Vertrauen & Sicherheit

Wie wir Ihre Daten und die Daten Ihrer Kunden schützen.


Compliance und Zertifizierungen

YKO Labs arbeitet im Einklang mit den wichtigsten globalen Datenschutz- und Zahlungsstandards. Wir konzentrieren uns auf die gesetzlichen Anforderungen, um Beauty-, Salon-, Barbier- und Körperpflege-Unternehmen weltweit zu bedienen.

✅ DSGVO-konform (Europäische Union)
✅ UK-GDPR-konform
✅ CCPA / CPRA-konform (Kalifornien)
✅ PCI DSS SAQ A konform — Zahlungen werden von Polar verarbeitet, einem nach PCI DSS Level 1 zertifizierten Vertragshändler (Merchant of Record). Die Systeme von YKO Labs speichern, verarbeiten oder übertragen niemals Karteninhaberdaten.

Infrastruktur und Unterauftragsverarbeiter

Wir setzen auf Infrastrukturanbieter, die über eigene SOC 2 Typ II und ISO/IEC 27001 Zertifizierungen verfügen. Ihre Daten profitieren von der physischen, Netzwerk- und Betriebssicherheit dieser Anbieter.

DigitalOcean — Backend-Hosting. SOC 2 Type II, ISO/IEC 27001
MongoDB Atlas — Datenbank (mandantenisoliert). SOC 2 Type II, ISO/IEC 27001, ISO 27018
Vercel — Frontend-Hosting & Edge-Netzwerk. SOC 2 Type II, ISO/IEC 27001
Cloudflare — CDN, DDoS-Schutz, Bildspeicherung. SOC 2 Type II, ISO/IEC 27001
Polar (Stripe) — Zahlungsabwicklung (Vertragshändler). PCI DSS Level 1
Firebase / Google Cloud — Authentifizierung. SOC 2, ISO/IEC 27001, ISO 27018
Twilio — SMS-Nachrichtenversand. SOC 2 Type II, ISO/IEC 27001
Meta WhatsApp Business — WhatsApp-Nachrichtenversand. ISO/IEC 27001
Google Gemini — KI-gestützte Inhaltserstellung. SOC 2, ISO/IEC 27001
Datadog — Systemüberwachung & Protokollierung. SOC 2 Type II, ISO/IEC 27001

Unsere Sicherheitspraktiken

Tägliche Kontrollen, die innerhalb der YKO Labs-Plattform implementiert sind:

🔐 TLS 1.3 bei der Übertragung; Verschlüsselung im Ruhezustand über verwalteten Datenbankspeicher
🏢 Mandantenisolierung der Datenbank — jeder Kunde verfügt über eine eigene dedizierte MongoDB-Datenbank
🔑 Bcrypt-gehashte Passwörter, duale JWT-Authentifizierung mit kurzlebigen Tokens, rollenbasierte Zugriffskontrolle
📜 Audit-Protokolle mit einer Aufbewahrungsfrist von bis zu 6 Jahren, einschließlich IP-Adresse, User-Agent und Änderungshistorie auf Feldebene
🚦 Ratenbegrenzung auf allen Endpunkten (200 Anfragen / 15 Min. global, strengere Begrenzung bei Authentifizierung)
🛡️ Helmet + Content Security Policy-Header, MongoDB-Operator-Bereinigung, Eingabevalidierung bei jeder Anfrage
💾 Tägliche automatisierte Datenbanksicherungen
📊 Echtzeit-Überwachung mit Datadog APM und strukturierter Protokollierung

Ihre Datenschutzrechte

Im Rahmen der DSGVO, UK-GDPR und CCPA/CPRA haben Sie das Recht auf Auskunft, Berichtigung, Datenübertragbarkeit und Löschung Ihrer personenbezogenen Daten sowie das Recht, Ihre Einwilligung zu widerrufen. Um diese Rechte auszuüben, kontaktieren Sie uns bitte unter privacy@ykolabs.com; wir werden innerhalb von 30 Tagen antworten.

Einwohner Kaliforniens: Wir verkaufen oder geben Ihre personenbezogenen Daten nicht für kontextübergreifende Verhaltenswerbung weiter.

Unterauftragsverarbeiter und Auftragsverarbeitungsverträge (AVV)

Eine vollständige und aktuelle Liste der Unterauftragsverarbeiter ist oben veröffentlicht. Wir werden unsere Kunden mindestens 30 Tage im Voraus über Ergänzungen oder wesentliche Änderungen informieren. Enterprise-Kunden können einen gegengezeichneten Auftragsverarbeitungsvertrag (AVV) anfordern, indem sie sich an privacy@ykolabs.com wenden.

Meldung von Sicherheitsproblemen

Wir begrüßen die verantwortungsbewusste Offenlegung durch Sicherheitsforscher. Bitte senden Sie eine E-Mail an security@ykolabs.com mit Schritten zur Reproduktion. Wir antworten innerhalb von 2 Werktagen und werden Forschern (mit deren Zustimmung) auf dieser Seite Anerkennung zollen, sobald das Problem behoben ist.

Last updated: 2 July 2026