Trust Center

Übersicht

Das Trust Center bündelt sicherheits- und datenschutzrelevante Dokumente des Workspaces. Für den ersten Lieferstand gilt dabei: maßgeblich ist der verifizierte Android-plus-Cloud-Pfad, nicht eine breitere Zielarchitektur.

Achtung

Dieses Trust Center ist derzeit kein Ersatz für extern belegte Betriebs-, Compliance- oder Hosting-Nachweise. Der Workspace beweist vor allem Architekturartefakte, lokale Runtime-Verifikation, Tests und derzeit einen verifizierten Android-plus-Cloud-Pfad innerhalb einer plattformgleich ausgerichteten Produktstrategie.

Sicherheitsarchitektur

Bedrohungsmodell

Assets, Angreifer, Angriffsflächen und Mitigationen. Modelliert die Schutzannahmen und trennt belegte Runtime von Zielarchitektur.

Datenflüsse & Vertrauensgrenzen

Aktuell belegter Android-plus-Cloud-Datenfluss plus klar markierte Zielarchitektur für breitere Signal- und Cloud-Pfade.

Datenschutz & Compliance

Datenschutz & Sicherheit

Aktueller Runtime-Schnitt für Tokens, Signaturen, Persistenz und offene Privacy-/Security-Lücken statt unbelegter Produktversprechen.

Telemetrie & Logging

Verifizierte App- und Backend-Logs, Audit-Schnitt und aktuelle Grenzen von Monitoring, SIEM und Run-Compare.

Scope & Transparenz

Scope & Nicht-Ziele

Explizite Abgrenzung: was der aktuelle Runtime-Stand belegt und was nur als Zielarchitektur beschrieben ist.

Glossar

Kanonische Begriffe für Event, Alert, Incident, Job, Trace, Audit und Telemetrie.

Sicherheitsmeldungen

Responsible Disclosure

Dokumentierter Meldepfad. Operative Inboxen, SLAs und Deployment-Nachweise müssen separat belegt werden.

Roadmap

Geplante Erweiterungen über den aktuell verifizierten Android-plus-Cloud-Lieferpfad hinaus.

---

Artefakte für Sicherheitsreviews

Artefakt	Ort	Status
Bedrohungsmodell	/experts/threat-model	Verfügbar
Datenflussdiagramm	/experts/data-flows	Verfügbar, aber mit klarem Runtime-vs-Target-Split
Datenschutz & Sicherheit	/experts/privacy-security	Verfügbar, auf den verifizierten Workspace-Stand begrenzt
Telemetrie & Logging	/experts/telemetry	Verfügbar, auf verifizierte Logs/Audit-Pfade begrenzt
Engineering Specifications	/experts/spec/	Draft; enthalten teils Zielarchitektur und sind nicht automatisch Runtime-Wahrheit
OpenAPI-Spezifikation	/openapi.yaml	Draft; gegen Runtime und Fact-Sheets abzugleichen
security.txt (RFC 9116)	https://superheld.app/.well-known/security.txt	Deployment nicht durch aktuellen Workspace belegt
PGP Public Key	https://superheld.app/.well-known/pgp-key.asc	Deployment nicht durch aktuellen Workspace belegt
Öffentlicher Pentest-Bericht	—	Keine veröffentlichte Trust-Center-Fassung im aktuellen Docs-Stand belegt
SOC 2 / ISO 27001	—	Keine Zertifizierungsnachweise im Workspace belegt

Operative Folgearbeiten außerhalb des belegten Runtime-Pfads

Die folgenden Punkte bleiben bewusst als offene Folgearbeit markiert und dürfen nicht als bereits operativ erfüllt gelesen werden:

• security.txt und PGP-Key wirklich deployen
• öffentliche Incident- oder Responsible-Disclosure-SLAs nachweisen
• externe Compliance- oder Zertifizierungsnachweise publizieren
• veröffentlichte Pentest-Artefakte für Dritte aufbereiten

Hinweis

Für konkrete Runtime-Fakten sind in diesem Workspace vor allem die Fact-Sheets, OpenAPI, Tests und die verifizierten Android-plus-Cloud-Runbooks maßgeblich.