Die echten Kontrollen, die Ihre Dokumente schützen.

AES-256-Verschlüsselung im Ruhezustand

Hochgeladene Dokumente werden standardmäßig mit SSE-S3 serverseitiger Verschlüsselung in MinIO geschrieben. In der Produktion (Railway) läuft MinIO mit aktiviertem KMS, sodass SSE-S3 immer angewendet wird. In nicht unterstützten selbst gehosteten Bereitstellungen ohne KMS kann MinIO auf unverschlüsselte Schreibvorgänge zurückfallen – dies ist eine Bereitstellungsentscheidung, keine stille Herabstufung in der Produktion.

backend/app/services/storage_service.py · upload_file()

TLS 1.2+ bei der Übertragung

Jeder Netzwerksprung – Browser zu Vercel Edge, Edge zu Railway-Backend, Backend zu LLM-Anbietern – verwendet TLS. HSTS mit max-age=63072000 und includeSubDomains ist auf der Apex-Domain gesetzt.

Kein Training mit Ihren Daten

DocTalk leitet LLM-Aufrufe über OpenRouter weiter. Ihre Dokumente und Fragen werden von DocTalk niemals zum Trainieren von Modellen verwendet. Die Datenspeicherung auf Anbieterseite hängt vom Upstream-Modell (DeepSeek / Mistral) ab – für garantierte Nulldatenspeicherung verlassen wir uns auf die Datenschutzeinstellung auf Kontoebene von OpenRouter (operative Kontrolle, noch nicht auf Anfrageebene codegestützt), und können diese auf Anfrage mit einer Anbieter-Allowlist weiter verschärfen.

Magic-Byte-Dateiüberprüfung

Hochgeladene Dateien werden anhand von Dateisignatur-Bytes validiert, nicht anhand von Dateierweiterungen. Eine .pdf-Datei mit ausführbarem Inhalt wird beim Hochladen abgelehnt – Sie können den Parser nicht durch Umbenennen einer Datei täuschen.

backend/app/services/upload_service.py · magic-byte check

SSRF-Schutz bei URL-Aufnahme

Wenn Sie eine URL zum Zusammenfassen einwerfen, validiert das Backend das Ziel anhand einer Allowlist öffentlicher Hosts und lehnt jede Anfrage an private IP-Bereiche, Link-Local-Adressen oder Cloud-Metadaten-Endpunkte (169.254.169.254 usw.) ab.

backend/app/core/url_validator.py

Ratenbegrenzungen für anonyme Endpunkte

Öffentliche Endpunkte (geteilte Ansichten, anonyme Lesezugriffe) verfügen über IP-basierte Ratenbegrenzungen. Die echte Client-IP wird von der Vercel-Edge an unser Backend mit einer HMAC-SHA256-Signatur weitergeleitet, die an einen zeitstempelgebundenen pro Anfrage gebunden ist, sodass das Backend den Proxy-Ursprung authentifizieren und Header-Spoofing-Versuche ablehnen kann. Dies ist kein Schutz gegen einen aktiven MITM-Angriff auf Leitungsebene – TLS behandelt diese Schicht. Authentifizierte Benutzer umgehen die IP-Ratenbegrenzung.

backend/app/core/rate_limit.py · shared_view_limiter, anon_read_limiter

Vollständiger Datenexport

Über Ihr Profil → Konto können Sie alle Ihre Dokumente und Sitzungsdaten exportieren. Der Export umfasst alles, was DocTalk über Sie speichert, in portablen Formaten.

Kontolöschung

Sie können Ihr Konto über Profil → Konto löschen. Alle Dokumente, Sitzungen, Chatverläufe, Embeddings und Abrechnungsdaten werden entfernt; das Konto ist nach der Löschung nicht wiederherstellbar.

Benutzerisolierung

Jedes Dokument und jede Sitzung ist auf die user_id des Besitzers in der Datenbank- und Vector-Store-Ebene beschränkt. Es gibt keinen gemeinsamen Namespace, keine standardmäßige organisationsweite Sammlung, und die Isolierung wird zur Abfragezeit erzwungen – nicht nur zur Renderzeit.