Vertrauen

Wer dein ERP betreibt, trägt deine Firma.

Hier steht, was im Maschinenraum läuft — Hosting, DSGVO, Sicherheit, Backups, Rollen, API und Export. Ohne Marketing- Versprechen, mit klar markierten Reifegraden.

System-Status ansehen API-Dokumentation

Hosting

Server stehen in Nürnberg. Nicht in den USA.

Tarev läuft auf einer Hetzner-Cloud-VM in Deutschland. Kein US-Cloud-Anbieter, kein CLOUD-Act-Zugriff durch US-Behörden.

Provider: Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen
Rechenzentrum: Nürnberg (Datacenter Park NBG1)
Physische Sicherheit: 24/7-Zutrittskontrolle, Vereinzelungsanlagen, Videoüberwachung, redundante Stromversorgung.
Zertifizierung: Hetzner-Rechenzentrum ISO/IEC 27001-zertifiziert (Tarev selbst noch nicht — siehe Reifegrad-Hinweise weiter unten).
Energie: 100 % Ökostrom (Hetzner-Bezug)
Kein US-Cloud: Keine AWS, kein Azure, kein GCP. Kein Zugriffsweg für US-Behörden über CLOUD-Act oder FISA.

Datenschutz

DSGVO-konform betrieben.

Auftragsverarbeitung-Vertrag, dokumentierte technisch-organisatorische Maßnahmen nach Art. 32, Datenresidenz in Deutschland und strikte Mandanten-Trennung.

AV-Vertrag: Auftragsverarbeitung-Vertrag nach Art. 28 DSGVO verfügbar — per E-Mail anfordern.; Standard
Art. 32 TOM: Verschlüsselung at-rest und in-transit, Access-Logs, regelmäßige interne Audits, Least-Privilege-Prinzip im Backend.; Standard
Mandanten-Trennung: PrismaService-Middleware hängt where.tenantId automatisch an jede Query (TENANT_SCOPED_MODELS-Whitelist). CI-Audit prüft, dass kein Modell vergessen wird.; Standard
Companion-Tenant: Mitarbeiter-Privatdaten (Halt, Falk, Remo) liegen in einem separaten PERSONAL-Tenant. Der OWNER der Firma sieht diese Daten technisch nicht — gleiche Isolations-Schicht wie zwischen fremden Mandanten.; Standard
Daten-Residenz: Alle Daten bleiben in Deutschland. Keine Spiegelung in Drittländer, keine Sub-Verarbeiter außerhalb der EU.; Standard
Externe Tools: Mailpit lokal in Dev, Resend (EU-Endpoint) für Prod-Mails. Keine Analytics-Pixel, keine externen Cookies auf der Marketing-Seite.; Standard

Sicherheit

Verschlüsselung, MFA, Audit-Log.

Standard-Krypto, kein Eigenbau. Zwei-Faktor optional. Kritische Aktionen protokolliert.

In-Transit: TLS 1.3, HSTS, automatische Zertifikats-Erneuerung via Caddy/Lets-Encrypt.; Standard
At-Rest (sensitive Felder): AES-256-GCM mit AI_KEY_ENCRYPTION_SECRET (32 Byte Key, Boot-Check verhindert schwache Keys).; Standard
Passwörter: bcrypt (Cost-Faktor 10). Keine Klartext-Passwörter, keine reversible Speicherung.; Standard
Zwei-Faktor (TOTP): RFC-6238-Standard mit Google-Authenticator / 1Password / Authy. bcrypt-gehashte Recovery-Codes als Backup.; Standard
Session-Management: JWT (Access 15 min, Refresh 7d mit Rotation), HTTPOnly-Cookies, SameSite=Strict, server-seitiges Logout.; Standard
Audit-Log: Kritische Aktionen (Login, Rollen-Änderung, Daten-Export, Löschungen) werden protokolliert und sind über das Admin-Dashboard einsehbar.; Standard
Rate-Limiting: Throttle auf Login-, Order-Tracking- und Public-API-Endpoints (30 GET / 10 POST pro Minute).; Standard

Backups

Drei Stufen. Wöchentlicher Restore-Test.

Backups, die nie zurückgespielt werden, sind keine Backups. Deshalb läuft jeden Sonntag automatisch ein Restore-Test.

Stufe 1 — Daily pg_dump: Täglich 03:30 UTC lokal auf dem Server, Retention 14 Tage / 8 Wochen / 12 Monate. Touch-File .last-success für Monitoring.; Standard
Stufe 2 — Hetzner VM-Backup: Hetzner-Cloud-Backups in separater Storage-Region, 7-Tage-Rolling. Schützt vor Komplett-Verlust der VM.; Standard
Stufe 3 — Restore-Test: Wöchentlich Sonntag 04:30 UTC: pg_dump wird in eine Schatten-DB eingespielt und auf Tabellen-Anzahl geprüft. Ergebnis im /api/health/full-Endpoint.; Standard
Stufe 4 — Off-Site: Externes Off-site-Backup (StorageBox / S3 außerhalb von Hetzner) für den Fall eines kompletten Hetzner-Ausfalls.; Geplant

Rollen

Zwei Schichten, additiv kombinierbar.

Grob über System-Rollen, fein über Custom-Permissions. OWNER bekommt jede Permission als Notausgang automatisch.

System-Rollen: 5-stufig — OWNER, ADMIN, MANAGER, EMPLOYEE, EXTERNAL. Coarse-grained, über den @Roles-Decorator und den RolesGuard durchgesetzt.; Standard
Custom-Permissions: Feingranular pro Endpoint. 130+ Default-Permission-Keys (default-permissions.ts), eigene Rollen pro Tenant zusammenstellbar im Admin-UI unter /dashboard/admin/rollen.; Standard
JWT-Payload: Beim Login werden permissions[] in den JWT geladen. PermissionsGuard prüft pro Request gegen den @RequirePermissions-Decorator.; Standard
Self-Service: me/*- und my-*-Endpoints bleiben unabhängig von Custom-Permissions. Service-Layer macht weiterhin den Self-vs-Privileged-Check.; Standard
Audit-Pflicht: Rollen- und Permission-Änderungen sind im Audit-Log nachvollziehbar.; Standard

Verfügbarkeit

Live-Status, klare Wartungsfenster.

Aktuell tracken wir Uptime intern — ein offizielles SLA gibt es in der Pilot-Phase noch nicht. Sobald Tarev aus der Pilot-Phase ist, wird das nachgereicht.

Status-Page: status.tarev.de; Standard
Uptime: Wird intern protokolliert (Health-Check + Watchdog). Offizielles SLA in der Pilot-Phase noch nicht zugesichert.; In Pilot-Phase
Wartungsfenster: Maximal 1× pro Monat, angekündigt mit 48h Vorlauf via Status-Page + E-Mail.; Standard
Notfall-Kontakt: support@tarev.de; Standard

API + Export

REST-API offen, kein Vendor-Lock-in.

Tarev hält deine Daten nicht als Geisel. Vollständiger DSGVO-Export jederzeit, Webhooks für kritische Events, dokumentierte REST-API.

REST-API: Komplette OpenAPI/Swagger-Dokumentation unter /api/docs. Authentifizierung via JWT (Bearer-Token).; Standard
Webhooks: Outgoing-Webhooks für Bestellung, Lohn-Lauf, Rechnung, Lieferung und Service-Ticket-Stage-Änderungen. Signierte Payloads (HMAC).; Standard
DSGVO-Export: Artikel-20-Export jederzeit. JSON-Format mit allen verknüpften Daten — keine Teildatensätze.; Standard
DATEV-Export: Lohn- und Buchhaltungs-Export im DATEV-CSV-Format. SEPA-Export für Zahlungen.; Standard
Vendor-Lock-in: Daten gehören dir. Export ist immer komplett. Kein „Pro-Tarif für Export-Funktion"-Spiel.; Standard

Integrationen

Was schon angeschlossen ist.

Reifegrad explizit markiert. Provider-Slots sind im Daten-Layer bereits vorgesehen — die externe Anbindung kommt jeweils im Folge-Sprint.

Buchhaltung

DATEV Lohn-Export

Standard

Buchhaltung

DATEV Buchhaltungs-Export

Standard

Steuern

ELSTER Steuermeldung

Standard

Falk

Zahlungen

Stripe Payments

In Pilot-Phase

Daten

CSV / Excel Import + Export

Standard

Kalender

Outlook / iCal (Kalender)

Standard

Bank

FinTS / PSD2 (Bank)

In Pilot-Phase

Provider-Slot — manueller CAMT-Import live

Buchhaltung

SAP / DATEV-Unternehmen-Online

Geplant

Kommunikation

Microsoft Teams (Notifications)

Geplant

Lager

Lager-Scanner (Barcode)

Geplant

E-Commerce

Shopify

Geplant

Frage offen geblieben?

Sicherheits-Fragebogen, AV-Vertrag, Pentest-Bericht oder Architektur- Detail — wir antworten direkt, nicht über drei Vertriebs-Stufen.

Sicherheits-Fragen stellen Demo-Termin vereinbaren