sicherheit
Was Ihre Daten wirklich schützt.
Kein Zertifikats-Badge — das hat ein echtes Audit dieser Codebasis heute ergeben, und das wurde daraufhin behoben.
Was geschützt ist, und wie
Row-Level-Security auf jeder Tabelle
Jede Datenbanktabelle erzwingt Eigentümerschaft direkt auf Postgres-Ebene (echte RLS-Richtlinien, die auth.uid() prüfen), nicht nur im Anwendungscode — ein Fehler in einer einzelnen API-Route kann also nicht versehentlich die Daten eines anderen Nutzers offenlegen.
Privater Speicher, nur signierte URLs
Fotos, Belegbilder und Versicherungsunterlagen liegen alle in privaten Storage-Buckets. Jedes Bild, das Sie sehen, wird über eine kurzlebige, bei Bedarf generierte signierte URL ausgeliefert — nie über einen dauerhaften öffentlichen Link.
Verifizierte Stripe-Webhooks
Zahlungsereignisse werden kryptografisch signaturgeprüft, bevor irgendetwas passiert, und genau einmal verarbeitet, selbst wenn Stripe die Zustellung wiederholt — ein wiederholtes Ereignis kann niemals doppelt Scan-Guthaben vergeben.
Video verlässt nie Ihren Browser
Die Frame-Extraktion läuft vollständig client-seitig, in einem verborgenen Video-Element in Ihrem Browser — nur die kleinen, komprimierten, scharfen Frames, die die KI tatsächlich braucht, werden hochgeladen. Das rohe Video des Rundgangs wird nirgendwohin gesendet.
Admin-Aktionen sind abgesichert und protokolliert
Support-Aktionen (etwa das Gewähren von Bonus-Scan-Guthaben) sind auf eine echte Admin-Zulassungsliste beschränkt und werden in einem Audit-Log festgehalten — nicht einfach für "jeden, der angemeldet ist" verfügbar.
Keine Server-Geheimnisse im Browser
API-Schlüssel für Claude, Stripe und den E-Mail-Versand existieren nur serverseitig. An den Browser werden ausschließlich die Werte ausgeliefert, die er wirklich benötigt.
Ihre Daten, Ihre Kontrolle
Echter Datenexport
Laden Sie alles herunter, was die App über Sie gespeichert hat — Inventare, Gegenstände, Zeitstempel, Mitgliedschaften — als eine JSON-Datei, jederzeit.
Echte Kontolöschung
Das Löschen Ihres Kontos entfernt Ihre Datenbankeinträge und jede gespeicherte Datei in allen drei Storage-Buckets (Gegenstandsfotos, Belege, Versicherungsunterlagen) — nicht nur den Kontodatensatz.
Dies ist ein von einer einzelnen Person gebautes Produkt, kein Enterprise-Anbieter mit hinterlegtem SOC-2-Bericht. Alles oben ist im tatsächlichen Quellcode nachprüfbar — keine Marketingaussage.