[email protected]

Sicherheitsverpflichtung

Letztes Audit: 26 Mai 2026

1. Unser Engagement für Ihre Sicherheit

TrueSpeak wird mit einem strengen, kontinuierlichen Sicherheitsstandard entwickelt und gewartet. Wir führen jeden Monat automatisierte Sicherheits-Audits durch und handeln auf Basis der Ergebnisse — damit die Plattform, die die Meldungen Ihrer Whistleblower schützt, selbst geschützt ist. Diese Seite ist unser öffentlicher Nachweis dieses Engagements.

2. Die vier Säulen unserer Sicherheit

Kontinuierliche Überwachung
Automatisierte Sicherheits-Audits jeden Monat für Code, Konfiguration und Abhängigkeiten.
OWASP Top 10 Abdeckung
Jedes Audit prüft die Konformität mit dem OWASP-Top-10-Risikokatalog für Webanwendungen.
SAST + DAST
Sowohl statische Analyse (Code-Review) als auch dynamische Tests (Sondierung der Live-Anwendung).
Hygiene der Abhängigkeiten
Drittanbieter-Bibliotheken werden kontinuierlich mit der öffentlichen CVE-Datenbank abgeglichen.

3. Was wir abdecken

Unser Audit-Prozess prüft systematisch die folgenden Risikokategorien:

  • Authentifizierung, Sitzungsverwaltung und Passwortbehandlung
  • Cross-Site Scripting (XSS) und Cross-Site Request Forgery (CSRF)
  • SQL-Injection und andere Injection-Vektoren
  • Unsichere Deserialisierung und unsichere Objektinstanziierung
  • Offenlegung sensibler Daten und Geheimnis-Leaks
  • Server-Side Request Forgery (SSRF) und Missbrauch externer Ressourcen
  • Sicherheits-Header und Härtung der Transportschicht (HTTPS, HSTS, CSP)
  • Schwachstellen in Drittanbieter-Abhängigkeiten (Abgleich mit CVE-Datenbank)
  • Kryptografische Konfiguration und Schlüsselverwaltung
  • Datei-Upload-Verarbeitung und Path-Traversal

4. Audit-Kadenz

Wir führen monatlich automatisch ein vollständiges SAST + DAST Sicherheits-Audit durch. Dies ist unsere öffentliche Zeitleiste:

1
Abgeschlossene Audits
26 Mai 2026
Letztes Audit
25 Juni 2026
Nächstes geplantes Audit

Audit-Zeitleiste

  • 26 Mai 2026 Aktuellstes Abgeschlossen

5. Was geschieht, wenn wir ein Problem finden

  1. Triage. Jeder Befund wird nach Auswirkung und Ausnutzbarkeit anhand einer branchenüblichen Schweregradskala klassifiziert.
  2. Priorisierung. Kritische Probleme werden sofort behandelt; high-severity innerhalb des aktuellen Sprints; medium und niedriger im nächsten geplanten Release.
  3. Behebung. Korrekturen werden an der Quelle angewendet — Aktualisierung einer betroffenen Abhängigkeit, Härtung der Konfiguration oder Refactoring des Codes.
  4. Verifikation. Der nächste monatliche Scan bestätigt, dass das Problem geschlossen ist, und führt es in der Audit-Historie.

6. Warum das für Sie wichtig ist

TrueSpeak verwaltet sensible Meldungen von Whistleblowern und den Personen, die sie bearbeiten. Das Vertrauen Ihrer Nutzer in die Plattform hängt davon ab, dass wir sie sicher halten — nicht einmalig, sondern kontinuierlich. Diese Seite ist unser öffentlicher Nachweis dieses Engagements.

Detaillierte Audit-Berichte sind auf Anfrage für qualifizierte Prüfer verfügbar. Kontakt: [email protected].

Mailand

Foro Buonaparte 59, 20121 Mailand (MI), Italien

(+39) 800 931 740 [email protected]

Barcelona

Av. de la Catedral 6, 08002 Barcelona, Spanien

(+34) 930 345 289 [email protected]

Paris

44 Rue Pasquier, 75008 Paris, Frankreich

(+33) 214 739 052 [email protected]