Sicherheit
Zuletzt aktualisiert: 2026-04-29
Kurzfassung
Engagement-Daten verarbeiten wir ausschließlich zur Durchführung des Pentests. Sie liegen in der EU (Supabase, eu-west-3), sind per Row-Level Security pro Mandanten isoliert und werden nie zum Trainieren von Modellen verwendet.
Verschlüsselung
Authentifizierung
DeepMantis-Engagements laufen heute operator-getrieben — es gibt aktuell keine kundenseitige Login-Oberfläche. Die interne Operator-Konsole authentifiziert über Supabase Auth (OAuth-Provider und Passwort-Flows mit JWT-Session-Tokens). Kundenseitige Authentifizierung kommt zusammen mit der Customer Console; MFA steht auf der Roadmap, bevor irgendein Customer-Login live geht.
Datenstandort
Engagement-Daten
Engagement-Daten verarbeiten wir ausschließlich zur Durchführung des Pentests.
Kunden-Engagement-Daten verwenden wir nie zum Trainieren von Modellen. Methodische Erkenntnisse — Strategien und Angriffsmuster, die funktioniert haben — fließen in unseren Ansatz für andere Kunden ein; konkrete Findings, Ziele, Credentials und Kundendaten nicht.
Findings sind pro Engagement gescoped und per Postgres Row-Level Security isoliert. Zugriff ist auf die Engagement-Operatoren pro Mandant beschränkt — jeder Zugriff wird geloggt.
Findings bleiben für den Engagement-Audit-Trail erhalten. Du kannst jederzeit Löschung anfragen unter security@deepmantis.io.
Produktions-Sicherheit
1. Architektur-Isolation
Browser-basierte Verifikation (XSS, stored attacks) läuft in isolierten Chromium-Instanzen, gescoped pro Finding über Tenant- + Engagement- + Finding-Profilverzeichnisse, mit automatischem Cleanup nach Abschluss. Skript-Ausführung läuft in isolierten Sandboxes mit konfigurierbarem Backend je nach Assurance-Level — ressourcen-gecapptes Subprocess für Low-Risk-Operationen, hardware-isolierte microVMs für High-Assurance-Autonomous-Execution.
2. Access-Scope
Engagements starten standardmäßig im Read-only-Recon-Modus. Exploitation braucht explizite Engagement-spezifische Freigabe. Detection-only Engagements können keine Exploit-Operationen ausführen — durchgesetzt von der Policy-Predicate-Chain auf Plattform-Ebene.
3. Rate-Limiting und Kill-Switch
Pro Phase greifen Kosten- und Laufzeit-Quotas, die Runaway-Execution verhindern. Operator können jedes Engagement an Phasenübergängen pausieren und fortsetzen — direkt aus der Konsole; Pause-Events werden mit vollem Audit-Trail geloggt. Submissions an externe Plattformen brauchen explizite Operator-Freigabe.
4. Vollständiger Audit-Trail
Jede Phase, jeder Skill-Dispatch, jedes Auditor-Verdikt und jeder Tool-Call ist mit OpenTelemetry instrumentiert und an Langfuse gesendet. Volle Trace-Linie verfügbar für Audit, Debugging und Compliance-Review.
Audits und Zertifizierungen
DeepMantis verfolgt aktuell keine Third-Party-Zertifizierung. Das DeepMantis-Report-Format erfüllt die Anforderungen an Pentest-Evidenz für SOC 2, ISO 27001 und BSI C5 (OPS-19) — das ist nicht dasselbe wie die Zertifikate selbst zu halten. Sobald ein Audit startet, veröffentlichen wir den „in Audit“-Status auf dieser Seite.
Incident-Historie
Keine Incidents seit 2026-04-29.
Für Incident-History-Anfragen: security@deepmantis.io.
Responsible Disclosure
Security-Research ist willkommen. Schwachstellen meldest du an security@deepmantis.io.
SLA. Triage und Acknowledgement zielen wir auf 48 Stunden.
Safe Harbor. Gegen gutgläubige Research, die im Scope bleibt, keinen Service-Degradation verursacht und uns angemessene Disclosure-Zeit gibt (Standard 90 Tage, verhandelbar), gehen wir nicht juristisch vor. Außerhalb des Disclosure-Programms: DDoS gegen die Marketing-Site, Social Engineering gegen Mitarbeitende, physische Angriffe auf die IJONIS-UG-Büros.
Status
Eine öffentliche Status-Seite steht auf der Roadmap. Bis dahin: security@deepmantis.io für Incident-History- oder Uptime-Fragen.
Kontakt
Delivered Autonomous.