Skip to main content
by Nomadyr
EN An der Beta teilnehmen
Menü
Sicherheit & Datenschutz

Wir greifen nur auf das zu, was wir funktional brauchen.

Ihre Daten werden in der EU (Frankfurt) gespeichert, verschlüsselt im Ruhezustand und bei der Übertragung, isoliert von jedem anderen Kunden. Positionsdaten werden an HubSpot (US) unter EU Standardvertragsklauseln übermittelt.

Unser Ansatz

QuoteXelerator identifiziert den Deal, dem Positionen zugeordnet werden, liest Eigentümer für die Rezeptzuweisung und liest oder schreibt Positionen. Das ist der vollständige Umfang unseres HubSpot-Zugriffs. Da unser OAuth-Scope genau darauf begrenzt ist, können wir auf Kontakte, Unternehmen, E-Mails, Tickets, Konversationen oder andere HubSpot-Daten nicht zugreifen. Ihre Angebotsdaten verarbeiten wir in Echtzeit und speichern sie nur, soweit Compliance-Logging es verlangt. Die Daten, die wir überhaupt vorhalten, werden mit pro Kundenportal abgeleiteten Schlüsseln verschlüsselt und nie im Klartext gespeichert.

Infrastruktur

Plattform
  • EU-exklusives Serverless + verwaltete DB
  • AWS-basiert (eu-central-1, Frankfurt)
  • SOC 2 Type 2 zertifizierte Anbieter
  • Region: Frankfurt
Verschlüsselung
  • TLS bei Übertragung
  • AES-256 im Ruhezustand
  • Portal-spezifische Schlüsselableitung für ausgewählte Felder
Datenstandort
  • Daten, die wir kontrollieren, werden in der EU (Frankfurt) gespeichert
  • Positionen liegen in Ihrem HubSpot-Portal — HubSpot-Datenfluss, nicht spezifisch für uns
  • E-Mail-Zustellung über Resend (EU-Server in Irland)
Zugangsdaten
  • Keine lesbaren Tokens gespeichert
  • Keine Klartext-Zugangsdaten
  • Vollständige Mandantentrennung

Datenfluss

Ihre Anwendungsdaten bleiben in der EU. Ein klar abgegrenzter Teil an Metadaten durchläuft Anbieter außerhalb der EU, jeweils auf Grundlage von EU-Standardvertragsklauseln und im AVV dokumentiert.

Bleibt in der EU
Ihr HubSpot-Portal
QuoteXelerator-BackendVercel-Funktionen auf AWS, Frankfurt
Supabase auf AWS, FrankfurtRecipes, Angebots-Snapshots, Prüfprotokoll, OAuth-Tokens, FX-Konfiguration
Zwei Verschlüsselungsebenen im Ruhezustand: AES-256 auf Festplattenebene, zusätzlich AES-256-GCM mit portal-spezifisch abgeleiteten Schlüsseln auf ausgewählten Feldern (Finanz- & FX-Werte, Snapshots, Compliance-Details, Approval-Notizen, OAuth-Tokens, personenbezogene Identifikatoren).
Verlässt die EU (nur Metadaten)
Vercel EdgeIP, Header für DDoS / WAF (US)
ResendE-Mail-Metadaten (US)
Anthropicbereinigte Fehler-Metadaten (US)

HubSpot-Berechtigungen

Bei der Installation fordern wir ausschließlich die Berechtigungen an, die funktionell notwendig sind, damit die App arbeiten kann. Die Authentifizierung erfolgt über OAuth 2.0 mit folgenden minimalen Scopes. Klappen Sie jeden Scope auf, um die genau berührten Felder zu sehen.

crm.objects.deals.read
Identifiziert den Deal, dem die generierten Positionen zugeordnet werden
Genau vier Deal-Felder: dealname (Beschriftung einer FX-Reservierung), amount (Erkennung von Margin-Verschiebungen), hubspot_owner_id (Zuordnung einer Aktion zur handelnden Person) und deal_currency_code (Kalkulationswährung). Eine reine Existenzprüfung liest nur die Datensatz-ID (hs_object_id). Wir folgen keinen Verknüpfungen zu Kontakten oder Unternehmen.
crm.objects.line_items.write
Erstellt und aktualisiert Deal-Positionen aus verarbeiteten Angeboten
Operationen: Positionen anlegen, im Stapel anlegen, aktualisieren, löschen und im Stapel archivieren. Beim Erzeugen einer Position schreiben wir name, quantity, price, hs_sku, description, hs_product_id, hs_line_item_currency_code sowie bei Bedarf discount und hs_discount_percentage. Das ist die Kernfunktion: die generierten Angebotspositionen in Ihren Deal schreiben.
crm.objects.line_items.read
Liest bestehende Positionen für Änderungserkennung und Compliance
Vier Positions-Felder: name, quantity, price, amount. Wir lesen sie für das Vorher-Abbild der Änderungserkennung, bevor wir Positionen neu schreiben.
crm.schemas.line_items.read
Liest Positionseigenschafts-Definitionen für die Feldzuordnung
Liest die Eigenschafts-Definitionen des Positions-Objekts (Namen, Typen, Beschriftungen), damit die Feldzuordnung im Recipe zu Ihrem Portal passt. Nur Schema-Metadaten, keine Werte aus Kundendatensätzen.
crm.objects.owners.read
Identifiziert Deal-Eigentümer für die Rezeptzuweisung
Wir lesen Owner-Datensätze über /crm/v3/owners (Liste), /crm/v3/owners/{id} und die Suche per E-Mail. Gelesene Felder: id, userId, email, firstName, lastName und die Team-Zuordnung (Id, Name, primär). Damit lösen wir die handelnde Person für das Prüfprotokoll und die Anzeige auf. Kein Schreibzugriff.
Das sind HubSpots eigene OAuth-Scopes, und sie ziehen eine harte Grenze um alles, was QuoteXelerator erreichen kann. Innerhalb dieser Grenze sehen wir, wem ein Deal gehört und wer ihn angelegt hat, die Attribute des Deals selbst (Name, Betrag, Währung und etwaige benutzerdefinierte Eigenschaften) sowie die Line Items, die wir erzeugen, mit ihren Mengen und Preisen. Mehr nicht. HubSpots Berechtigungsmodell sperrt uns vom Rest Ihres CRM bauartbedingt aus: Auf Ihre Kontakte, Unternehmen, Kundendatensätze, E-Mails, Tickets oder Konversationen können wir nicht zugreifen. Selbst im schlimmsten Fall liegen damit nur Deal-Metadaten und die Line Items in unserer Reichweite, die Sie ohnehin angeboten haben.

Datenverarbeitung

Verarbeitung: Angebotsdaten werden in Echtzeit verarbeitet.
Compliance Logs: Aufbewahrung mit Ihrem Abonnement für Compliance-Zwecke.
Datenisolierung: Ihre Daten sind auf Datenbankebene vollständig isoliert. Zugangstokens und Snapshots werden auf Anwendungsebene mit portal-spezifischer Schlüsselableitung verschlüsselt.
Kündigung: Bei ausdrücklicher Kündigung werden alle Kundendaten innerhalb von 90 Tagen gelöscht.
Kein Datenverkauf: Wir verkaufen Ihre Daten nie und verwenden sie nie für Zwecke außerhalb der von Ihnen abonnierten Dienstleistung. Die unten aufgeführten Auftragsverarbeiter greifen nur auf das zu, was sie zur Ausführung benötigen.

Compliance

DSGVO / GDPR
Vollständig konform mit der EU-Datenschutz-Grundverordnung. Betroffenenrechte (Art. 15–22) werden unterstützt. Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO sind in unseren TOM dokumentiert.
AVV / DPA
Vollständigen Auftragsverarbeitungsvertrag (AVV) oder die englische Übersetzung als Data Processing Agreement (DPA) gemäß Art. 28 DSGVO einsehen. Für weitere Fragen erreichen Sie uns unter legal@quotexelerator.com.
SOC 2 Infrastruktur
QuoteXelerator läuft auf SOC-2-Type-2-zertifizierter Infrastruktur, und jeder Unterauftragsverarbeiter verfügt über eine eigene SOC 2 Type 2 Attestierung. Mehrere (Supabase, Vercel, HubSpot, Anthropic, Atlassian) kommen mit ISO 27001 hinzu, Stripe hält PCI DSS Level 1. Unsere Maßnahmen sind in den TOM dokumentiert und über das unveränderliche Prüfprotokoll überprüfbar.
EU-Datenstandort
Daten, die wir kontrollieren, werden in der EU (Frankfurt) gespeichert. Positionen liegen in Ihrem HubSpot-Portal — das ist der Standard-Datenfluss von HubSpot für jede HubSpot-App, nicht spezifisch für uns.
AWS-Infrastruktur
Unsere Datenbank (Supabase) und Serverless-Funktionen (Vercel) laufen auf Amazon Web Services in der Region Frankfurt (eu-central-1). AWS ist nach ISO 27001, SOC 2 Type 2 und BSI C5 (dem deutschen Cloud-Sicherheitskatalog) zertifiziert.

Auftragsverarbeiter

Wir informieren Kunden mindestens 30 Tage vor Hinzufügung eines neuen Auftragsverarbeiters.

Dienst · Zweck Standort
Supabase
Datenbank & Authentifizierung
Frankfurt, EU
Vercel
Hosting & Functions
Frankfurt, EU (US-Edge-Metadaten)
HubSpot
CRM-Integration
US (EU SCCs)
Resend
Transaktionale E-Mail-Zustellung
US (EU-Server in Irland)
Anthropic
KI-Vorfallsuntersuchung (bereinigte Metadaten)
US (SCCs)
Atlassian
Support-Portal & Wissensdatenbank
US / global (DPF + SCCs)
Stripe
Zahlungsabwicklung (eigenständiger Verantwortlicher)
Dublin, IE

Mehr erfahren?
Nehmen Sie an der Beta teil, um über Produktupdates und den neusten Features informiert zu bleiben.

An der Beta teilnehmen »

Lesen Sie den vollständigen Auftragsverarbeitungsvertrag (AVV) oder die Technischen und Organisatorischen Maßnahmen (TOM). Für weitere Fragen erreichen Sie uns unter legal@quotexelerator.com.