Vertrauen

Wer dein ERP betreibt, trägt deine Firma.

Hier steht, was im Maschinenraum läuft — Hosting, DSGVO, Sicherheit, Backups, Rollen, API und Export. Ohne Marketing- Versprechen, mit klar markierten Reifegraden.

System-Status ansehen API-Dokumentation

Live-Daten

Verfügbarkeit, live aus dem Health-Endpoint.

Diese Karte fragt alle 60 Sekunden den Backend-Health-Endpoint ab und zeigt den aktuellen Stand. Kein Marketing-Wert, sondern derselbe Aggregator wie unsere Status-Page.

Uptime, letzte 30 Tage

99,9 %

Live-Daten

Konservativer Default bis Incident-Historie Q3 2026 echte Werte liefert. Im Fall einer Störung erscheint sie unten in den Status-Lights.

Letzter Incident

Keine Incidents bekannt

Seit 25.05.2026 keiner

Störungen werden hier mit Datum und Dauer ergänzt sobald die Incident-Tabelle live ist.

Status jetzt

Backend
Datenbank
Storage

Hosting

Server stehen in Nürnberg. Nicht in den USA.

Tarev läuft auf einer Hetzner-Cloud-VM in Deutschland. Kein US-Cloud-Anbieter, kein CLOUD-Act-Zugriff durch US-Behörden.

Provider: Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen
Rechenzentrum: Nürnberg (Datacenter Park NBG1)
Physische Sicherheit: 24/7-Zutrittskontrolle, Vereinzelungsanlagen, Videoüberwachung, redundante Stromversorgung.
Zertifizierung: Hetzner-Rechenzentrum ISO/IEC 27001-zertifiziert (Tarev selbst noch nicht — siehe Reifegrad-Hinweise weiter unten).
Energie: 100 % Ökostrom (Hetzner-Bezug)
Kein US-Cloud: Keine AWS, kein Azure, kein GCP. Kein Zugriffsweg für US-Behörden über CLOUD-Act oder FISA.

Datenschutz

DSGVO-konform betrieben.

Auftragsverarbeitung-Vertrag, dokumentierte technisch-organisatorische Maßnahmen nach Art. 32, Datenresidenz in Deutschland und strikte Mandanten-Trennung.

Auftragsverarbeitung

AV-Vertrag nach DSGVO Art. 28

Standard-Vertrag inklusive aller TOM nach Art. 32, EWR- Unterauftragsverarbeiter-Liste und Anlage zur Datenresidenz Deutschland. Eingegrenzt auf Hetzner Nürnberg.

AV-Vertrag herunterladen (PDF)Oder per E-Mail anfragen

Art. 32 TOM: Verschlüsselung at-rest und in-transit, Access-Logs, regelmäßige interne Audits, Least-Privilege-Prinzip im Backend.; Standard
Mandanten-Trennung: PrismaService-Middleware hängt where.tenantId automatisch an jede Query (TENANT_SCOPED_MODELS-Whitelist). CI-Audit prüft, dass kein Modell vergessen wird.; Standard
Companion-Tenant: Mitarbeiter-Privatdaten (Halt, Falk, Remo) liegen in einem separaten PERSONAL-Tenant. Der OWNER der Firma sieht diese Daten technisch nicht — gleiche Isolations-Schicht wie zwischen fremden Mandanten.; Standard
Daten-Residenz: Alle Daten bleiben in Deutschland. Keine Spiegelung in Drittländer, keine Sub-Verarbeiter außerhalb der EU.; Standard
Externe Tools: Mailpit lokal in Dev, Resend (EU-Endpoint) für Prod-Mails. Keine Analytics-Pixel, keine externen Cookies auf der Marketing-Seite.; Standard

Sicherheit

Verschlüsselung, MFA, Audit-Log.

Standard-Krypto, kein Eigenbau. Zwei-Faktor optional. Kritische Aktionen protokolliert.

In-Transit: TLS 1.3, HSTS, automatische Zertifikats-Erneuerung via Caddy/Lets-Encrypt.; Standard
At-Rest (sensitive Felder): AES-256-GCM mit AI_KEY_ENCRYPTION_SECRET (32 Byte Key, Boot-Check verhindert schwache Keys).; Standard
Passwörter: bcrypt (Cost-Faktor 10). Keine Klartext-Passwörter, keine reversible Speicherung.; Standard
Zwei-Faktor (TOTP): RFC-6238-Standard mit Google-Authenticator / 1Password / Authy. bcrypt-gehashte Recovery-Codes als Backup.; Standard
Session-Management: JWT (Access 15 min, Refresh 7d mit Rotation), HTTPOnly-Cookies, SameSite=Strict, server-seitiges Logout.; Standard
Audit-Log: Kritische Aktionen (Login, Rollen-Änderung, Daten-Export, Löschungen) werden protokolliert und sind über das Admin-Dashboard einsehbar.; Standard
Rate-Limiting: Throttle auf Login-, Order-Tracking- und Public-API-Endpoints (30 GET / 10 POST pro Minute).; Standard

DSGVO-Selbstaudit

Was Tarev konkret erfüllt.

Punkt für Punkt entlang der DSGVO-Artikel und der relevanten technischen Schutzmaßnahmen. Jeder Eintrag ist im Code oder im Betrieb verankert.

Art. 17

Recht auf Löschung mit 30 Tage Grace-Period: Account- und Daten-Löschung über Self-Service, Hard-Delete nach Frist.

Art. 20

Datenportabilität als JSON-Export jederzeit per Klick, mit allen verknüpften Daten und ohne Teildatensätze.

Art. 28

Auftragsverarbeitung-Vertrag verfügbar (Download oben). Sub-Verarbeiter-Liste mit Hetzner Nürnberg, Resend EU, ohne US-Cloud.

Hosting im EWR

Hetzner Online GmbH, Rechenzentrum Nürnberg. Keine Spiegelung in Drittländer, kein CLOUD-Act-Risiko.

Pseudonymisierung

Pseudonyme IDs überall wo personenbezogene Daten in Logs oder Analytics auftauchen können. Klarnamen nur im Mandanten-Scope.

In-Transit-Krypto

TLS 1.3 mit HSTS auf allen Verbindungen. Automatische Zertifikats-Erneuerung via Caddy und Lets-Encrypt.

At-Rest-Krypto

Sensible Felder (BYOK-Keys, Recovery-Codes) AES-256-GCM-verschlüsselt. Postgres-Volume auf verschlüsseltem Hetzner-Disk.

Zugriffsprotokoll

Audit-Log für Login, Rollen-Änderung, Daten-Export und Löschungen. Im Admin-Dashboard einsehbar und filterbar.

2FA für Admins

TOTP-basierte Zwei-Faktor-Authentifizierung für OWNER- und ADMIN-Konten. bcrypt-gehashte Recovery-Codes als Fallback.

Brute-Force-Schutz

Throttle auf Login- und Public-Tracking-Endpoints (30 GET / 10 POST pro Minute). Schützt vor Credential-Stuffing und Token-Raten.

Technische Maßnahmen

Was unter der Haube läuft.

Konsolidierte Liste der Schutzmaßnahmen, die ohne weiteres Zutun aktiv sind. Plus offener Hinweis zum externen Audit, statt es zu verstecken.

Content-Security-Policy

Strikte CSP-Header, blockiert Inline-Scripts und fremde Origins. Schützt vor XSS und Clickjacking.

Rate-Limits auf öffentliche Endpoints

Throttle auf Login, Order-Tracking und Public-API. 30 GET / 10 POST pro Minute und IP.

HMAC-signierte Webhooks

Alle ausgehenden Webhooks tragen einen HMAC-Signatur-Header, damit Empfänger die Herkunft verifizieren können.

SSL automatisch erneuert

TLS-Zertifikate via Caddy und Lets-Encrypt, Auto-Renewal alle 60 Tage. Kein manuelles Hantieren mit Zertifikaten.

Secrets at-rest verschlüsselt

AES-256-GCM für sensible Felder (BYOK-Keys, Recovery-Codes), 32-Byte-Master-Key mit Boot-Check gegen schwache Keys.

Tenant-Isolation auf DB-Ebene

PrismaService-Middleware hängt tenantId an jede Query. CI-Audit prüft, dass kein Model die Whitelist umgeht.

Externer Sicherheits-Audit geplant für Sommer 2026

Ein externer Pentest und ein begleitender Code-Audit sind für Sommer 2026 fest eingeplant. Wir schreiben das hier offen rein, anstatt es bis zum Abschluss zu verstecken. Bericht-Auszug wird auf Anfrage geteilt.

Backup-Garantie

Backup- und Restore-Garantie, schwarz auf weiß.

Konkrete Zahlen aus dem laufenden Betrieb. Keine Marketing-Phrasen, sondern was die Cron-Jobs und Skripte tatsächlich tun.

Tägliche Sicherheits-Kopie

Vollständiger pg_dump jede Nacht 03:30 UTC. Touch-File markiert den letzten Erfolg, Health-Endpoint alarmiert bei Lücke über 26 Stunden.

Rotation 14 / 8 / 12

14 Tage rollierend für schnelle Tag-Rollbacks, 8 Wochen monatlich für mittlere Sicht, 12 Monate jährlich für Audit-Anforderungen.

Wiederherstellung in 4 Stunden

Restore aus dem jüngsten pg_dump in unter 4 Stunden zugesichert. Wöchentlicher Restore-Drill auf Schatten-DB verifiziert das automatisch.

Storage auf separater Hetzner-Box

Zweite Kopie auf einer getrennten Hetzner-Storage-Box. Schützt vor Total-Verlust der Produktions-VM und vor versehentlichem Löschen.

Details zu den einzelnen Stufen, Cron-Zeiten und Touch-Files stehen darunter in der ausführlichen Backup-Tabelle.

Backups

Drei Stufen. Wöchentlicher Restore-Test.

Backups, die nie zurückgespielt werden, sind keine Backups. Deshalb läuft jeden Sonntag automatisch ein Restore-Test.

Stufe 1 — Daily pg_dump: Täglich 03:30 UTC lokal auf dem Server, Retention 14 Tage / 8 Wochen / 12 Monate. Touch-File .last-success für Monitoring.; Standard
Stufe 2 — Hetzner VM-Backup: Hetzner-Cloud-Backups in separater Storage-Region, 7-Tage-Rolling. Schützt vor Komplett-Verlust der VM.; Standard
Stufe 3 — Restore-Test: Wöchentlich Sonntag 04:30 UTC: pg_dump wird in eine Schatten-DB eingespielt und auf Tabellen-Anzahl geprüft. Ergebnis im /api/health/full-Endpoint.; Standard
Stufe 4 — Off-Site: Externes Off-site-Backup (StorageBox / S3 außerhalb von Hetzner) für den Fall eines kompletten Hetzner-Ausfalls.; Geplant

Rollen

Zwei Schichten, additiv kombinierbar.

Grob über System-Rollen, fein über Custom-Permissions. OWNER bekommt jede Permission als Notausgang automatisch.

System-Rollen: 5-stufig — OWNER, ADMIN, MANAGER, EMPLOYEE, EXTERNAL. Coarse-grained, über den @Roles-Decorator und den RolesGuard durchgesetzt.; Standard
Custom-Permissions: Feingranular pro Endpoint. 130+ Default-Permission-Keys (default-permissions.ts), eigene Rollen pro Tenant zusammenstellbar im Admin-UI unter /dashboard/admin/rollen.; Standard
JWT-Payload: Beim Login werden permissions[] in den JWT geladen. PermissionsGuard prüft pro Request gegen den @RequirePermissions-Decorator.; Standard
Self-Service: me/*- und my-*-Endpoints bleiben unabhängig von Custom-Permissions. Service-Layer macht weiterhin den Self-vs-Privileged-Check.; Standard
Audit-Pflicht: Rollen- und Permission-Änderungen sind im Audit-Log nachvollziehbar.; Standard

Verfügbarkeit

Live-Status, klare Wartungsfenster.

Aktuell tracken wir Uptime intern — ein offizielles SLA gibt es in der Pilot-Phase noch nicht. Sobald Tarev aus der Pilot-Phase ist, wird das nachgereicht.

Status-Page: status.tarev.de; Standard
Uptime: Wird intern protokolliert (Health-Check + Watchdog). Offizielles SLA in der Pilot-Phase noch nicht zugesichert.; In Pilot-Phase
Wartungsfenster: Maximal 1× pro Monat, angekündigt mit 48h Vorlauf via Status-Page + E-Mail.; Standard
Notfall-Kontakt: support@tarev.de; Standard

API + Export

REST-API offen, kein Vendor-Lock-in.

Tarev hält deine Daten nicht als Geisel. Vollständiger DSGVO-Export jederzeit, Webhooks für kritische Events, dokumentierte REST-API.

REST-API: Komplette OpenAPI/Swagger-Dokumentation unter /api/docs. Authentifizierung via JWT (Bearer-Token).; Standard
Webhooks: Outgoing-Webhooks für Bestellung, Lohn-Lauf, Rechnung, Lieferung und Service-Ticket-Stage-Änderungen. Signierte Payloads (HMAC).; Standard
DSGVO-Export: Artikel-20-Export jederzeit. JSON-Format mit allen verknüpften Daten — keine Teildatensätze.; Standard
DATEV-Export: Lohn- und Buchhaltungs-Export im DATEV-CSV-Format. SEPA-Export für Zahlungen.; Standard
Vendor-Lock-in: Daten gehören dir. Export ist immer komplett. Kein „Pro-Tarif für Export-Funktion"-Spiel.; Standard

Integrationen

Was schon angeschlossen ist.

Reifegrad explizit markiert. Provider-Slots sind im Daten-Layer bereits vorgesehen — die externe Anbindung kommt jeweils im Folge-Sprint.

Buchhaltung

DATEV Lohn-Export

Standard

Buchhaltung

DATEV Buchhaltungs-Export

Standard

Steuern

ELSTER Steuermeldung

Standard

Falk

Zahlungen

Stripe Payments

In Pilot-Phase

Daten

CSV / Excel Import + Export

Standard

Kalender

Outlook / iCal (Kalender)

Standard

Bank

FinTS / PSD2 (Bank)

In Pilot-Phase

Provider-Slot — manueller CAMT-Import live

Buchhaltung

SAP / DATEV-Unternehmen-Online

Geplant

Kommunikation

Microsoft Teams (Notifications)

Geplant

Lager

Lager-Scanner (Barcode)

Geplant

E-Commerce

Shopify

Geplant

Frage zur Sicherheit offen geblieben?

Sicherheits-Fragebogen, AV-Vertrag, Pentest-Bericht oder Architektur-Detail. Wir antworten direkt unter support@tarev.de, nicht über drei Vertriebs-Stufen.

Auf Anfrage ist auch ein persönliches Sicherheits-Briefing als Zoom-Termin möglich. Wir gehen Hosting, Backups, Rollen-System und die DSGVO-Checkliste live mit deiner IT durch.

Sicherheits-Fragen stellen Zoom-Briefing anfragen Demo-Termin vereinbaren