Sicherheit und Vertrauen bei Bank AI
Bank AI verarbeitet Daten, die Geld bedeuten. Sicherheit und regulatorische Hygiene sind keine Funktionen - sie sind das Fundament. So sieht das Ganze von Anfang bis Ende aus.
Sicherheitsarchitektur
Verschlusselung auf Bank-Niveau
Saemtlicher Verkehr lauft uber TLS 1.2+. Sensible Daten werden mit AES-256 verschlusselt gespeichert; Schluessel werden in einem EU-KMS verwaltet. Datenbank-Backups verwenden separate Schluessel.
EU-Datenresidenz standardmassig
Personenbezogene und finanzielle Daten werden in EU-Regionen gespeichert. Personenbezogene Daten verlassen den EWR nur unter Angemessenheitsbeschluss; weitergehende Transfers nutzen Standardvertragsklauseln mit technischen Schutzmassnahmen.
Standardmassig nur lesend
Bank AI verschiebt niemals Geld in deinem Namen. Der Kontozugriff erfolgt rein lesend uber lizenzierte AISP-Partner. Payment Initiation ist auf der Roadmap und lauft als separater, ausdruecklich autorisierter Flow.
Starke Kundenauthentifizierung
Verbindungen werden gemass den SCA-Vorgaben der PSD2 erneuert - wir fragen alle 90 Tage erneut nach, exakt wie es die Regulierung vorsieht.
KI nur mit ausdrucklichem Opt-in
KI-Funktionen laufen nur auf Daten, die du explizit fur KI-Verarbeitung freigegeben hast. Deine Eingaben werden ohne Zustimmung niemals fur das Training gemeinsamer Modelle verwendet.
Gehaertete Header + Lieferkette
HSTS preload, strikte Referrer-Policy, COOP/CORP-Isolation und eine eng gefasste Permissions-Policy bei jeder Antwort. Die Build-Pipeline pinnt alle Abhaengigkeiten und fuehrt vor jedem Release SCA aus.
Regulatorisches Modell
Bank AI selbst ist keine Bank. Der Zugriff auf Kontodaten erfolgt durch lizenzierte AISP unter PSD2 (in der EU und in Grossbritannien), beaufsichtigt durch die jeweils zustandigen Behorden (BaFin in Deutschland, ACPR in Frankreich, Banca d'Italia in Italien, Banco de Espana in Spanien, FCA in Grossbritannien usw.). Die Partnernamen werden offengelegt, sobald die Vertragspartner einer offentlichen Nennung zustimmen - TODO_PARTNER_NAMES.
Datenrechte
Du kannst deine Daten jederzeit einsehen, berichtigen, ubertragen und loeschen. Bank AI haelt sich an die DSGVO, die UK GDPR und den EU AI Act. Personenbezogene Daten werden niemals verkauft. Verarbeitungszwecke und Rechtsgrundlagen sind in der Datenschutzerklaerung dokumentiert.
Incident Response
Bank AI verfolgt einen dokumentierten Incident-Response-Plan mit Triage-Zielen von 24 Stunden und Meldefristen von 72 Stunden gemass Art. 33 DSGVO. Kunden-relevante Vorfaelle werden per E-Mail und ueber ein In-App-Banner kommuniziert. Die veroeffentlichte Security Disclosure Policy steht unter /.well-known/security.txt.
Schwachstelle melden
Wenn du einen Sicherheitsvorfall festgestellt hast, schreibe bitte an security@stolenorbit.com. Coordinated Disclosure ist willkommen - der vollstaendige Ablauf steht unter /.well-known/security.txt.