Vier Schichten, jährlich durch unabhängige Dritte auditiert. Hier sind die Details, was an welcher Stelle geschieht.
Alle Kundendaten werden im Ruhezustand mit AES-256 verschlüsselt — dem aktuellen Industriestandard für symmetrische Verschlüsselung. Sensible Felder (Identitätsdokumente, Quellnachweise) werden zusätzlich auf Feldebene verschlüsselt, mit Schlüsseln, die in einem separaten Schlüsselverwaltungsdienst (HSM-gestützt) gehalten werden. Im Transit verwenden wir TLS 1.3 für sämtlichen Datenverkehr.
Zwei-Faktor-Authentifizierung ist obligatorisch und kann nicht deaktiviert werden. Wir unterstützen zwei Methoden: TOTP-Anwendungen (Google Authenticator, Authy, 1Password) und WebAuthn-Hardware-Schlüssel (YubiKey, Titan). Wir empfehlen ausdrücklich WebAuthn für sicherheitsbewusste Anwender — es ist immun gegen Phishing-Angriffe, im Gegensatz zu SMS-basiertem 2FA, das wir nicht anbieten.
Holvestium ist kein Verwahrer Ihres Kapitals. Kundengelder werden in segregierten Konten bei regulierten Prime-Brokern in der EU gehalten. Das bedeutet konkret: (1) Ihre Gelder sind rechtlich vom Holvestium-Eigenkapital getrennt, (2) im unwahrscheinlichen Fall einer Holvestium-Insolvenz sind Ihre Gelder nicht Teil der Insolvenzmasse, (3) jeder Prime-Broker ist seinerseits unter MiFID II reguliert und unterliegt nationalen Einlagensicherungssystemen.
Holvestium ist kein Verwahrer. Wir sind ein Technologiedienstleister. Ihr Kapital liegt bei regulierten Brokern in segregierten Konten — nicht bei Holvestium.
Intern arbeiten wir nach einem Zero-Trust-Modell: kein Mitarbeiter und kein interner Dienst kann ohne explizite Berechtigung auf Kundendaten zugreifen. Alle Zugriffsprotokolle werden 12 Monate lang aufbewahrt und sind während der jährlichen Audits einsehbar. Produktionssysteme und Entwicklungsumgebungen sind streng getrennt.
Wir betreiben eine vollständig redundante Infrastruktur über zwei geografisch getrennte EU-Rechenzentren. Tägliche verschlüsselte Backups werden mit einer Aufbewahrungsfrist von 30 Tagen erstellt. Recovery Time Objective (RTO): unter 4 Stunden. Recovery Point Objective (RPO): unter 15 Minuten.
Sicherheitslücke melden. Wenn Sie eine potenzielle Sicherheitslücke entdecken, schreiben Sie bitte an [email protected]. Wir bestätigen den Eingang innerhalb von 24 Stunden.