Datenschutz

Datenschutz & Datenfluss

Kurz und transparent: Was Safecycle speichert – und was nicht.

Was Safecycle nicht speichert

  • ×Keine PDF-Datei auf dem Server.
  • ×Keine Inhalte aus dem Dokument.

Du kannst das selbst prüfen – auf der Startseite unter „Vertrauen prüfen“ : Internet aus, Test-PDF im Tool verschlüsseln. Dabei gibt es keinen Upload der PDF; nur die Link-Erstellung wartet offline in einer Warteschlange und wird nachgeholt, sobald du wieder online bist.

Pro Link – was gespeichert wird

token
Zufälliges Kennzeichen für den öffentlichen Abruf‑Link – steht anstelle einer E‑Mail oder eines Namens in der URL.
recipient_email
Empfänger‑Adresse für den 6‑stelligen Bestätigungscode. Serverseitig mit dem Token verknüpft; der Code wird nur an diese Adresse versendet – egal wie der Link weitergegeben wird.
password_key
Das PDF‑Öffnungspasswort. Wird nach erfolgreicher Code‑Bestätigung im Browser des Empfängers angezeigt. Es ist nicht das Passwort eines Accounts – es entsperrt nur diese eine PDF.
expires_at
Ablaufzeitpunkt des Links. Danach ist kein Abruf des Passworts mehr möglich.
sender_message
Optionale, kurze Absender‑Nachricht zur Einordnung und Vertrauensbildung – wird dem Empfänger vor der Code‑Eingabe angezeigt. Nur vorhanden, wenn beim Erstellen gesetzt.
revealed_at
Zeitpunkt, an dem das Passwort nach Code‑Bestätigung erstmals serverseitig herausgegeben wurde – dient als „verbraucht“‑Markierung und für Aufräumläufe.

Pro Bestätigungs‑Code (OTP)

Jede Code‑Anforderung erzeugt einen neuen Datensatz, der mit dem Token verknüpft ist. Der Code selbst wird nicht im Klartext gespeichert.

code_hash
Einwegfunktion des Codes (gehasht mit serverseitigem Pepper). Bei der Prüfung wird die Eingabe gehasht und nur die Hashes verglichen.
created_at
Zeitpunkt der Code‑Anforderung. Jede erneute Anforderung legt einen neuen Eintrag an – damit lässt sich nachvollziehen, wie oft und wann ein Code angefordert wurde.
attempts
Anzahl falscher Code‑Eingaben für diesen Datensatz. Verhindert unbegrenztes Durchprobieren.
expires_at
Ablaufzeitpunkt des Codes (kurzer Zeitraum). Danach ist der Code ungültig.
consumed_at
Zeitpunkt, an dem der Code erfolgreich eingelöst wurde. Ein Code lässt sich nicht mehrfach verwenden.

Schutz vor Missbrauch

Damit niemand massenhaft Codes anfordert oder Links erstellt, gelten kurze Rate‑Limits. IP‑Adressen werden dafür nicht im Klartext gespeichert, sondern nur als sha256(ip + pepper)‑Kennung gemeinsam mit Zeitfenster und Zähler. Nach Ablauf des Zeitfensters werden diese Datensätze regelmäßig gelöscht.

Welche Risiken bleiben?

Wenn ein Angreifer Zugriff auf das E‑Mail‑Konto des Empfängers hat, kann er Link und Code abfangen. Safecycle reduziert typische Alltagsrisiken (kein Klartext‑Passwort per Mail), ersetzt aber keinen echten zweiten Kanal.