ScoutAtlas
Rechtliches · Klartext-Zusammenfassungen über jedem Abschnitt

Scout Atlas Rechtliches.

Klartext zuerst, formelle Sprache zweitens. Wir behandeln rechtliche Seiten als Produkte — lesbar, gut versioniert und ehrlich darüber, was wir tun und nicht tun.

Plain summary

Wir behandeln Sicherheit als Produkt-Feature. Diese Seite listet Auftragsverarbeiter, Incident-Response-SLAs und die Regeln unseres Schwachstellen-Disclosure-Programms. Für die narrative Version siehe die öffentliche Sicherheitsseite.

Auftragsverarbeiter

Wir benachrichtigen Account-Admins mindestens 30 Tage vor jeder Änderung des Auftragsverarbeiters. Die Live-Liste wird auf /security/sub-processors.json gespiegelt.

  • Supabase — Postgres-DB, Authentifizierung, Row-Level-Security. EU-Region für europäische Klubs, US auf Anfrage.
  • Vercel — Anwendungs-Hosting und Edge-Delivery für Marketing-Site und authentifizierte Shell.
  • Stripe — Zahlungsabwicklung für Self-Serve-Trials. PCI-DSS Level 1.
  • Resend — transaktionale E-Mail (Magic-Links, Account-Benachrichtigungen, Digests).
  • Cloudflare — DNS und DDoS-Schutz.

Incident Response

  • Erkennung. Echtzeit-Alerting bei Authentifizierungs-Anomalien, Fehler-Spitzen und DB-Zugriffsmustern. Founder-on-Call-Rotation 24/7.
  • Triage. Schweregrad innerhalb von 30 Minuten klassifiziert (S1/S2/S3) nach öffentlichem Runbook.
  • Disclosure. Betroffene Klubs werden binnen 72 Stunden nach bestätigtem Vorfall mit technischen Details benachrichtigt.
  • Post-Mortem. Schriftliches Post-Mortem binnen 14 Tagen mit Korrekturmaßnahmen und Zeitplänen.

Schwachstellen-Disclosure

Wir betreiben ein offenes Programm. E-Mail an security@scoutatlas.co mit Reproduktionsschritten und (sofern zutreffend) PoC.

  • Wir bestätigen Eingang binnen 48 Stunden.
  • Wir verpflichten uns auf einen Behebungs-Zeitplan binnen 7 Tagen, skaliert nach Schweregrad.
  • Wir nennen Forscher im Changelog, wenn Patches ausgeliefert werden — mit Erlaubnis.
  • Wir verpflichten uns, gegen gutgläubige Forscher, die die Programmregeln befolgen, keine rechtlichen Schritte einzuleiten.

Außerhalb des Geltungsbereichs

Folgendes ist explizit außerhalb des Geltungsbereichs: Denial-of-Service-Angriffe, Social Engineering von Mitarbeitern, Schwachstellen in Drittanbieter-Diensten, die bereits öffentlich bekannt sind, und physische Sicherheitstests.

Verschlüsselung

  • TLS 1.3 in Transit, nur moderne Cipher-Suites, HSTS-Preload.
  • AES-256-GCM in Ruhe für sensible Spalten.
  • End-to-End-Verschlüsselung für Deal-Room-Nachrichten mit Pro-Raum-Schlüsseln, die wir nicht lesen können.
  • Pro-Klub-Schlüssel-Envelopes für opt-in private Streams (GPS, Biometrie, Medizin).

Audits

  • SOC 2 Type II Readiness-Audit — Q4 2026.
  • Unabhängiger Penetrationstest — jährlich ab Jahr 2 (2027).
  • Vierteljährliche interne Überprüfung von Berechtigungen und Audit-Logs.

Betrieben von Oney Finansal Danışmanlık Turizm ve Dış Ticaret Anonim Şirketi („Oney AŞ"), Aktiengesellschaft nach den Gesetzen der Republik Türkiye, eingetragener Sitz in İstanbul, Türkiye.

Letzte Aktualisierung · 5. Mai 2026 · Kontakt: legal@scoutatlas.co