Die langweiligen Teile richtig gemacht.
EU-Residenz, Firecracker-Isolation pro Preview, TLS 1.3 + AES-256, Training-Opt-out by default, volle Code-Eigentum. Die Details unten — geschrieben, damit ein Sicherheitsfragebogen ohne Telefonat Antworten findet.
Wie VULK gebaut ist, in sechs Säulen.
Datenresidenz
Die Produktionsdatenbank ist PostgreSQL 16, gehostet auf AWS RDS in eu-central-1 (Frankfurt). Anwendungsserver in der EU. Statische Assets über CDN. Kein Kundendatensatz verlässt die EU ohne explizites DPA-Addendum.
- ▸Datenbank: AWS RDS eu-central-1 (Frankfurt)
- ▸App-Server: AWS Frankfurt (eu-central-1)
- ▸CDN: Cloudflare Global Edge (nur HTTPS)
Generierungs-Isolation
Jede Live-Preview läuft in einer dedizierten Firecracker-microVM mit eigenem Kernel, Rootfs und Netzwerk-Namespace. Ein Projekt kann den Prozessbaum, das Dateisystem oder das Netzwerk eines anderen nicht lesen oder beeinflussen. VMs werden nach der Sitzung abgebaut — kein gemeinsamer persistenter Zustand.
- ▸microVM pro Preview (Firecracker)
- ▸Netzwerk-Namespace + iptables-Egress-Filter
- ▸Ephemeres Rootfs, am Sitzungsende vernichtet
Verschlüsselung
TLS 1.3 in transit überall. AES-256 at rest auf RDS und R2 / S3. Kunden-Secrets im Keychain (Umgebungsvariablen auf Anwendungsseite, nie geloggt, nie in API-Antworten zurückgegeben). Webhook-Payloads HMAC-signiert.
- ▸TLS 1.3 (nur HTTPS)
- ▸AES-256 at rest (RDS, R2, S3)
- ▸Secrets werden nie geloggt oder zurückgegeben
KI-Provider-Richtlinie
Wir routen über OpenRouter zu Anthropic, Google, OpenAI und anderen. Default-Routing geht zu Providern mit Zero-Training-Konfiguration. Ab Pro fixieren wir zusätzlich auf No-Training-Endpoints und schalten cross-session-Caching ab.
- ▸Zero-Retention by default bei gerouteten Modellen
- ▸No-Training-Pin verfügbar ab Pro
- ▸BYOK (eigener Schlüssel) im Business-Tier
Authentifizierung
User-Auth mit NextAuth + PKCE. Stripe-Customer-Linking ist serverseitig. Optionale MFA, SSO via SAML / OIDC im Business-Plan, mit Audit-Log-Lieferung an Ihr SIEM.
- ▸NextAuth (PKCE, secure-only Cookies)
- ▸Optionale MFA via TOTP
- ▸SAML / OIDC SSO im Business-Tier
Code-Eigentum
Jedes Projekt ist Ihr Code. Export zu GitHub oder als Zip; auf Ihrer Infrastruktur betreiben; uns morgen kündigen und die Apps laufen weiter. Wir halten keine Lizenz an Ihrem Output, und es gibt keine Runtime hinter einem SaaS-Abo.
- ▸Voller Repo-Export (GitHub oder Zip)
- ▸Keine proprietäre Runtime
- ▸MIT-lizenzierbar zu Ihren Bedingungen
So handhaben wir Compliance.
Was wir heute tun — direkt, keine Zertifizierungen, die wir nicht haben.
- DSGVOKonformVULK ist Datenverantwortlicher. DPA auf Anfrage. Sub-Verarbeiter offengelegt und bei Änderung benachrichtigt.
- AuftragsverarbeitungsvertragVerfügbarKostenlos für Pro- und Business-Pläne. Enterprise-Bedingungen werden in 5 Werktagen geprüft.
- PCI-DSSN/A — Stripe handhabt KartenKartendaten berühren niemals VULK-Server. Stripe Checkout / Elements übernimmt den gesamten PCI-Scope.
Wer Ihre Daten sonst noch berührt.
Wir sind verpflichtet, jeden externen Dienst offenzulegen, der Ihre Daten verarbeiten könnte. Benachrichtigung bei Änderungen ist Teil der DPA.
| Dienst | Zweck | Region |
|---|---|---|
| AWS (RDS, S3) | Datenbank + Speicher | eu-central-1 (Frankfurt) |
| Cloudflare | CDN, DNS, R2-Speicher, Deploy | Global Edge |
| Stripe | Abrechnung + Zahlungsverarbeitung | EU + USA (PCI-konform) |
| Resend | Transaktionale E-Mail | EU |
| OpenRouter | KI-Modell-Routing | Global (Zero-Retention-Provider-Routing) |
| Sentry | Fehlerüberwachung | EU |
Schwachstelle gefunden? Sagen Sie es uns zuerst.
Wir begrüßen Responsible Disclosure. E-Mail an security@vulk.dev mit Reproduktionsschritten, erwartetem vs. beobachtetem Verhalten und einer CVSS-ähnlichen Schweregrad-Bewertung. Wir bestätigen innerhalb von 24 Stunden und triagieren innerhalb von 72. Wir verlangen kein NDA für ein Gespräch mit einem Researcher.
Bounty-Auszahlungen werden je nach Auswirkung einzeln geprüft. Öffentlicher Credit (oder anonym, wie Sie möchten) wird im Changelog angeboten.
Zuletzt überprüft: April 30, 2026