Zum Hauptinhalt springen
FunktionenGratis-KarteBranchenPreiseSicherheit
AnmeldenLoslegen

Trust Center

Last reviewed: July 2026

Hubity ist mit unternehmensgerechter Sicherheit als Grundlage entwickelt. Diese Seite dokumentiert, wie wir deine Daten schützen, wer verantwortlich ist und welche Rechte du hast.

Active
Encryption at Rest
Active
Encryption in Transit
Available
Multi-Factor Auth
Active
Audit Logging
Active
Privacy Rights
In Progress
SOC 2 (In Bearbeitung)
Our Commitment
Core

Sicherheit ist bei Hubity kein nachträglicher Gedanke. Sie ist in jede Schicht unserer Architektur eingebettet: von der verschlüsselten Feldspeicherung über den authentifizierten Dateizugriff bis hin zu granularen rollenbasierten Berechtigungen. Wir halten uns an dieselben Standards, bei deren Durchsetzung wir HR-Teams für ihre eigenen Daten unterstützen.

Data Encryption
Active
Encryption at rest: Alle Daten werden im Ruhezustand mit dem AES-256-Standard verschlüsselt
Field-level encryption: Sensible Felder (Gehalt, personenbezogene Daten) erhalten eine zusätzliche Verschlüsselungsebene mit einem separaten Schlüssel, mit einem eindeutigen Initialisierungsvektor pro Eintrag und erforderlicher Step-up-Authentifizierung für den Zugriff
Encryption in transit: Alle Verbindungen verwenden aktuelle Transportverschlüsselungsstandards. Unsichere Verbindungen werden abgelehnt
Key management: Verschlüsselungsschlüssel werden nach Branchenstandard-Schlüsselableitung generiert und separat von den verschlüsselten Daten gespeichert. Schlüsselrotation wird ohne Datenneu-Verschlüsselung unterstützt
Email privacy: E-Mail-Adressen werden mit zusätzlichem Schutz im Ruhezustand verschlüsselt, um eine Offenlegung bei unbefugtem Zugriff zu verhindern
File access: Hochgeladene Dateien werden über einen authentifizierten Proxy bereitgestellt. Rohe Speicher-URLs werden niemals an Clients weitergegeben
Authentication
Active
Passwordless login: Magic-Link-E-Mail-Codes mit 15-minütiger Gültigkeitsdauer - keine Passwörter, die abgephisht oder gestohlen werden können
Passkeys: Hardware-Sicherheitsschlüssel und biometrische Authentifizierung (Fingerabdruck, Gesicht) vollständig unterstützt
Two-factor authentication: Authenticator-App-basierte 2FA mit verschlüsselter Secret-Speicherung und gehashten Wiederherstellungscodes
OAuth SSO: Anmeldung mit Google oder Microsoft (Entra ID) für Enterprise Single Sign-On
Session management: Verschlüsselte, sichere Sitzungs-Token mit Cross-Site-Schutz und automatischem Ablauf
Step-up authentication: Sensible Daten (Gehalt, personenbezogene Daten) erfordern eine kürzlich erfolgte erneute Authentifizierung, bevor der Zugriff gewährt wird
Infrastructure
Active
Hosting: Enterprise-zertifizierter Hosting-Anbieter mit automatischem Failover, globalem Edge-Netzwerk und Zero-Downtime-Deployments
Database: Enterprise-Datenbank mit Verschlüsselung im Ruhezustand, kontinuierlichen Backups und Point-in-Time-Recovery
Network Protection: Enterprise-gerechter DDoS-Schutz, Bot-Management und Edge-Caching
Data isolation: Die Daten jedes Unternehmens sind logisch isoliert. Eine strikte Mandantentrennung verhindert jeglichen unternehmensübergreifenden Datenzugriff
File storage: Dokumente werden in verschlüsseltem Cloud-Speicher mit ausschließlich serverseitig authentifiziertem Zugriff gespeichert
Access Control
Active
Rollenbasierte Zugriffskontrolle: Granulare Rollen nach dem Least-Privilege-Prinzip regeln jede Aktion. Die Aufgaben sind getrennt: Eine dedizierte IT- und Sicherheitsadministrator-Rolle verwaltet Authentifizierung, Integrationen und Audit ohne Zugriff auf HR-, Finanz- oder Vergütungsdaten, und eine Finanzrolle ist auf Finanzdaten beschränkt, ohne Befugnisse zur Unternehmensadministration
Audit logging: Alle wesentlichen Aktionen werden in einem manipulationssicheren Audit-Protokoll aufgezeichnet, das durch eine kryptografische Hash-Kette gesichert ist und Quell-IP, Gerät und Aktionskontext erfasst. Die Datensätze werden mindestens sechs Jahre lang aufbewahrt
Rate limiting: Alle Authentifizierungs- und sensiblen Operationen werden rate-limitiert, um Missbrauch zu verhindern
Input validation: Serverseitige Validierung aller Eingaben, einschließlich Dateityp-Verifizierung bei Uploads und Datenformat-Validierung
Application Security
Active
Content Security Policy: Strenge Browser-Sicherheitsrichtlinien verhindern Code-Injection und unautorisierten Ressourcenzugriff
Sensitive data detection: Automatische Erkennung von Sozialversicherungsnummern, Kreditkartennummern, Passwörtern und API-Schlüsseln in Wissensbank-Eingaben. Aktive Zugangsdaten werden blockiert, und andere sensible Daten werden in Quarantäne verschoben und vom KI-Abruf ausgeschlossen
Dependency management: Abhängigkeiten werden regelmäßig verfolgt und aktualisiert. Sicherheitshinweise werden zeitnah geprüft und umgesetzt
Error handling: Interne Fehlerdetails werden niemals an Clients weitergegeben. Fehler werden sicher für die interne Überprüfung protokolliert
Data Handling
Active
Data residency: Daten werden hauptsächlich in den Vereinigten Staaten verarbeitet und gespeichert. EU-Datenresidenz ist in Enterprise-Tarifen verfügbar
Data minimization: Wir erheben nur Daten, die zur Erbringung des Dienstes erforderlich sind. Kein Verhaltens-Tracking über Produkt-Analytics hinaus
Processing: An unsere Verarbeitungsanbieter gesendete Anfragen werden nach dem Anfragezyklus nicht aufbewahrt und nie zum Training von Modellen verwendet
Deletion: Kundendaten werden nach der Konto-Kündigung im Einklang mit unserem Auftragsverarbeitungsvertrag gelöscht, und Backups werden anschließend nach einem rollierenden Zeitplan entfernt
Compliance
In Progress
European Privacy RightsActive
Zugangs-, Berichtigungs-, Löschungs- und Datenexportrechte werden unterstützt
California Privacy RightsActive
Verbraucherrechte im Datenschutz werden eingehalten, einschließlich des Rechts auf Auskunft, Löschung und Widerspruch
Sensitive Data ProtectionActive
Field-level encryption, authenticated access, long-term audit retention
SOC 2 Type IIIn Progress
Infrastrukturanbieter zertifiziert. Selbstbewertung läuft
Accessibility

Hubity verpflichtet sich dazu, anerkannte Zugänglichkeitsstandards auf allen nutzerorientierten Oberflächen zu erfüllen.

Keyboard navigation: Alle interaktiven Elemente sind per Tastatur erreichbar und mit sichtbaren Fokusindikatoren versehen
Screen reader support: Labels, Rollen und Live-Regionen für die Kompatibilität mit assistiver Technologie
Semantic HTML: Korrekte Überschriftenhierarchie, Orientierungsbereiche und Formularbeschriftungen durchgängig
Color contrast: Text- und UI-Elemente erfüllen WCAG-AA-Kontrastverhältnisse in hellen und dunklen Themes
Skip navigation: Skip-to-Content-Link für Tastaturnutzer, um repetitive Navigation zu überspringen
Responsive design: Vollständig nutzbar auf Mobilgeräten, Tablets und Desktop mit Touch- und Zeigereingabe

Um eine Zugänglichkeitsbarriere zu melden, wende dich an [email protected].

Vulnerability Disclosure

Wir begrüßen verantwortungsvolle Sicherheitsforschung. Wenn du eine Schwachstelle entdeckst, melde sie bitte an [email protected].

Response time: Wir bestätigen alle Meldungen innerhalb von 48 Stunden
Safe harbor: Wir ergreifen keine rechtlichen Schritte gegen Forscher, die in gutem Glauben handeln
Recognition: Berechtigte Schwachstellenmelder werden mit Genehmigung namentlich erwähnt

In scope: hubity.io und zugehörige Dienste

Out of scope: Drittanbieterdienste, Social Engineering, Denial-of-Service

Unsere vollständige Sicherheitsrichtlinie ist veröffentlicht unter /.well-known/security.txt

Connector Security Compliance
Active

Mapping against the OWASP MCP Top 10 Framework für Konnektor- und Agenten-Sicherheit.

MCP01 Token Mismanagement & Secret ExposureMitigated
Token werden als Einweg-Hashes gespeichert. Anmeldedaten werden mit eindeutigen Initialisierungsvektoren pro Eintrag verschlüsselt. Klartext wird einmalig bei der Generierung angezeigt und ist danach nicht abrufbar. Secrets werden nie protokolliert oder in Fehlerantworten einbezogen.
MCP02 Privilege Escalation via Scope CreepMitigated
Begrenzte Token mit expliziten Nur-Lese-Berechtigungen. Client-spezifische Capability-Manifeste schränken verfügbare Tools ein. Schreiboperationen erfordern mehrstufige Genehmigungsworkflows mit Vier-Augen-Prinzip für sensible Aktionen.
MCP03 Tool PoisoningMitigated
Alle Konnektor-Tool-Ergebnisse werden vor der Speicherung oder Rückgabe auf Injection-Muster, Befehlsausführung und Datenexfiltration gescannt. Konnektor-Capabilities erfordern ausdrückliche Administratorgenehmigung.
MCP04 Supply Chain & Dependency TamperingMitigated
Herkunftsverfolgung mit kryptografischen Signaturen auf allen aufgenommenen Daten. Inhaltsintegrität wird über Hash-Ketten verifiziert. Konnektor-Gesundheit wird kontinuierlich überwacht, mit automatischer Quarantäne bei Ausfall.
MCP05 Command Injection & ExecutionMitigated
Alle Tool-Eingaben werden serverseitig validiert. Datenbankabfragen sind parametrisiert. Keine Shell-Ausführung aus Konnektor-Daten. Content-Scanning erkennt Bedrohungen in kodierten Payloads vor der Verarbeitung.
MCP06 Prompt Injection via Contextual PayloadsMitigated
Prompt-Injection-Erkennung bei allen aus Konnektoren stammenden Inhalten. Sensible und klassifizierte Inhalte werden aus Tool-Antworten ausgeschlossen. Längenbegrenzungen für Inhalte werden auf Tool-Antworten angewendet.
MCP07 Insufficient Authentication & AuthorizationMitigated
OAuth 2.1 mit PKCE. Proof-of-Possession-Token-Bindung. Enterprise SSO über Identity-Provider-Verbund. Token-Introspektions-Endpunkt für Echtzeit-Validierung. Multi-Mandanten-Isolation auf jeder Ebene.
MCP08 Fehlende Audit- und TelemetriedatenMitigated
Jeder Tool-Aufruf, jede Token-Operation und jede Zugriffsentscheidung wird protokolliert. Manipulationssicheres Auditprotokoll mit kryptografischer Hash-Kette. Signierte Audit-Export-Bundles für externe Compliance-Prüfungen.
MCP09 Shadow ServersMitigated
Konnektor-Registrierung erfordert Genehmigung auf Vorgesetztenebene. Alle Konnektoren werden im Unternehmens-Inventar mit Gesundheitsüberwachung erfasst. Ungenutzte Konnektoren werden automatisch markiert. Keine Standard- oder gemeinsamen Anmeldedaten.
MCP10 Context Injection & Over-SharingMitigated
Strikte Mandanten-Isolation verhindert unternehmensübergreifenden Datenzugriff. Sensible, vertrauliche und gesundheitsbezogene Inhalte werden aus allen Antworten ausgeschlossen. Personenbezogene Daten werden gescannt und automatisch geschwärzt.
Security Contact

Für Sicherheitsanfragen, Compliance-Fragen oder zur Meldung eines Anliegens:

Hubity
[email protected]

Sicherheitsprüfung für Unternehmen? Fordern Sie unser Sicherheitspaket (unseren SOC-2-Bericht, sobald verfügbar, den Auftragsverarbeitungsvertrag und ausgefüllte Sicherheitsfragebögen) unter NDA an der oben genannten Adresse an.

Besser arbeiten, gemeinsam.

See every job, invoice, proposal, and document in one place, and ask it anything, with the answer cited from your own files.

Kostenlos starten

Mit Starter dauerhaft kostenlos. Keine Kreditkarte erforderlich.

Wir glauben, dass jedes Team besser arbeiten kann. Effizienter. Transparenter. Kollaborativer. Vernetzter. Hubity macht es wahr.

Produkt

FunktionenWissenszentrumTägliche BriefingsStrategischer BeraterFeed-IntelligenceMultimodale EingabeTeamverwaltung

Entdecken

BranchenIntegrationenGratis-KartePreise & PaketeAnderungen

Unternehmen

Warum wirPresseKontaktStatus

Rechtliches

NutzungsbedingungenDatenschutzSicherheitAVVBarrierefreiheitDatenschutzanfrage
© 2026 Hubity Alle Rechte vorbehalten.
DatenschutzNutzungsbedingungenMeine persönlichen Daten nicht verkaufen oder weitergeben