Sicherheit & Datenverarbeitung
SPHIOR Ops Console for Monday
Diese Seite beschreibt, wie SPHIOR ("wir") SPHIOR Ops Console for Monday (die "App") sichert und mit Ihren Daten umgeht. Wie wir mit Daten allgemein umgehen, erfahren Sie in unserer Datenschutzerklärung unter https://ops-console.sphior.com/privacy.
1. Architektur & Datenverarbeitung
· Gehostet auf monday code. Die App läuft auf der verwalteten Infrastruktur von monday.com (monday code). Wir betreiben keine separate externe Datenbank, keinen Log-Versand und keine Analyse-Pipeline. · Keine langfristige Speicherung von Geschäftsdaten der Kunden. Board- und Elementinhalte werden vorübergehend verarbeitet – im Arbeitsspeicher oder in kurzlebigem Zwischenspeicher – und unmittelbar nach Abschluss des Vorgangs oder nach der Auslieferung an die von Ihnen gewählte Cloud gelöscht. · Auslieferung an Ihre eigene Cloud. Exporte werden auf Ihre Anweisung an Ihr eigenes Google Drive ausgeliefert; wir behalten keine Kopie. · Verschlüsselung während der Übertragung: TLS für jeden API-Aufruf, durchgesetzt durch die Plattformen von monday.com und Google. · Verschlüsselung im Ruhezustand: Konfiguration und Token werden in monday Storage / monday SecureStorage gehalten und von monday.com verschlüsselt. Undo-Snapshots werden verschlüsselt gespeichert.
2. Undo-Snapshots & Aufbewahrung
Vor jeder destruktiven Aktion (Zusammenführen von Duplikaten, Massenarchivierung oder Suchen & Ersetzen) erstellt die App einen Undo-Snapshot, damit Sie eine Wiederherstellung vornehmen können. Snapshots sind verschlüsselt, haben eine Gültigkeitsdauer (TTL) von 30 Tagen und werden nach Ablauf der TTL automatisch gelöscht. Sie sind der einzige Kundeninhalt, den die App über die Dauer eines Vorgangs hinaus aufbewahrt.
3. Berechtigungsbereiche nach dem Prinzip der geringsten Rechte
Die App fordert nur die für ihre Funktionalität erforderlichen minimalen monday.com-Berechtigungsbereiche an: me:read, account:read, boards:read, boards:write und notifications:write. Der Zugriff auf Google Drive ist auf den Berechtigungsbereich drive.file beschränkt, der nur Zugriff auf Dateien gewährt, die die App selbst erstellt oder die Sie ausdrücklich auswählen – niemals auf Ihr gesamtes Drive. Die App fordert keine Passwörter der Endnutzer und keine persönlichen Zugriffstoken an; Plattformtoken werden von monday.com und Google verwaltet.
4. Speicherorte
· Konfiguration, Zeitpläne und Auftragseinstellungen → monday Storage. · OAuth-Token (monday und, falls verbunden, Google) → monday SecureStorage. · Nutzdaten von Undo-Snapshots → verschlüsselter Objektspeicher (BLOB) mit einer TTL von 30 Tagen. · Anonyme Nutzungszahlen → ausschließlich aggregierte Metriken, die keine personenbezogenen Daten und keine Board-Inhalte enthalten. Es gibt keine von SPHIOR betriebene externe Kundendatenbank.
5. Schwachstellenmanagement & sichere Entwicklung
· Automatisierte Sicherheitsprüfung. Da die authentifizierte Web-Sicherheitsprüfung das Kerngeschäft von SPHIOR ist, führen wir regelmäßig und vor bedeutenden Releases statische Analysen (SAST), Abhängigkeits- / Open-Source-Prüfungen (SCA) und authentifizierte dynamische Tests (DAST) gegen die erreichbaren Oberflächen der App durch. · Abhängigkeiten werden über Lockfiles festgeschrieben; eine Software-Stückliste (SBOM) wird gepflegt und bei jedem Release überprüft. · Befunde werden priorisiert und innerhalb definierter Fristen behoben, die auf die Sicherheitsanforderungen des monday.com-Marketplace abgestimmt sind. · Der TypeScript-Strict-Modus, ESLint und Peer-Review werden vor dem Merge in den main-Branch ausgeführt. Es werden keine Geheimnisse in die Versionsverwaltung eingecheckt.
6. Reaktion auf Sicherheitsvorfälle
Im Falle eines bestätigten Sicherheitsvorfalls, der die App betrifft: 1. Die Priorisierung beginnt innerhalb von 24 Stunden nach der Bestätigung. 2. Eine Benachrichtigung der Kunden wird innerhalb von 72 Stunden nach Bestätigung einer wesentlichen Auswirkung an die betroffenen Installationen versandt, im Einklang mit den Erwartungen gemäß Article 33 der GDPR. 3. Es folgen eine Ursachenanalyse und ein Behebungsplan; Korrekturen mit Auswirkungen auf Kunden werden über die Update-Pipeline des monday.com-Marketplace veröffentlicht. 4. Eine Zusammenfassung nach dem Vorfall wird mit den betroffenen Kunden geteilt und, sofern angemessen, öffentlich zusammengefasst. Vermutete Sicherheitsereignisse können jederzeit an security@sphior.com gemeldet werden; wir bestätigen den Eingang innerhalb von 1 Werktag.
7. Zugriffskontrollen (intern)
· Geringste Rechte. Der Zugriff auf Quellcode-Repositories, die monday.com-Entwicklerkonsole und das Produktions-Deployment ist nach dem Need-to-know-Prinzip auf App-Betreuer beschränkt. Es werden keine gemeinsam genutzten Konten und keine gemeinsam genutzten Produktionsanmeldedaten verwendet. · Der main-Branch ist mit erforderlichen Statusprüfungen geschützt (Typprüfung, Linting und Tests müssen vor dem Merge bestehen). · Für alle Konten mit Zugriff auf Quellcode, die Entwicklerkonsole und Deploy-Werkzeuge ist Multi-Faktor-Authentifizierung (MFA) erforderlich. · Die Zugriffsliste wird mindestens vierteljährlich überprüft und umgehend entzogen, sobald sie nicht mehr benötigt wird.
8. Künstliche Intelligenz
Die Kernfunktionalität der App – Duplikatentfernung, Suchen & Ersetzen, Massenarchivierung, Export und wiederkehrende Elemente – ist vollständig deterministisch. Es werden keine Board-Daten von Kunden an einen AI- oder Machine-Learning-Dienst gesendet, und wir verwenden Ihre Daten nicht zum Training von Modellen.
9. Verantwortungsvolle Offenlegung
Wir begrüßen Sicherheitsforschung an der App. Bitte melden Sie Befunde vertraulich an security@sphior.com mit einer Beschreibung, Reproduktionsschritten, einer Bewertung der Auswirkungen und etwaigen vorgeschlagenen Gegenmaßnahmen. Wir verpflichten uns, den Eingang Ihrer Meldung innerhalb von 1 Werktag zu bestätigen, innerhalb von 5 Werktagen eine erste Priorisierungsentscheidung mitzuteilen und keine rechtlichen Schritte gegen gutgläubige Forscher zu unternehmen, die diese Richtlinie befolgen.
10. Kontakt
Sicherheitsereignisse: security@sphior.com Allgemeiner Kontakt: support@sphior.com Datenschutzanfragen: siehe die Datenschutzerklärung unter https://ops-console.sphior.com/privacy
Zuletzt aktualisiert: 2026-07-11
