Sicherheit
MyFina ist eine Haushaltsbuchhaltung. Finanzdaten sind etwas Besonderes — hier zeigen wir, wie sie geschützt sind, ohne Marketing-Floskeln.
Drei kurze Antworten auf die wichtigsten Fragen
TLS 1.3 bei der Übertragung (Let's Encrypt). Externe API-Schlüssel, Bank-Tokens und Broker-Geheimnisse — AES-256-GCM mit eindeutigem IV pro Datensatz. Passwörter — bcrypt (12 Runden). Der Verschlüsselungsschlüssel liegt in env, nicht in der Datenbank.
PostgreSQL 16 in einer managed Instanz bei Hetzner (Deutschland, EU). Isoliertes Docker-Netzwerk, keine externen Verbindungen zur Datenbank. Backups — täglich, vor dem Upload verschlüsselt, 30 Tage Aufbewahrung.
Hard-Delete des Kontos in einem Schritt: Transaktionen, Konten, Kategorien, Währungen, Tokens werden kaskadiert entfernt. Keine Soft-Delete-Tabellen, kein „nur für den Notfall“-Archiv. Marketing-Leads unter derselben E-Mail — eigener Erase-Hook (GDPR Art. 17).
Sechs Säulen der Absicherung
NextAuth.js v5 auf JWT, Passwörter mit bcrypt gehasht. Login-Throttling — 5 Versuche / 15 Min pro Identifier und 20 / 15 Min pro IP. Optional Google OAuth. Passwort-Reset über einen 32-Byte-Token; in der Datenbank liegt nur dessen SHA-256.
Externe API-Schlüssel (Banken, Resend, Anthropic) und Broker-Geheimnisse werden mit AES-256-GCM verschlüsselt. Der Schlüssel verlässt nie den Server. Jede Bankanbindung trägt ein eigenes 32-Byte-Hex-Webhook-Geheimnis.
Jede UPDATE/DELETE-Operation filtert nach `userId`. IDOR-Schutz ist zentralisiert in `assertCanAccessAccount/Category` — Zugriff auf fremde Konten liefert 403, nicht 404. Geteilte Familienkonten nutzen explizite OWNER/MEMBER/VIEWER-Rollen.
JWT mit inkrementierender `session_version`. Passwortänderung, Kontosperre oder Rollenwechsel invalidieren alle aktiven Sitzungen. Refresh-Tokens der Mobile-API rotieren bei jedem Refresh.
Hard-Delete des Kontos entfernt alle Transaktionen, Konten und Kategorien kaskadiert in einer einzigen Transaktion. Datenexport — CSV/XLSX/PDF mit einem Klick. Cookie-Consent mit zwei Kategorien (essential / functional), keine Analytik, keine Tracker.
Alle Admin-Aktionen und sensiblen Benutzeroperationen werden in `audit_log` mit IP, User-Agent und Source geschrieben. Login-Versuch-Logs werden 30 Tage aufbewahrt. Stripe-Webhook-Events liegen in einem eigenen Idempotency-Journal für sicheren Replay bei Ausfällen.
Was wir NICHT tun
Wenn Sie Monobank oder eine PSD2-Bank über GoCardless verbinden, erhalten wir nur das, was zur Synchronisation der Transaktionen nötig ist: Ausgangszahlungen, eingehende Überweisungen, Kontostände. Keine bankseitigen Personendaten (Pass, Foto, Biometrie). Das Bank-API-Token wird AES-256-GCM-verschlüsselt gespeichert; Sie können den Zugriff mit einem Klick unter Einstellungen → Banken widerrufen. Die GoCardless-Einwilligung läuft gemäß PSD2 alle 90 Tage ab — wir erinnern 7 Tage im Vorhinein.
Tiefere Details
Vollständige Liste der Drittanbieter, die Ihre Daten verarbeiten: Hetzner (Hosting), Stripe (Abrechnung), Resend (E-Mail), Anthropic (AI, DRAFT), GoCardless (PSD2), Monobank API, FCM.
Liste öffnenPer-Feature-Matrix: was gespeichert wird, wie lange, wie es gelöscht wird. GDPR Art. 15/17/20 Flow und Aufbewahrungsfristen pro Entität.
Matrix öffnenWas Sie selbst überprüfen können
Jede Aussage oben ist über Code und API auditierbar.
src/lib/crypto.ts (AES-256-GCM, randomBytes IV, Auth-Tag).src/auth.ts, src/lib/auth/rate-limit.ts.src/lib/auth/ownership.ts (assertCanAccessAccount).https://app.my-fina.com/api/openapi (OpenAPI 3.1).https://app.my-fina.com/api/health (öffentliches Liveness).Abonnieren Sie, um über CVEs, Sicherheitspatches und Änderungen am Bedrohungsmodell informiert zu werden. Kein Marketing.