klargehalt
    Security by Design

    Gehaltsdaten sind sensibel.
    Wir behandeln sie auch so.

    Keine Marketing-Versprechen. Hier steht, was wir technisch tun, um Ihre Vergütungsdaten zu schützen.

    AES-256

    Verschlüsselung

    Frankfurt

    EU-Hosting

    RLS

    Mandantentrennung

    Verschlüsselung

    In Transit

    TLS 1.3 für alle Verbindungen. Keine Ausnahmen. HSTS mit Preloading.

    At Rest

    AES-256 auf Datenbankebene. Gehaltsdaten sind auch bei physischem Zugriff unlesbar.

    Schlüssel-Management

    Automatische Schlüsselrotation. Schlüssel werden getrennt von Daten gespeichert.

    Mandantentrennung

    Row Level Security

    Jede Datenbankabfrage wird auf Ebene der PostgreSQL-Engine gefiltert. Kein Tenant kann Daten eines anderen sehen — unabhängig vom Anwendungscode.

    Organization ID

    Jede Zeile in jeder Tabelle ist einer Organisation zugeordnet. Queries ohne gültige Organization-ID erhalten keine Daten.

    Kein Shared-Schema-Risiko

    Die Trennung liegt nicht im Anwendungscode (wo Bugs möglich sind), sondern in der Datenbank selbst.

    Authentifizierung & Zugriff

    Multi-Faktor

    Optionale 2FA für alle Benutzer. SSO-Integration für Enterprise-Kunden.

    Rollenmodell

    Drei Rollen (Admin, HR-Manager, Mitarbeiter) mit klar definierten Rechten. Durchgesetzt auf Datenbankebene.

    Session-Management

    Automatische Session-Invalidierung. Kein persistentes Token-Caching im Browser.

    Infrastruktur

    Standort

    Frankfurt am Main, Deutschland. Alle Daten bleiben in der EU. Kein US Cloud Act.

    Backup

    Tägliche automatische Backups mit Point-in-Time Recovery. Getrennte Backup-Infrastruktur.

    Monitoring

    Echtzeit-Überwachung aller Systeme. Automatische Alarmierung bei Anomalien.

    DSGVO-Konformität im Detail.

    KlarGehalt wurde von Anfang an für die DSGVO gebaut. Hier ist, welche Artikel wir wie abdecken.

    Art. 5

    Grundsätze

    Datenminimierung, Zweckbindung und Speicherbegrenzung sind in der Architektur verankert, nicht nur in Richtlinien.

    Art. 6

    Rechtsgrundlage

    Verarbeitung auf Basis des berechtigten Interesses (Compliance-Pflicht) und Vertragsdurchführung.

    Art. 15

    Auskunftsrecht

    Mitarbeiter können ihre Daten einsehen. Automatisierte Auskunftsfunktion im Self-Service Portal.

    Art. 17

    Recht auf Löschung

    Datenlösch-Workflows sind implementiert. Aufbewahrungsfristen werden automatisch ueberwacht.

    Art. 25

    Privacy by Design

    Datenschutz ist in die Architektur eingebaut — nicht nachträglich ergaenzt.

    Art. 32

    Technische Maßnahmen

    Verschlüsselung, Zugriffskontrolle und regelmäßige Sicherheitsüberprüfungen.

    So fliesst Ihre Anfrage durch unser System.

    1

    Authentifizierung

    Login über unseren Auth-Server (EU-gehostet). Multi-Faktor optional. JWT-Token mit Organisation-ID.

    2

    Autorisierung

    Jede Anfrage wird gegen das Rollenmodell geprüft. Nur berechtigte Rollen erhalten Zugriff.

    3

    Datenbank-Ebene

    Row Level Security filtert automatisch nach Organisation. Kein Code-Bug kann diese Schicht umgehen.

    4

    Antwort

    Nur die Daten, die der Benutzer sehen darf. Verschluesselt uebertragen. Kein Caching sensibler Daten.

    Fragen zur Sicherheit?

    Wir beantworten jede technische Frage. Sprechen Sie mit unserem Team.