B#0@%2[%{6 %A} }<[ *$0{[*] {6%B 4}}7C#@{]\< D }/| 1@# 2> ]6<A 2C4]7 2||9BC/ 50@FF4@AC 7@3#9*2C{@ *\B 8$4 %C1{3F]0AB3C1>} \0C9#3 @1AC[ >*$ 2E* {7 EA@62{]6*<CB %82%|*A% 3}0A \@5}>/$* #55249 }#C>/\|
Unternehmenstaugliche Sicherheit für Privatanleger.
Bankentaugliche Verschlüsselung. Sensible Daten wie IBANs und API-Keys werden einzeln mit AES-256-GCM verschlüsselt – dem gleichen Standard, den Banken und Regierungen nutzen.
Deine Daten verlassen die EU nicht. Gehostet auf Servern in Frankfurt, Deutschland – vollständig unter EU-Datenschutzrecht. Kein Transfer in die USA oder andere Drittländer.
Wir können dein Geld nicht anfassen. Alle Verbindungen zu Wallets, Exchanges und Konten sind strikt schreibgeschützt. Keine Überweisungen, keine Trades, kein Zugriff auf deine Mittel – technisch unmöglich.
Doppelter Schutz bei jedem Login. Aktiviere 2FA und erhalte bei jeder Anmeldung einen einmaligen Code per E-Mail. Selbst wenn dein Passwort kompromittiert wird, bleibt dein Konto geschützt.
Deine Daten, deine Rechte. Volle Einhaltung der EU-Datenschutz-Grundverordnung. Du kannst deine Daten jederzeit einsehen, exportieren oder komplett löschen lassen.
Jede Aktion wird protokolliert. Login-Versuche, Einstellungsänderungen, Gerätewechsel – alles wird manipulationssicher aufgezeichnet. Du behältst die volle Übersicht.
Vom ersten Klick bis zur Anzeige – jeder Schritt ist abgesichert.
Deine Daten werden über eine verschlüsselte TLS-Verbindung übertragen.
Sensible Felder werden serverseitig mit AES-256-GCM verschlüsselt, bevor sie gespeichert werden.
Verschlüsselte Daten liegen auf EU-Servern. Selbst bei einem Datenleck wären sie unlesbar.
Nur du siehst deine Daten. IBANs werden maskiert (DE89****3456), Klartext wird nie im Frontend gezeigt.
Deine persönlichen und finanziellen Daten werden niemals an Dritte verkauft, geteilt oder monetarisiert. Manalyx verdient Geld durch Abonnements – nicht durch deine Daten.
Deine Daten gehören dir – und du entscheidest, was damit passiert.
Wir erfassen ausschließlich die Daten, die für unseren Service notwendig sind. Keine versteckten Tracker, keine unnötige Datensammlung. Weniger Daten bedeuten weniger Risiko.
Sensible Felder wie Bank-IBANs und Exchange-API-Zugangsdaten werden im Ruhezustand mit AES-256-GCM verschlüsselt; der Klartext verlässt nie die dedizierte serverseitige Funktion, die ihn braucht. Alle Daten liegen auf EU-Infrastruktur (Supabase, Frankfurt) – Backups erben Schutz und Standort.
Die Anmeldung läuft über Supabase Auth mit PKCE, und Login-Versuche sind pro E-Mail und pro IP rate-limitiert – Schutz gegen Credential-Stuffing, ohne legitime Nutzer länger auszusperren. Zwei-Faktor-Authentifizierung per E-Mail-Einmalcode lässt sich in den Einstellungen aktivieren.
Wallet-Integrationen nutzen nur öffentliche Adressen, Exchange-Keys sind read-only, Banking ausschließlich per Auszug-Upload – Banking-Zugangsdaten kommen nirgends vor. Sicherheitsrelevante Aktionen gehen in ein append-only-Audit-Log; persönliche und finanzielle Daten werden nicht verkauft oder für verhaltensbasierte Werbung verwendet.
Sicherheit ist bei Manalyx kein Feature-Regal, sondern eine Architekturentscheidung, die in jedes Modul hineinwirkt. Die Anwendung ist strukturell read-only gegenüber externen Quellen (keine Broker-API-Write-Scopes, keine PSD2-Write-Tokens, keine Krypto-Signier-Schicht), sensible Felder werden vor der Datenbank verschlüsselt, und Postgres Row-Level Security stellt sicher, dass Abfragen eines Nutzers nur dessen Zeilen zurückliefern. Selbst ein Worst-Case-Server-Kompromiss kann keine Gelder bewegen und keine fremden Daten in deine Sicht spülen.
Jede Tabelle mit Nutzerdaten trägt eine RLS-Policy auf auth.uid(). Anfragen aus dem App-Kontext werden automatisch gefiltert — kein clientseitiger Filter, den ein vergessenes WHERE umgehen könnte. Rollen wie admin liegen in einer eigenen user_roles-Tabelle hinter einer SECURITY-DEFINER-Hilfsfunktion, um Self-Elevation auszuschließen.
API-Keys für CoinGecko, Helius, Stripe und ähnliche Dienste liegen ausschließlich in Supabase-Secrets und werden in Edge Functions gelesen. Der Browser sieht sie nie. Eine gestohlene Browser-Session kann keine Keys exfiltrieren, und Rate-Limit-Missbrauch bleibt auf das beschränkt, was die Cron-Jobs bewusst senden.
Die Tabelle audit_logs protokolliert sicherheitsrelevante Aktionen (Auth-Events, Encryption-Key-Reads, Konfigurationsänderungen). Die RLS-Policies erlauben Inserts, blockieren aber Updates und Deletes — auch für privilegierte Rollen. Im Ernstfall bleibt die Spur per Design erhalten, nicht per Vertrauen.
