Datenschutz
Datenschutz & Datenfluss
Kurz und transparent: Was Safecycle speichert – und was nicht.
Was Safecycle nicht speichert
- ×Keine PDF-Datei auf dem Server.
- ×Keine Inhalte aus dem Dokument.
Du kannst das selbst prüfen – auf der Startseite unter „Vertrauen prüfen“ : Internet aus, Test-PDF im Tool verschlüsseln. Dabei gibt es keinen Upload der PDF; nur die Link-Erstellung wartet offline in einer Warteschlange und wird nachgeholt, sobald du wieder online bist.
Pro Link – was gespeichert wird
- token
- Zufälliges Kennzeichen für den öffentlichen Abruf‑Link – steht anstelle einer E‑Mail oder eines Namens in der URL.
- recipient_email
- Empfänger‑Adresse für den 6‑stelligen Bestätigungscode. Serverseitig mit dem Token verknüpft; der Code wird nur an diese Adresse versendet – egal wie der Link weitergegeben wird.
- password_key
- Das PDF‑Öffnungspasswort. Wird nach erfolgreicher Code‑Bestätigung im Browser des Empfängers angezeigt. Es ist nicht das Passwort eines Accounts – es entsperrt nur diese eine PDF.
- expires_at
- Ablaufzeitpunkt des Links. Danach ist kein Abruf des Passworts mehr möglich.
- sender_message
- Optionale, kurze Absender‑Nachricht zur Einordnung und Vertrauensbildung – wird dem Empfänger vor der Code‑Eingabe angezeigt. Nur vorhanden, wenn beim Erstellen gesetzt.
- revealed_at
- Zeitpunkt, an dem das Passwort nach Code‑Bestätigung erstmals serverseitig herausgegeben wurde – dient als „verbraucht“‑Markierung und für Aufräumläufe.
Pro Bestätigungs‑Code (OTP)
Jede Code‑Anforderung erzeugt einen neuen Datensatz, der mit dem Token verknüpft ist. Der Code selbst wird nicht im Klartext gespeichert.
- code_hash
- Einwegfunktion des Codes (gehasht mit serverseitigem Pepper). Bei der Prüfung wird die Eingabe gehasht und nur die Hashes verglichen.
- created_at
- Zeitpunkt der Code‑Anforderung. Jede erneute Anforderung legt einen neuen Eintrag an – damit lässt sich nachvollziehen, wie oft und wann ein Code angefordert wurde.
- attempts
- Anzahl falscher Code‑Eingaben für diesen Datensatz. Verhindert unbegrenztes Durchprobieren.
- expires_at
- Ablaufzeitpunkt des Codes (kurzer Zeitraum). Danach ist der Code ungültig.
- consumed_at
- Zeitpunkt, an dem der Code erfolgreich eingelöst wurde. Ein Code lässt sich nicht mehrfach verwenden.
Schutz vor Missbrauch
Damit niemand massenhaft Codes anfordert oder Links erstellt, gelten kurze Rate‑Limits. IP‑Adressen werden dafür nicht im Klartext gespeichert, sondern nur als sha256(ip + pepper)‑Kennung gemeinsam mit Zeitfenster und Zähler. Nach Ablauf des Zeitfensters werden diese Datensätze regelmäßig gelöscht.
Welche Risiken bleiben?
Wenn ein Angreifer Zugriff auf das E‑Mail‑Konto des Empfängers hat, kann er Link und Code abfangen. Safecycle reduziert typische Alltagsrisiken (kein Klartext‑Passwort per Mail), ersetzt aber keinen echten zweiten Kanal.