Infrastruktur
- Ottly wird auf Amazon Web Services (AWS) gehostet und nutzt deren physische und Netzwerksicherheit auf Enterprise-Niveau.
- Alle Dienste laufen in isolierten Containern innerhalb privater Subnetze, ohne direkten öffentlichen Internetzugang zu Backend-Systemen.
- Die Infrastruktur wird als Code mit Pulumi verwaltet, was konsistente und auditierbare Deployments gewährleistet.
Datenverschlüsselung
- Alle Daten bei der Übertragung werden mit TLS 1.2 oder höher verschlüsselt.
- Ruhende Daten werden mit AES-256-Verschlüsselung unserer Datenbank- und Speicheranbieter verschlüsselt.
- Sensible Anmeldedaten wie OAuth-Token werden vor der Speicherung auf Anwendungsebene verschlüsselt.
Authentifizierung & Zugriffskontrolle
- Die Benutzerauthentifizierung erfolgt über sichere Session-Token mit kurzlebigen Zugriffstoken und rotierenden Refresh-Token.
- Social Login (Google OAuth) wird mit branchenüblichen OAuth 2.0-Flows unterstützt.
- Alle API-Endpunkte erzwingen Authentifizierungs- und Autorisierungsprüfungen.
Anwendungssicherheit
- Die Ausführung von Workflow-Code erfolgt in Sandbox-Umgebungen, die von der Hauptanwendung isoliert sind.
- Eingabevalidierung und Ausgabekodierung werden angewendet, um Injection-Angriffe zu verhindern.
- Abhängigkeiten werden regelmäßig überprüft und aktualisiert, um bekannte Schwachstellen zu beheben.
Datenverarbeitung
- Wir verkaufen oder teilen Ihre Daten nicht mit Dritten zu Werbezwecken.
- LLM-API-Aufrufe erfolgen über Anbieter-APIs, die Ihre Daten nicht für das Modelltraining verwenden.
- Sie können Ihr Konto und die zugehörigen Daten jederzeit löschen.
Incident Response
- Wir betreiben Überwachungs- und Warnsysteme zur Erkennung ungewöhnlicher Aktivitäten.
- Im Falle eines Sicherheitsvorfalls werden betroffene Benutzer umgehend benachrichtigt.
- Sicherheitsbedenken können an hello@ottly.com gemeldet werden.