Überblick
Übersetzungsarbeit bedeutet, dass Dateien Ihre Systeme verlassen und kurzzeitig in unseren liegen. Das nehmen wir ernst. Diese Seite ist die technische Ergänzung zu unserer Datenschutzerklärung und unserem AVV – was wir auf der Ebene von Bytes und Gebäuden tatsächlich tun, um Ihre Inhalte zu schützen.
Falls hier etwas fehlt oder Sie es unter NDA benötigen (Pen-Test-Berichte, SOC-2-Attestierungsschreiben, Netzwerkdiagramme), schreiben Sie an legal@rush-studio.com.
Infrastruktur & Hosting
Rush Studio wird ausschließlich auf Amazon Web Services (AWS) gehostet. Die Produktion läuft in Frankfurt (eu-central-1) mit Replikation und warmem Standby in Dublin (eu-west-1). Wir betreiben keine Produktionsinfrastruktur in den Vereinigten Staaten.
Die Anwendung läuft auf Container-Workloads hinter einer VPC mit privaten Subnetzen für alle zustandsbehafteten Dienste. Der öffentliche Zugang ist auf unser Edge (Cloudflare) und den AWS ALB beschränkt, beide mit WAF-Regeln und Rate-Limiting.
AWS ist vertraglich ein Unterauftragsverarbeiter und ist zertifiziert nach SOC 1/2/3, ISO 27001/27017/27018, PCI DSS und dem EU-US Data Privacy Framework. Siehe die vollständige Liste der Unterauftragsverarbeiter.
Verschlüsselung
Bei der Übertragung. Jede Verbindung zu Rush Studio – Web, API, Integrationen, interne Service-zu-Service-Kommunikation – nutzt TLS 1.3 mit modernen Cipher-Suites. TLS 1.0 / 1.1 sind am Edge deaktiviert. HSTS ist vorgeladen mit max-age=63072000; includeSubDomains; preload.
Im Ruhezustand. Jedes Byte, das wir dauerhaft speichern, wird mit AES-256-GCM über AWS KMS verschlüsselt. Dazu gehören die Anwendungsdatenbank, der S3-Objektspeicher, Suchindizes, Backups, Log-Archive und Translation-Memory-Exporte. Die Inhalte jedes Mandanten sind logisch getrennt und gegen einen umgebungsspezifischen Customer Master Key verschlüsselt.
Schlüsselverwaltung. Master Keys liegen in AWS KMS mit automatischer jährlicher Rotation. Anwendungsseitige Secrets (API-Tokens, OAuth-Client-Secrets, Integrations-Zugangsdaten) werden in AWS Secrets Manager gespeichert, vierteljährlich rotiert und niemals in Logs oder in die Versionsverwaltung geschrieben.
Passwörter. Werden niemals gespeichert. Wir hashen mit bcrypt bei Kostenfaktor 12; verglichen wird der Hash, der Klartext wird verworfen, sobald die Authentifizierung abgeschlossen ist.
Authentifizierung & 2FA
Wir verlangen Multi-Faktor-Authentifizierung. Für jedes Konto. Keine Ausnahmen für kostenlose, kostenpflichtige oder Testnutzer. Bei der ersten Anmeldung werden Sie durch die Einrichtung eines zweiten Faktors geführt, bevor Sie auf einen Workspace zugreifen können.
Passkeys
EmpfohlenWebAuthn-basierte Passkeys synchronisieren sich geräteübergreifend über iCloud Keychain, Google Password Manager oder 1Password. Phishing-resistent per Design.
Hardware-Schlüssel
FIDO2YubiKey, Titan oder jeder FIDO2- / U2F-kompatible Authenticator. Für Admin-Konten im Scale-Tarif verpflichtend.
Authenticator-Apps
TOTP30-Sekunden-TOTP-Codes über 1Password, Authy, Google Authenticator oder jeden RFC-6238-Client.
SMS
Nur als FallbackAls Backup-Methode verfügbar. Als primäre Methode empfehlen wir sie nicht – SMS ist anfällig für SIM-Swap-Angriffe.
Wiederherstellung. Wenn Sie eine 2FA-Methode einrichten, stellen wir zehn einmalige Wiederherstellungscodes aus. Bewahren Sie diese sicher auf – sie sind der einzige Weg zurück in Ihr Konto, falls Sie Ihren Authenticator verlieren. Verwendete Codes werden sofort ungültig; der Vorrat kann jederzeit neu erzeugt werden, wodurch die vorherige Reihe ungültig wird.
Single Sign-on. Im Scale-Tarif sind SAML 2.0 und OIDC SSO gegen jeden Identity Provider verfügbar (Okta, Azure AD / Entra ID, Google Workspace, OneLogin, JumpCloud, Auth0). SCIM-2.0-Provisionierung und -Deprovisionierung von Nutzern sind inbegriffen.
Sitzungsrichtlinie. Sitzungen laufen nach 30 Tagen Inaktivität ab (im Scale-Tarif bis auf 8 Stunden konfigurierbar). Admins können jederzeit eine Abmeldung auf allen Geräten erzwingen.
Zugriffskontrollen
Im Produkt. Workspaces nutzen rollenbasierte Zugriffskontrolle mit fünf integrierten Rollen (Owner, Admin, Manager, Linguist, Reviewer) und granularen Overrides pro Projekt. Jede Aktion, die Kundeninhalte berührt, wird in ein Audit-Log geschrieben, exportierbar als JSON.
Innerhalb von Rush Studio. Der Produktionszugriff ist auf die Bereitschafts-Engineers beschränkt, die ihn benötigen (derzeit sechs Personen). Der Zugriff erfordert:
- Eine aktive SSO-Sitzung mit MFA per Hardware-Schlüssel.
- Eine Just-in-time-Freigabe durch einen zweiten Engineer für jeden Datenbankzugriff.
- Eine Begründung, festgehalten in unserem Zugriffslog-Kanal, der für alle Mitarbeitenden einsehbar ist.
Wir haben kein generisches „Admin-Konto“, das Kundeninhalte lesen kann. Jeder Produktionszugriff ist identifizierbar, zeitlich begrenzt und wird vierteljährlich überprüft.
Schwachstellenmanagement
Wir verfolgen ein Programm mit vier Spuren:
- Dependency-Scanning – Snyk und GitHub Dependabot laufen bei jedem Pull Request und nächtlich über alle Repositories. Kritische CVEs werden innerhalb von 24 Stunden gepatcht.
- Statische Analyse – Auf unseren Stack abgestimmte Semgrep-Regeln laufen in der CI; hochkritische Funde blockieren den Merge.
- Dynamisches Scanning – Authentifizierte DAST-Läufe erfolgen wöchentlich gegen ein Staging-Spiegelbild der Produktion.
- Penetrationstest durch Dritte – Jährlich, durch eine externe CREST-akkreditierte Firma. Der aktuelle Bericht ist unter NDA verfügbar über legal@rush-studio.com.
Funde werden innerhalb eines Geschäftstags triagiert, nach CVSS-Schweregrad eingestuft und in einem für Mitarbeitende einsehbaren Backlog mit SLAs verfolgt (Kritisch: 24 Std., Hoch: 7 Tage, Mittel: 30 Tage, Niedrig: 90 Tage).
Incident Response
Eine Bereitschaftsrotation ist rund um die Uhr besetzt, mit einem Reaktions-SLA von 15 Minuten für Sicherheitswarnungen. Bei bestätigten Vorfällen mit Kundendaten benachrichtigen wir betroffene Kunden innerhalb von 72 Stunden nach Kenntnisnahme – in der Regel deutlich früher – gemäß den Zusagen in unserem AVV.
Die Benachrichtigung enthält die Art des Vorfalls, die betroffenen Datenkategorien, die wahrscheinlichen Folgen sowie die ergriffenen oder geplanten Gegenmaßnahmen. Ein Post-Incident-Review mit einer schriftlichen Chronologie und Korrekturmaßnahmen wird betroffenen Kunden innerhalb von 14 Tagen zur Verfügung gestellt.
Aktuelle Betriebsereignisse – Beeinträchtigungen, Ausfälle, vermutete Vorfälle – werden in Echtzeit veröffentlicht unter status.rush.studio.
Backups & Notfallwiederherstellung
Backups. Die Anwendungsdatenbank wird kontinuierlich per Point-in-Time-Recovery in S3 gesichert und 30 Tage aufbewahrt. Der Objektspeicher nutzt Versionierung plus wöchentliche Snapshots, die 90 Tage aufbewahrt werden. Alle Backups werden mit separaten KMS-Schlüsseln verschlüsselt und regionsübergreifend gespeichert.
Zielwerte. RPO (Recovery Point Objective): 5 Minuten. RTO (Recovery Time Objective): 4 Stunden. Wir testen dies vierteljährlich mit vollständigen Wiederherstellungsübungen in einer isolierten Umgebung.
Rhythmus der Notfallwiederherstellungsübungen. Vierteljährlich. Die letzte Übung (Q1 2026) stellte die vollständige Produktionsdatenbank in einem sauberen Konto in 1 Std. 47 Min. wieder her – deutlich innerhalb des RTO.
Mitarbeitende & Betrieb
Jede/r Mitarbeitende:
- Durchläuft vor Arbeitsbeginn eine Hintergrundprüfung (soweit rechtlich zulässig).
- Unterzeichnet am ersten Tag eine Vertraulichkeitsvereinbarung, die Kundendaten abdeckt.
- Absolviert eine verpflichtende Sicherheitsschulung bei Einstellung und danach jährlich.
- Nutzt einen von der Firma verwalteten Laptop mit Vollverschlüsselung, MDM und einem EDR-Agenten (CrowdStrike).
- Wird vierteljährlich hinsichtlich der Zugriffsrechte überprüft. Der Zugriff wird innerhalb einer Stunde nach Beendigung des Arbeitsverhältnisses entzogen.
Umgang mit Daten
Datenminimierung. Wir erheben nur, was zur Erbringung des Dienstes nötig ist – siehe die Datenschutzerklärung für die Aufschlüsselung.
Routing der KI-Übersetzung. Wenn ein Segment an einen KI-Unterauftragsverarbeiter gesendet wird, übermitteln wir nur den Segmenttext sowie etwaige konfigurierte Glossarbegriffe. Kontometadaten, Dateinamen und Projektkontext verlassen niemals unsere Infrastruktur. Alle KI-Unterauftragsverarbeiter verpflichten sich vertraglich, nicht mit Ihren Daten zu trainieren und die Inhalte nach Rückgabe der Übersetzung zu löschen.
Mandantentrennung. Kundendaten werden logisch nach Mandanten-ID getrennt, die auf jeder Ebene durchgesetzt wird (Datenbank, Suche, Objektspeicher). Massenexport, Löschung und Zugriff auf das Audit-Log erfolgen alle innerhalb der Mandantengrenze.
Löschung. Wenn Sie ein Projekt löschen oder Ihr Konto schließen, werden die Inhalte innerhalb von 24 Stunden aus dem Primärspeicher und innerhalb von 30 Tagen aus allen Backups entfernt. Wir senden eine schriftliche Bestätigung, sobald die Löschung abgeschlossen ist.
Compliance & Zertifizierungen
Aktuell und in Arbeit:
- SOC 2 Type II – in gutem Stand, jährlich durch eine Big-Four-Firma auditiert. Bericht unter NDA verfügbar.
- ISO 27001 – Zertifizierung in Arbeit; erwartet für Q3 2026.
- DSGVO & UK GDPR – vollständige Konformität; siehe DSGVO- & AVV-Seite.
- CCPA / CPRA – abgedeckt durch denselben Prozess für Betroffenenrechte wie die DSGVO.
- HIPAA – ein Business Associate Agreement (BAA) ist für Kunden aus dem Gesundheitswesen im Scale-Tarif verfügbar. Schreiben Sie an legal@rush-studio.com.
- PCI DSS – wir sehen niemals Kartennummern; Zahlungen werden über Stripe tokenisiert. PCI ist per Design außerhalb des Geltungsbereichs.
Für Beschaffungsteams, die eine Lieferanten-Sicherheitsbewertung durchführen: Wir pflegen vorausgefüllte Antworten für SIG Lite, CAIQ v4 und den EU Cloud CoC. Fordern Sie die aktuelle Fassung an.
Responsible Disclosure
Wir betreiben (noch) kein öffentliches Bug-Bounty-Programm, begrüßen aber Meldungen von Sicherheitsforschenden und belohnen bedeutsame Funde.
Senden Sie Meldungen an: legal@rush-studio.com, optional PGP-verschlüsselt an 0x4F7C 2A8B 3D1E 9F00.
Unser Versprechen. Wenn Sie in gutem Glauben melden und nicht versuchen, auf die Daten anderer Kunden zuzugreifen, Daten zu exfiltrieren, DoS-Angriffe durchzuführen oder Social Engineering einzusetzen: Wir leiten keine rechtlichen Schritte ein, bestätigen den Eingang innerhalb eines Geschäftstags und halten Sie auf dem Laufenden, bis das Problem geschlossen ist. Bestätigte neuartige Funde erhalten je nach Schweregrad und Auswirkung eine Belohnung von 250 $ bis 10.000 $.
Kontakt
Sicherheitsprobleme: legal@rush-studio.com – rund um die Uhr überwacht, Ziel-Bestätigung innerhalb von 4 Geschäftsstunden, maximal ein Geschäftstag.
Datenschutz / DSB: Pedro Almeida, privacy@rush-studio.com.
Beschaffung & Lieferantenbewertungen: legal@rush-studio.com.
Post: Rush Studio Ltd., 12 Hatton Garden, London EC1N 8AT, Vereinigtes Königreich.
Sollte hier etwas unklar sein, sagen Sie es uns – wir formulieren es in der nächsten Fassung neu.
