Crowdee verarbeitet Inhalte, die Redaktionen, Rundfunkanstalten und Compliance-Teams sich nicht leisten können zu verlieren. Wir behandeln Sicherheit und Datenschutz als primäre Produktmerkmale – keine nachträglichen Gedanken – vom Serverstandort bis zur Signierung einzelner API-Anfragen.
security@crowdee.ai · Crowdee GmbH, Berlin · DSGVO-konform, kein Training mit Kundendaten
Keine verwaltete Cloud, kein Drittanbieter-Serverless, keine undurchsichtigen Hyperscaler-Abstraktionen im Anfragepfad. Besucher sprechen nur mit Crowdee-kontrollierten Ursprüngen in Deutschland.
Website, Dashboards, Datenbanken und unser selbst gehostetes Matomo-Analytics laufen auf dedizierten Servern der netcup GmbH in deutschen Rechenzentren.
Unser Automatisierungs-Backend (genutzt vom Chat-Assistenten und der Inhaltsverifizierungs-Pipeline) läuft auf Hardware, die Crowdee besitzt und in Berlin betreibt.
Wir verwenden weder Vercel, Drittanbieter-Serverless-Plattformen noch Drittanbieter-verwaltete CDNs zur Auslieferung dynamischer Inhalte. Besucher verbinden sich nur mit Crowdee-kontrollierten Ursprüngen.
Verschlüsselung, signierte Token, Ursprungsprüfung, Rate-Limits und bereichsbegrenzte Zugangsdaten – in Schichten, nicht als nachträgliche Ergänzung.
Gesamter Datenverkehr zur und von der Website und unseren APIs wird über HTTPS mit modernen Cipher-Suites und HSTS übertragen.
Anwendungsdatenbanken mit dauerhaften Kundendaten sind im Ruhezustand verschlüsselt. Sensible Anmeldedaten (z.B. API-Schlüssel) werden als Einweg-Hashes gespeichert, niemals im Klartext.
Verifikationsergebnisse sind mit HMAC-signierten, kurzlebigen Token (eine Stunde TTL) an die originäre Browsersitzung gebunden, sodass Folgeaktionen nicht gefälscht werden können.
Zustandsverändernde Endpunkte erzwingen Ursprungs- und CSRF-Prüfungen, Rate-Limiting auf mehreren Achsen und nutzen ALTCHA-Proof-of-Work zur Blockierung automatisierter Angriffe.
Jede öffentliche API-Route wendet In-Memory-IP- und Instanz-Rate-Limits mit Body-Size-Caps und Upstream-Timeouts an, um fehlerhafte Clients einzudämmen.
Programmatischer Zugang nutzt bereichsbegrenzte API-Schlüssel mit effektiven Rollen, die auf das Minimum aus Schlüsselrolle und Mitgliedschaftsrolle begrenzt sind, optional auf bestimmte Organisationen fixiert.
Wir nutzen Machine-Learning-Modelle, um echte Arbeit für Sie zu leisten. Wir wandeln Ihre Inhalte nicht in Trainingsdaten um – weder unsere noch die von anderen.
Wir nutzen Kundeninhalte oder Ausgaben nicht zum Training unserer Grundlagenmodelle und verpflichten die von uns beauftragten Drittanbieter-KI-Anbieter vertraglich dazu, Eingaben oder Ausgaben nicht zum Training ihrer Modelle zu verwenden.
Hochgeladene Bilddaten werden nur für die Dauer des Inferenzaufrufs aufbewahrt und nicht auf der Festplatte gespeichert. Ein hash-schlüsselbasierter Ergebniscache verfällt innerhalb von 24 Stunden.
Drittanbieter-Modellprovider, die wir weiterleiten, agieren als unsere Auftragsverarbeiter gem. Art. 28 DSGVO. Sie sind verpflichtet, Eingaben nur nach unseren Weisungen zu verarbeiten und nicht länger als technisch notwendig aufzubewahren.
Prinzip der minimalen Rechte, diszipliniertes Patching, aufbewahrte Audit-Protokolle und Auftragsverarbeiter, die denselben Standards unterliegen.
Zugang zu Produktionssystemen nutzt rollenbasierte Kontrollen und das Prinzip der minimalen Rechte mit Audit-Protokollierung bei privilegierten Operationen.
Betriebssysteme, Laufzeiten und Abhängigkeiten werden in regelmäßigen Abständen gepatcht. Wir verfolgen upstream-Sicherheitshinweise und wenden Sicherheitsupdates zeitnah an.
Server-Protokolldateien werden maximal 30 Tage aufbewahrt, sofern kein Vorfall eine längere Aufbewahrung erfordert. Rate-Limit-Zähler leben nur im Arbeitsspeicher und werden mit dem Fenster zurückgesetzt.
Jeder Auftragsverarbeiter, den wir nutzen, ist durch einen schriftlichen Vertrag gem. Art. 28 DSGVO gebunden, der gleichwertige technische und organisatorische Maßnahmen erfordert.
Wir begrüßen Sicherheitsforscher und Community-Mitglieder, die uns helfen, unsere Sicherheitslage zu verbessern. Anerkannte Offenlegungen können in unserer Hall of Fame gewürdigt werden.
Schreiben Sie an security@crowdee.ai (bevorzugt) oder nutzen Sie unser Kontaktformular. Geben Sie das betroffene System, den Endpunkt oder die Seite an; die zur Reproduktion erforderlichen Schritte; und die von Ihnen wahrgenommene Auswirkung.
Fügen Sie Screenshots, Protokollausschnitte, HTTP-Anfragen/-Antworten oder Proof-of-Concept-Code bei, soweit dies bei der Reproduktion hilft. Vermeiden Sie das Anhängen echter Kundendaten.
Bitte veröffentlichen Sie das Problem nicht öffentlich, bevor wir ausreichend Zeit hatten, es zu untersuchen und zu beheben. Greifen Sie nicht auf Daten zu, die nicht Ihnen gehören, beeinträchtigen Sie nicht den Service und gehen Sie nicht über das zur Demonstration Notwendige hinaus.
Wir bestätigen Berichte innerhalb von 3 Werktagen und liefern eine erste Triage-Bewertung innerhalb von 10 Werktagen. Fix-Zeitpläne hängen vom Schweregrad ab; wir halten Sie informiert.
Sicherer Hafen. Gutgläubige Forschung, die dieser Richtlinie folgt – das heißt, Sie respektieren die obigen Regeln zum Geltungsbereich, vermeiden die Beeinträchtigung des Dienstes und greifen nicht auf Daten zu, die Ihnen nicht gehören, sie nicht modifizieren oder aufbewahren – wird keine rechtlichen Schritte von Crowdee auslösen. Wenn Sie unsicher sind, ob eine Handlung erlaubt ist, fragen Sie uns zuerst unter security@crowdee.ai.
Wir veröffentlichen diese Dokumente nicht, da sie sich mit unseren Auftragsverarbeiterbeziehungen weiterentwickeln. Fragen Sie und wir senden Ihnen die aktuelle Version.
Art. 28-DSGVO-Vorlage plus relevante Auftragsverarbeiterliste, bereit zur Gegenzeichnung vor Beginn der Verarbeitung.
Kopie anfordernWir beantworten Anbieter-Sicherheitsfragebögen (CAIQ-Lite, SIG-Lite oder Ihre eigene Vorlage) auf Anfrage.
Kopie anfordernAktuelle Liste der von der Plattform genutzten Auftragsverarbeiter, einschließlich Hosting, Anti-Missbrauch und KI-Modellanbieter.
Kopie anfordernFor the full processing notice and the supervisory authority responsible for Crowdee, see the Privacy Policy. For the commercial framework, see the Terms and Conditions.
Ob Sie ein Forscher mit einem Fund sind, ein Beschaffungsleiter mit einem Fragebogen oder ein Kunde mit einer sensiblen Frage – schreiben Sie an security@crowdee.ai und ein Mensch wird sich bei Ihnen melden.
