Sicherheit, der Ihre Auditoren vertrauen.

Das CATAMA DMS schützt Ihre Daten mit kryptografischen Standards, lückenlosen Audit-Logs und durchdachter Defense-in-Depth – nicht als Add-on, sondern by Design.

SHA-256 Integrität pro Version

Jede Datei und jede neue Version wird mit einem SHA-256-Hash versehen. So lässt sich jederzeit beweisen, dass das Dokument seit dem Hochladen nicht verändert wurde – essenziell für GoBD und HGB.

  • Hash beim Upload und bei jeder neuen Version
  • Duplikat-Erkennung über identische Hashes
  • Verifikation auf Knopfdruck im UI

Audit-Log mit Kontext

Jede Aktion – Upload, Vorschau, Download, Löschung, Berechtigungs-Änderung, Signatur-Anfrage – wird protokolliert.

  • User, Zeitstempel, Ressource, Aktion
  • IP-Adresse und User-Agent
  • Filiale (branch_id) für mandantenfähige Setups
  • Filterbar nach Datum, Benutzer, Aktion

Kryptografische Audit-Chain

Für E-Signaturen wird jede Aktion zusätzlich kryptografisch verkettet (prev_hashrow_hash). Manipulationen am Audit-Trail wären sofort sichtbar.

  • Signatur-Events bilden eine Hash-Chain
  • Verifikation per Hash-Recompute
  • Manipulationsschutz auf Datenbank-Ebene

Retention & Legal Hold

Definieren Sie für jeden Ordner Aufbewahrungsfristen und sperren Sie Dokumente bei laufenden Verfahren.

  • Aufbewahrungsrichtlinien (Retention) pro Ordner
  • Legal Holds für laufende Verfahren
  • Automatischer Schutz vor Löschung
  • Abgelaufene Dokumente per Job-Pipeline aufräumen

ClamAV-Virenscan

Eingehende Dateien werden vor der Speicherung gescannt – mit konfigurierbarer Block- oder Quarantäne-Policy.

  • Synchroner Scan beim Upload (optional)
  • Quarantäne-Bereich für Verdachtsfälle
  • Definitions-Update über das Betriebssystem
  • Status- und Statistik-Anzeige im DMS-Admin

Token-Hashing & signierte URLs

Externe Freigaben sind nicht raterbar: Tokens werden ausschließlich gehasht gespeichert. Vorschau-Links erhalten eine signierte TTL.

  • Token-Hash (kein Klartext in DB)
  • Signierte Preview-URLs mit Ablauf
  • Optional Passwort-Schutz (bcrypt)
  • Optional IP-Allowlist

Rate-Limiting

Öffentliche Endpoints (Freigabe-Links, Signatur-Routen) sind durch Rate-Limits gegen Brute-Force und Crawler abgesichert.

  • Per-IP- und Per-Token-Limits
  • Throttle für Versand und Reminder
  • Konfigurierbar pro Endpoint

Modul-Lizenz-Gate

Nicht gebuchte Module werden serverseitig geblockt (HTTP 423 Locked) – Fehlbuchungen oder versehentliche Aktivierungen sind ausgeschlossen.

  • .env-basiertes Mapping
  • Hinweis-Page mit Buchungs-Link
  • Kein Datenleck bei deaktivierten Modulen

Verschlüsselung & Settings

Sensitive Konfigurationen (z. B. SMTP-Passwörter, Cloud-OCR-Keys) werden mit Laravels Crypt::encryptString verschlüsselt abgelegt.

  • Settings-Verschlüsselung mit App-Key
  • HTTPS-only Empfehlung (HSTS via Webserver)
  • Empfohlene at-rest-Verschlüsselung der Daten-Volumes
Compliance

Made for DSGVO & GoBD.

Sie behalten die Hoheit über Ihre Daten. Hosten Sie das DMS auf Wunsch in Ihrer eigenen Infrastruktur.

Hosting in Deutschland

Auf Wunsch in unserem Rechenzentrum in Deutschland oder bei Ihrem eigenen Provider.

Keine Tracker

Diese Marketing-Seite und das DMS-UI nutzen keine Tracker, kein Cookie-Banner-Theater.

On-Premise möglich

Volle On-Premise-Installation mit lokalem Storage, S3 oder WebDAV – Sie entscheiden.

Wir beantworten Ihre Sicherheits-Fragen persönlich.

Sicherheits-Whitepaper, Auditoren-Briefing oder Architektur-Workshop – sprechen Sie uns an.

Kontakt aufnehmen