Sicherheitsmaßnahmen

GramGrow nutzt tenantbewusstes Schema-Design, Row-Level Security, rollenbasierten Settings-Zugriff, verschlüsselte Integrations-Secrets, maskierte Credential-Hinweise, Provider-Fingerprints und serverseitige Validierung sensibler Einstellungen. Die Application-Security-Taxonomie orientiert sich an OWASP-ASVS-5.0-Kontrollbereichen wie Authentifizierung, Zugriffskontrolle, Input-Validierung, Secrets Management, Logging, API-Schutz und Datenschutz, ohne eine abgeschlossene Zertifizierung zu behaupten.

Production und lokale Umgebungen sind getrennte Trust Domains. Production-Promotion muss über lokale Validierung, CI soweit verfügbar, explizite menschliche Freigabe, guarded Deploy und Post-Deploy-Validierung laufen. Governance, Supply-Chain-Review, Observability, Alerting und interne Ops-Diagnostik stützen die Nachweiskette.

Sicherheitsmeldungen gehen bis zur Veröffentlichung einer dedizierten Security-Mailbox und Coordinated-Disclosure-Policy an support@gramgrow.io. Die Ziel-Erstantwort für Launch-Stage-Meldungen liegt bei zwei Werktagen. Incident Handling darf keine Secrets offenlegen und soll Evidence, Impact, betroffene Tenants, Mitigation, Kundenkommunikation und Follow-ups bewahren.