Security

Soulclick setzt auf bewährte Open-Source-Frameworks (Django, React) und Schweizer Infrastrukturpartner (Exoscale). Alle Systeme werden automatisiert aktualisiert und regelmässig Penetrationstests unterzogen. Jeder Plattform-Account läuft isoliert in der Cloud mit automatisierten Backups.

Plattform-Sicherheit

Massnahme	Details
SSL/TLS	TLS 1.3 auf allen Verbindungen (auf Wunsch Stufe 2 oder 3)
XSS-Schutz	Cross-Site-Scripting-Prävention auf Framework-Ebene
CSRF-Schutz	Cross-Site-Request-Forgery-Token auf allen Formularen
SQL-Injection-Schutz	Parameterisierte Queries via Django ORM
Clickjacking-Schutz	X-Frame-Options und Content-Security-Policy
Host-Header-Validierung	Schutz gegen Host-Header-Angriffe
Session-Sicherheit	Secure, HttpOnly und SameSite Cookies
Backups	Verschlüsselt, automatisiert, ausschliesslich in der Schweiz
Recovery-Tests	Regelmässige Wiederherstellungstests

Zahlungssicherheit

Alle Zahlungstransaktionen werden verschlüsselt über den jeweiligen Zahlungsanbieter abgewickelt. Soulclick speichert keine Kreditkartendaten.

Anbieter	Zertifizierung	Details
Stripe (Standard)	PCI Level 1	Alle Kartendaten werden direkt bei Stripe verarbeitet. Soulclick erhält nur tokenisierte Referenzen.
Datatrans (Option)	PCI Level 1 seit 2006	Für Organisationen mit eigenen Zahlungsverträgen. Transfer über sichere API-Schnittstelle.

Weitere Informationen zur Zahlungskonfiguration findest du unter Zahlungsanbieter einrichten und Zahlungsmethoden.

Daten von spendenden Personen

Datenschutz

Soulclick hält sowohl die schweizerischen (DSG) als auch die europäischen (DSGVO) Datenschutzrichtlinien ein. Unsere Datenschutzerklärung regelt den Umgang mit personenbezogenen Daten: soulclick.ch/de/datenschutzbestimmungen

Datensicherheit

Aspekt	Umsetzung
Hosting	Ausschliesslich in der Schweiz
Cloud-Zertifizierung	ISO 27001, Mitglied der Cloud Security Alliance (CSA)
Zugriff	Kein physischer oder digitaler Zugriff durch externe Parteien
Isolation	Jeder Plattform-Account ist vollständig isoliert

Datenverarbeitung

Personenbezogene Daten werden nicht weiterverarbeitet oder zu Studienzwecken weiterverwertet. Eine Nutzung ohne ausdrückliche Einwilligung (Consent) findet nicht statt. Bei intensiver Zusammenarbeit im Tagesgeschäft wird eine Stillschweigevereinbarung abgeschlossen.