ChinaSiteReady ChinaSiteReady
Kostenlose Prüfung
Startseite · Sicherheit

Sicherheit und Compliance

Wie wir Kundendaten schützen, welche Kontrollen wir umsetzen und wie wir mit Compliance umgehen.

Dieses Dokument ist eine Übersetzung zu Informationszwecken. Bei Widersprüchen zwischen Übersetzung und englischer Fassung gilt die englische Fassung. Englische Fassung anzeigen →

Zuletzt geprüft: 26.05.2026 · Version 1.0

Kurz gesagt: ChinaSiteReady ist ein kleines, fokussiertes Engineering-Team. Wir behaupten nicht, SOC 2- oder ISO 27001-zertifiziert zu sein, und sagen das unten offen. Was wir mitbringen: einen klaren Datenfluss, eine kleine Auswahl bekannter Anbieter, vertretbare Voreinstellungen und die Bereitschaft, Sicherheitsfragebögen schriftlich zu beantworten.

Welche Daten wir vorhalten

Der Dienst spiegelt und betreibt statische Informationsseiten Ihrer Website. Wir halten:

  • Kunden-Materialien — Kopien der von Ihnen zu spiegelnden Seiten, Bilder, Schriften und Texte sowie etwaige Marken- oder Domainfreigaben und Unternehmensunterlagen, die Sie bereitstellen.
  • Betriebs-Logs — Request-URLs, IP-Adressen, Zeitstempel, Antwortcodes, Fehler-Traces. Sie dienen Monitoring, Fehlersuche und der regulatorischen Compliance in der VR China. Typische Aufbewahrung: 30 bis 90 Tage.
  • Kommunikation — E-Mails, Kontaktformular-Einreichungen und Projektnotizen.

Der Dienst ist für statische Marketing-Inhalte gedacht. Wir akzeptieren ohne separates DPA keine Übermittlung von personenbezogenen Daten natürlicher Personen, Zahlungs-, Gesundheits-, Finanz- oder biometrischen Daten über den Dienst (siehe AVV).

Wo die Daten gespeichert sind

Der Dienst wird auf AWS-Infrastruktur ausgeliefert. Das Produktiv-Hosting kann liegen in:

  • AWS Global — für Ihre bestehende globale Website (an die wir nichts ändern).
  • AWS China (betrieben von Sinnet/NWCD) — für die China-Spiegel-Website, die wir Besuchern aus Festlandchina ausliefern.
  • Die konkrete Region für Ihr Projekt wird im Projektplan dokumentiert und hängt vom gewählten ICP-Bereitstellungs-Weg ab.

Die Marketing-Analytics dieser Website fließen an PostHog Cloud in der US-Region.

Verschlüsselung

  • In Übertragung: Sämtlicher kundenseitiger Traffic wird per HTTPS mit TLS 1.2 oder höher ausgeliefert. TLS 1.0 und 1.1, RC4 und bekannt unsichere Cipher sind deaktiviert. HSTS ist aktiviert, sofern die Domain-Inhaberschaft des Kunden dies zulässt.
  • Im Ruhezustand: Sämtlicher Speicher nutzt standardmäßig AWS S3 Server-Side Encryption (SSE-S3); Kunden-Materialien liegen auf verschlüsselten Volumes. Backups werden mit von AWS verwalteten Schlüsseln verschlüsselt.
  • Secrets: Deployment-Secrets und API-Tokens liegen in AWS Secrets Manager (oder einem äquivalenten Secret-Store in der China-Region auf AWS China), niemals im Quellcode. Zugriffe werden protokolliert.

Zugriffskontrollen

  • Produktionszugriff ist auf die an Ihrem Projekt arbeitenden Ingenieure begrenzt. Zugriff wird nach dem Prinzip der minimalen Rechte erteilt.
  • Jeder Produktionszugriff erfordert eine Multi-Faktor-Authentisierung.
  • Der Zugriff auf den AWS-Root-Account ist eingeschränkt, MFA-geschützt und auditiert.
  • Kundenseitige Zugangsdaten (z. B. DNS-Provider-Tokens, CMS-Zugänge) nehmen wir nur über sichere Übergabe an und legen sie in unserem Secret-Store ab; sie werden nicht über die Beauftragung hinaus aufbewahrt, sofern nicht ausdrücklich gefordert.

Netzwerk

  • Die Origin-Compute-Ressourcen laufen in privaten VPC-Subnetzen mit Egress-Kontrollen über Security-Groups.
  • Öffentlicher Traffic läuft über AWS CloudFront (bzw. ein Pendant in China) mit aktivierten WAF-Regeln für die OWASP Top 10.
  • Administrative Endpunkte sind nicht öffentlich.

Monitoring und Incident Response

  • Für jede betriebene Produktionseigenschaft überwachen wir Verfügbarkeit und führen synthetische Seitenchecks durch. On-call-Benachrichtigungen gehen per E-Mail an den diensthabenden Ingenieur; bei schweren Vorfällen wird gepaged.
  • Audit-Logs der Produktionszugriffe werden aufbewahrt.
  • Erfahren wir von einem Sicherheitsvorfall, der Ihre Kunden-Materialien betrifft, werden wir (a) untersuchen, (b) eindämmende Schritte ergreifen und (c) Sie unverzüglich schriftlich informieren. Eine erste Benachrichtigung streben wir innerhalb von zweiundsiebzig (72) Stunden nach Bestätigung eines wesentlichen Vorfalls an, ergänzt um einen ausführlicheren Post-Incident-Bericht.

Backups und Kontinuität

  • Die Assets der Spiegel-Website sind in der Versionsverwaltung versioniert und jederzeit aus der Quelle neu baubar.
  • Betriebs-Logs und Analytics werden auf langlebigen AWS-Storage-Klassen gesichert.
  • Bei länger laufenden Kundenbeziehungen werden Wiederherstellungs-Ziele im Projektplan dokumentiert und an die tatsächliche Aktualisierungsfrequenz des Kunden angepasst.

Schwachstellen-Management

  • OS-Images werden in definierter Frequenz aktualisiert; Sicherheitspatches werden nachgehalten.
  • Applikationsabhängigkeiten sind festgelegt und werden vor einem Upgrade geprüft.
  • Wir betreiben derzeit kein öffentliches Bug-Bounty-Programm. Für eine koordinierte Offenlegung schreiben Sie bitte an chinasiteready@autoinfra.cn mit dem Betreff «Security disclosure». Wir bestätigen den Eingang schriftlich innerhalb von 5 Werktagen.

Compliance-Status — die ehrliche Fassung

  • Wir sind derzeit weder SOC 2- noch ISO 27001-zertifiziert. Eine unabhängige Drittzertifizierung ist mittelfristig auf unserer Roadmap; wir setzen kein hartes Datum, weil wir das erst angehen, wenn wir es sauber bestehen können.
  • Für Bereitstellungen in der China-Region führen wir, soweit anwendbar, ICP-Anträge gemäß VR-China-Vorgaben durch. Wege und unsere Rolle siehe So funktioniert es § ICP-konformes Deployment.
  • Sicherheitsfragebögen (auch in Standardformaten wie SIG/CAIQ) beantworten wir nach bestem Wissen und für aktive Kunden ohne Mehrkosten.
  • Vor einem tiefergehenden Diligence-Gespräch können wir eine gegenseitige NDA unterzeichnen.

Penetrationstests

Wir beauftragen derzeit keinen externen Penetrationstester nach festem Zeitplan. Bei größeren Aufträgen koordinieren wir uns gern mit einem vom Kunden bevorzugten Drittanbieter — auf Kosten des Kunden, beschränkt auf die von uns betriebene China-Spiegel-Website. Interne Tests mit Standard-Scannern führen wir regelmäßig durch.

Eingesetzte Dienstleister

Wir halten unsere Liste externer Dienstleister bewusst kurz und bekannt. Stand heute: AWS (Global und AWS China für Hosting und CDN), PostHog (Analytics nur auf unserer Marketing-Website) und gängige Betriebs-Werkzeuge. Im Rahmen der Vor-Vertrags-Due-Diligence können Kunden die aktuelle Liste samt Standorten anfordern.

Auftragsverarbeitungs-Vereinbarung (DPA)

Falls Sie vor der Unterschrift ein DPA benötigen, finden Sie unser Standard-DPA unter AVV. Im Einzelfall können wir auch ein vom Kunden bevorzugtes DPA-Template akzeptieren.

Kontakt

Anfragen zu Sicherheit und Compliance: chinasiteready@autoinfra.cn. Wir antworten in der Regel innerhalb von fünf Werktagen.

Senden Sie uns Ihre URL.

Kostenlose China-Erreichbarkeitsprüfung. Fünf Werktage. Keine Tracking-Formulare.

Kontaktieren Sie uns So funktioniert es ansehen