Sicherheit & Compliance

Bei PayMatch stehen Sicherheit und Datenschutz im Mittelpunkt unseres Handelns. Wir implementieren branchenführende Sicherheitsmassnahmen zum Schutz Ihrer Geschäftsdaten, Kundendaten und Finanzaufzeichnungen.

Datenverschlüsselung

Verschlüsselung während der Übertragung

TLS 1.2+-Verschlüsselung für alle Datenübertragungen
HTTPS für alle Plattformverbindungen erzwungen
Zertifikat-Pinning für mobile Anwendungen
Perfect Forward Secrecy (PFS) aktiviert

Verschlüsselung im Ruhezustand

AES-256-Verschlüsselung für Datenbankspeicherung
Verschlüsselte Dateispeicherung für Rechnungen und Dokumente
Verschlüsselte Datenbanksicherungen
Sichere Schlüsselverwaltung mit Rotationsrichtlinien

Schutz sensibler Daten

Passwort-Hashing mit bcrypt (Kostenfaktor 12)
Zahlungskartendaten werden niemals gespeichert (PCI-DSS über Stripe)
Tokenisierung für sensible Identifikatoren

Zugriffskontrolle & Authentifizierung

Benutzerauthentifizierung

Multi-Faktor-Authentifizierung (MFA) Unterstützung
Starke Passwortanforderungen erzwungen
Sitzungs-Timeout und automatische Abmeldung
Kontosperrung nach fehlgeschlagenen Anmeldeversuchen
E-Mail-Verifizierung für Kontenerstellung

Rollenbasierte Zugriffskontrolle (RBAC)

Granulares Berechtigungssystem für Teammitglieder
Prinzip der geringsten Berechtigung erzwungen
Eigentümer-, Admin- und Benutzerrollen
Audit-Protokolle für Zugriffs- und Berechtigungsänderungen

API-Sicherheit

API-Schlüssel-Authentifizierung mit Rotationsfähigkeit
Rate Limiting zur Missbrauchsverhinderung
IP-Whitelisting für Unternehmenskunden verfügbar

Infrastruktursicherheit

Hosting & Rechenzentren

Primärer Datenstandort: Zentraleuropa (Zürich, Schweiz)
Hosting-Anbieter: AWS, Vercel, Supabase
Zertifizierungen: ISO 27001, SOC 2 Type II
Physische Sicherheit: 24/7 überwachte Rechenzentren
Redundanz: Multi-Region-Backup und Failover

Netzwerksicherheit

DDoS-Schutz und -Abwehr
Web Application Firewall (WAF)
Intrusion Detection and Prevention Systems (IDS/IPS)
Netzwerksegmentierung und -isolation
VPC (Virtual Private Cloud) Architektur

Backup & Disaster Recovery

Automatisierte tägliche Backups mit 30-tägiger Aufbewahrung
Verschlüsselte Backupspeicherung an geografisch verteilten Standorten
Point-in-Time-Wiederherstellungsfähigkeit
Recovery Time Objective (RTO): 4 Stunden
Recovery Point Objective (RPO): 24 Stunden
Regelmässige Disaster-Recovery-Tests

Überwachung & Incident Response

Sicherheitsüberwachung

24/7 automatisierte Sicherheitsüberwachung
Echtzeit-Bedrohungserkennung und -benachrichtigung
Anomalieerkennung mit maschinellem Lernen
Umfassende Aktivitätsprotokollierung und Audit-Trails
Security Information and Event Management (SIEM)

Schwachstellenverwaltung

Automatisierte Schwachstellenscans
Regelmässige Penetrationstests durch Drittanbieter-Experten
Bug-Bounty-Programm für verantwortungsvolle Offenlegung
Schnelle Sicherheitspatch-Bereitstellung
Abhängigkeits-Scanning für Open-Source-Komponenten

Incident Response

Dokumentierter Incident-Response-Plan
Dediziertes Sicherheits-Incident-Response-Team
Datenpannenbenachrichtigung innerhalb von 72 Stunden (DSGVO/DSG-konform)
Post-Incident-Analyse und -Sanierung
Kommunikationsprotokolle für betroffene Kunden

Compliance & Zertifizierungen

Datenschutzgesetze

DSGVO (Datenschutz-Grundverordnung) - EU
Schweizer DSG (Bundesgesetz über den Datenschutz)
Standardvertragsklauseln für internationale Datenübertragungen

Sicherheitsstandards

ISO 27001 - Informationssicherheitsmanagement (über Infrastrukturanbieter)
SOC 2 Type II - Sicherheit, Verfügbarkeit, Vertraulichkeit
PCI-DSS - Payment Card Industry Data Security (über Stripe)

Branchenübliche Best Practices

OWASP Top 10 Sicherheitsrichtlinien
NIST Cybersecurity Framework
CIS Controls für effektive Cyberabwehr

Organisatorische Sicherheit

Mitarbeitersicherheit

Hintergrundprüfungen für Mitarbeiter mit Datenzugriff
Verpflichtende Vertraulichkeits- und Sicherheitsvereinbarungen
Regelmässige Sicherheitsschulungen und Phishing-Simulationen
Strenge Zugriffskontrollen basierend auf Arbeitsverantwortlichkeiten
Sofortige Zugriffsentziehung bei Beendigung

Sicherer Entwicklungslebenszyklus

Security-by-Design-Prinzipien in der Entwicklung
Code-Review-Prozess mit Sicherheitsfokus
Automatisierte Sicherheitstests in CI/CD-Pipeline
Abhängigkeits-Schwachstellen-Scanning
Separate Entwicklungs-, Staging- und Produktionsumgebungen

Lieferantenverwaltung

Sicherheitsbewertung aller Drittanbieter
Auftragsverarbeitungsverträge mit Unterauftragsverarbeitern
Regelmässige Lieferantensicherheitsprüfungen
Compliance-Verifizierung und Prüfungsrechte

Ihre Verantwortlichkeiten

Während wir umfassende Sicherheitsmassnahmen implementieren, ist Sicherheit eine gemeinsame Verantwortung. Wir empfehlen Ihnen:

Verwenden Sie starke, eindeutige Passwörter für Ihr PayMatch-Konto
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)
Bewahren Sie Ihre Kontozugangsdaten vertraulich auf
Melden Sie verdächtige Aktivitäten sofort
Halten Sie Ihren Browser und Ihre Geräte auf dem neuesten Stand
Seien Sie vorsichtig bei Phishing-Versuchen

Sicherheitsaudits & Tests

Drittanbieter-Penetrationstests: Jährlich von zertifizierten Sicherheitsexperten
Schwachstellenbewertungen: Vierteljährliche automatisierte Scans
Interne Sicherheitsaudits: Laufend
Disaster-Recovery-Tests: Halbjährlich
Compliance-Audits: Nach regulatorischen Anforderungen

Sicherheitsproblem melden

Wenn Sie eine Sicherheitsschwachstelle entdecken oder Sicherheitsbedenken haben, melden Sie diese bitte verantwortungsvoll:

Sicherheitskontakt

E-Mail: security@paymatch.app

Wir nehmen alle Sicherheitsmeldungen ernst und werden innerhalb von 48 Stunden antworten. Wir schätzen verantwortungsvolle Offenlegung und werden mit Ihnen zusammenarbeiten, um Probleme schnell zu beheben.

Zuletzt aktualisiert: 10. Februar 2026
Diese Sicherheitsdokumentation dient Informationszwecken. Für vertragliche Sicherheitsverpflichtungen verweisen wir auf unseren Auftragsverarbeitungsvertrag und Datenschutzerklärung.

Zuletzt aktualisiert: 10. Februar 2026

AGB Datenschutz Impressum DPA Sicherheit Cookies