Vertrauen & Sicherheit

Wie wir Ihre Daten und die Daten Ihrer Kunden schützen.

Compliance

YKO Labs arbeitet im Einklang mit den wichtigsten globalen Datenschutz- und Zahlungsstandards. Wir konzentrieren uns auf das, was gesetzlich erforderlich ist, um Beauty-, Salon-, Barbier- und Körperpflege-Unternehmen weltweit zu bedienen.

✅ GDPR-konform (Europäische Union)
✅ UK GDPR-konform
✅ CCPA / CPRA-konform (Kalifornien)
✅ PCI DSS SAQ A konform — Zahlungen werden von Polar verarbeitet, einem nach PCI DSS Level 1 zertifizierten Merchant of Record. YKO Labs-Systeme speichern, verarbeiten oder übertragen niemals Karteninhaberdaten.

Infrastruktur

Wir bauen auf Infrastrukturanbietern auf, die über eigene SOC 2 Typ II und ISO/IEC 27001 Zertifizierungen verfügen. Ihre Daten erben die physische, Netzwerk- und Betriebssicherheit dieser Anbieter.

DigitalOcean — Backend-Hosting. SOC 2 Type II, ISO/IEC 27001
MongoDB Atlas — Datenbank (pro Mandant isoliert). SOC 2 Type II, ISO/IEC 27001, ISO 27018
Vercel — Frontend-Hosting & Edge-Netzwerk. SOC 2 Type II, ISO/IEC 27001
Cloudflare — CDN, DDoS-Schutz, Bildspeicherung. SOC 2 Type II, ISO/IEC 27001
Polar (Stripe) — Zahlungsabwicklung (Merchant of Record). PCI DSS Level 1
Firebase / Google Cloud — Authentifizierung. SOC 2, ISO/IEC 27001, ISO 27018
Twilio — SMS-Messaging. SOC 2 Type II, ISO/IEC 27001
Meta WhatsApp Business — WhatsApp-Messaging. ISO/IEC 27001
Google Gemini — KI-Inhaltserstellung. SOC 2, ISO/IEC 27001
Datadog — Überwachung & Protokolle. SOC 2 Type II, ISO/IEC 27001

Unsere Sicherheitspraktiken

Tägliche Kontrollen, die innerhalb der YKO Labs-Plattform implementiert sind:

🔐 TLS 1.3 bei der Übertragung; Verschlüsselung im Ruhezustand über verwalteten Datenbank-Speicher
🏢 Datenbankisolierung pro Mandant — jeder Kunde hat seine eigene dedizierte MongoDB-Datenbank
🔑 Bcrypt-gehashte Passwörter, duale JWT-Authentifizierung mit kurzlebigen Token, rollenbasierte Zugriffskontrolle
📜 Audit-Protokolle mit einer Aufbewahrungsfrist von bis zu 6 Jahren, einschließlich IP, User-Agent und Änderungshistorie auf Feldebene
🚦 Ratenbegrenzung auf allen Endpunkten (200 Anfr. / 15 Min. global, strenger bei Auth)
🛡️ Helmet + Content Security Policy-Header, MongoDB-Operator-Bereinigung, Eingabevalidierung bei jeder Anfrage
💾 Tägliche automatisierte Datenbank-Backups
📊 Echtzeit-Überwachung mit Datadog APM und strukturierter Protokollierung

Ihre Datenschutzrechte

Im Rahmen von GDPR, UK GDPR und CCPA/CPRA haben Sie das Recht auf Auskunft, Berichtigung, Export und Löschung Ihrer personenbezogenen Daten sowie das Recht, Ihre Einwilligung zu widerrufen. Um diese Rechte auszuüben, kontaktieren Sie uns unter privacy@ykolabs.com; wir werden innerhalb von 30 Tagen antworten.

Einwohner von Kalifornien: Wir verkaufen oder teilen Ihre persönlichen Informationen nicht für kontextübergreifende Verhaltenswerbung.

Unterauftragsverarbeiter und DPA

Eine vollständige und aktuelle Liste der Unterauftragsverarbeiter ist oben veröffentlicht. Wir werden Kunden mindestens 30 Tage im Voraus über Ergänzungen oder wesentliche Änderungen informieren. Enterprise-Kunden können ein gegengezeichnetes Data Processing Agreement (DPA) anfordern, indem sie sich an privacy@ykolabs.com wenden.

Meldung eines Sicherheitsproblems

Wir begrüßen die verantwortungsbewusste Offenlegung durch Sicherheitsforscher. Bitte senden Sie eine E-Mail an security@ykolabs.com mit Schritten zur Reproduktion. Wir antworten innerhalb von 2 Werktagen und werden Forschern (mit Erlaubnis) auf dieser Seite Anerkennung zollen, sobald das Problem behoben ist.

Last updated: 9 May 2026