Sicherheit & Compliance

DSGVO-Compliance

• Auftragsverarbeitungs-Vertrag (AV-Vertrag) ist Teil der Shopify-Installations-Vereinbarung — keine separate Unterschrift nötig.

• Alle drei Shopify-DSGVO-Webhooks sind implementiert und live: customers/data_request, customers/redact, shop/redact.

• Customer-Design-Daten werden gespeichert solange dein Shop installiert ist. Bei Deinstallation werden alle Shop- und Customer-Daten innerhalb von 30 Tagen gelöscht.

• Kunden können einen Datenexport über deinen Shop anfragen — wir forwarden die Response automatisch via Shopify-DSGVO-Webhook.

Built-for-Shopify-Alignment

Etchify ist nach Shopifys Built-for-Shopify-Guidelines gebaut: GraphQL Admin API, Embedded Polaris-basiertes Admin-UI, Public-OAuth-App, Pflicht-Webhook-Subscriptions und die Standard-Performance- und Accessibility-Kriterien. Das BFS-Badge wird beim App-Store-Submission beantragt.

Hosting & Daten-Standort

• Customer-Designs und Metadata: Supabase (PostgreSQL, eu-central-1 Frankfurt).

• Render-Worker und Bildverarbeitung: Hetzner Cloud VPS, Frankfurter Datacenter.

• Marketing-Site (etchify.app) und Edge-Routing: Vercel — Frankfurter Edge-Region als Primary.

Verschlüsselung

Security-Review-Prozess

Jeder Release durchläuft eine OWASP-Top-10-aligned-Review (Auth, Input-Validation, Dependency-Audit). Kritische Incidents würden via security@luvex.tech innerhalb von 72 Stunden disclosed nach DSGVO-Artikel 33.