen. Dependency-Updates nach wöchentlichem automatisierten Zeitplan. Penetrationstests der SQUR-Infrastruktur werden jährlich durchgeführt.

Incident Response

Definierter Incident-Response-Prozess mit Eskalationswegen. Kundenbenachrichtigung innerhalb von 72 Stunden bei jedem Datenvorfall, wie von DSGVO Artikel 33 gefordert. Post-Incident-Berichte auf Anfrage verfügbar.

Service Levels

Unsere operativen Verpflichtungen bei jedem Auftrag.

24h

SLA für die Pentest-Lieferung Standardaufträge werden innerhalb von 24 Stunden nach der Zielkonfiguration geliefert. Große oder komplexe Scopes können bis zu 48 Stunden benötigen.

0

Nur verifizierte Funde Jeder gemeldete Fund wird durch Dual-KI-Verifizierung als ausnutzbar bestätigt. Nicht verifizierte potenzielle Probleme werden nicht in Berichte aufgenommen.

Gratis

Retest inklusive Kostenloser Retest aller Funde aus jedem Auftrag. Keine zusätzlichen Kosten, um zu verifizieren, dass Ihre Korrekturen wirksam sind.

EU

Datenstandort Alle Daten werden in Belgien (europe-west1) gespeichert. Kundendaten werden in der EU gespeichert. Einige operative Telemetriedaten können von EU-konformen Unterauftragsverarbeitern verarbeitet werden.

Hoch

Plattformverfügbarkeit Geplante Wartungen werden im Voraus kommuniziert. Enterprise-SLAs auf Anfrage verfügbar.

Enterprise-SLAs mit formellen Verpflichtungen und Vertragsstrafen auf Anfrage verfügbar. Kontakt sales@squr.ai.

Responsible Disclosure

Wir begrüßen Sicherheitsforschung in gutem Glauben und folgen einem koordinierten Offenlegungsprozess.

Ein Sicherheitsproblem melden

Senden Sie eine E-Mail an security@squr.ai mit einer Beschreibung der Schwachstelle, Schritten zur Reproduktion und Ihrer Einschätzung der Auswirkungen. Wir reagieren auf alle Meldungen innerhalb von 5 Werktagen.

Im Scope: squr.ai, app.squr.ai und jede von SQUR betriebene Infrastruktur.
Außerhalb des Scopes: Social Engineering, physische Angriffe, volumetrische DoS und Probleme in Drittanbieterdiensten, die wir nutzen.

Wir gehen nicht rechtlich gegen Forscher vor, die in gutem Glauben handeln. Wir bitten Sie, vor einer Offenlegung nicht öffentlich zu machen, bis wir 90 Tage Zeit hatten, zu untersuchen und zu beheben.

Unsere /.well-known/security.txt und unser PGP-Schlüssel werden hier veröffentlicht. In der Zwischenzeit schreiben Sie an die obige Adresse.

Häufig gestellte Fragen

Ja. SQUR nutzt nicht-destruktive Techniken, strikte Rate-Limits und Ausführung im Scope. Für sensible Produktionsumgebungen können Sie ein Testfenster und zusätzliche Drosselung festlegen. Wir führen niemals DoS-Techniken aus und exfiltrieren keine echten Produktionsdaten.

Jeder Fund, den SQUR meldet, wurde während des Tests aktiv ausgenutzt und anschließend unabhängig von einem separaten Verifizierungsagenten erneut verifiziert, bevor er in den Bericht aufgenommen wird. Unsere KI-Agenten versuchen eine echte Ausnutzung - kein Pattern-Matching oder Keyword-Scanning. Wenn die Ausnutzung nicht reproduziert werden kann, wird der Fund verworfen. Jeder gemeldete Fund enthält einen Exploit-Nachweis und ein Reproduktionsskript.

SQUR speichert Ihre Zielkonfiguration, Testergebnisse und generierte Berichte. Wir erheben oder speichern keine tatsächlichen Produktionsdaten. Test-Payloads verwenden synthetische Daten. Alle gespeicherten Daten werden im Ruhezustand und bei der Übertragung verschlüsselt und für einen begrenzten Zeitraum aufbewahrt.

Ja. SQUR-Berichte sind so strukturiert, dass sie Nachweise zur Unterstützung der Kontrollen für das technische Schwachstellenmanagement in ISO 27001 (Anhang A 8.8) und SOC 2 (CC7.1) liefern. SQUR-Berichte sind darauf ausgelegt, als Nachweis für Penetrationstests akzeptiert zu werden. Die vollständige Framework-Abdeckung finden Sie in der Compliance-Tabelle oben.

Sicherheitsbewertungen durch Dritte und externe Audits sind in Arbeit. Wir werden Attestierungsschreiben und den Zertifizierungsstatus hier veröffentlichen, sobald verfügbar. Die Plattform von SQUR wird kontinuierlich mit SQUR selbst getestet, und unser Entwicklungsprozess folgt sicheren SDLC-Praktiken.

Nachdem Sie Funde aus einem Pentest behoben haben, können Sie einen kostenlosen Retest gegen denselben Scope auslösen. SQUR führt dieselben Angriffssequenzen erneut gegen behobene Schwachstellen aus, um zu bestätigen, dass sie behoben sind. Retest-Ergebnisse erscheinen in Ihrem Dashboard und sind als Nachtrag zum ursprünglichen Bericht herunterladbar.

Alle Kundendaten werden in der Region europe-west1 (St. Ghislain, Belgien) von Google Cloud gespeichert. Die Daten verlassen nicht die EU/den EWR. DSGVO-konforme Auftragsverarbeitungsverträge sind auf Anfrage verfügbar.

Wie SQUR Ihr Vertrauen verdient