Verschlüsselte Verbindung
PureDynamic wird für den produktiven Betrieb über HTTPS betrieben. Dadurch werden Zugangsdaten und Nutzdaten während der Übertragung geschützt.
Gast
Webseite ohne AnmeldungSie besuchen die oeffentliche Webseite. Registrierte Benutzer erhalten Zugriff auf freigegebene Module.
Sicherheit & Datenschutz
PureDynamic sicher betreiben
Diese Seite beschreibt die wichtigsten technischen und organisatorischen Schutzmassnahmen der Schiesssportsoftware. Version: V0.2.4 Beta.
Unser Sicherheitsverständnis
Sicherheit ist kein einzelnes Zertifikat, sondern ein fortlaufender Prozess. PureDynamic setzt auf verschlüsselte Verbindungen, getrennte Vereinsdaten, rollenbasierte Zugriffe und eine dokumentierte Weiterentwicklung der Schutzmassnahmen.
StatusVorversion Beta
Die App wird aktiv getestet und für externe Sicherheitsprüfungen vorbereitet.
Geschützte Bereiche
Fachbereiche sind erst nach Anmeldung sichtbar. Sitzungen werden signiert und zeitlich begrenzt. Neue Benutzer werden registriert und durch den Admin freigegeben.
Rollen und Module
Der Verein kann Module freigeben und Benutzerrechte über Rollen steuern. So erhalten Personen nur Zugriff auf benötigte Funktionen.
Getrennte Vereinsdaten
Die Software ist für mehrere Vereine vorbereitet. Vereinsdaten werden getrennt geführt und über die aktive Vereinsauswahl gesteuert.
Dokumente und Belege
Dateien, Standblattbilder, Logos und Belege werden zweckgebunden abgelegt und sollen nur für berechtigte Benutzer zugänglich sein.
Weiterentwicklung
Die Sicherheitsprüfung wird schrittweise erweitert: Serverhärtung, Backups, Upload-Prüfung, Audit-Log, Login-Monitoring und externe Prüfung.
Nachweise und Status
Transport
ErledigtHTTPS und TLS
Die Anwendung muss ausschliesslich über HTTPS erreichbar sein.
HTTP leitet auf HTTPS um, Zertifikat für app.puredynamic.cloud ist gültig bis 06.08.2026.
Server
ErledigtFirewall
Nur notwendige Ports sollen öffentlich erreichbar sein.
UFW ist aktiv: 22, 80 und 443 sind erlaubt. Datenbank und App-Port sind nur lokal gebunden.
Server
ErledigtUpdates
Betriebssystem und App-Abhängigkeiten müssen regelmässig aktualisiert werden.
Ubuntu-Pakete wurden am 11.05.2026 aktualisiert. Automatische Updates sind aktiv. Neustart wurde durchgeführt.
Daten
ErledigtBackups
Datenbank und DMS-Dateien müssen regelmässig gesichert und wiederherstellbar sein.
Backup-Skript ist vorhanden, Backups liegen unter /opt/dynamic-sports-backups. Wiederherstellungstest am 06.06.2026 erfolgreich: Backup backup-20260606T100623Z wurde in eine temporäre Datenbank zurückgespielt, 69 Tabellen geprüft und danach entfernt.
Zugriff
ErledigtSignierte Sitzungscookies
Sitzungen duerfen nicht durch erratbare oder manipulierbare Cookie-Werte entstehen.
Login-Cookies enthalten signierte, zeitlich begrenzte Werte. Direkte User-ID-Cookies werden serverseitig nicht mehr akzeptiert.
Zugriff
ErledigtSchutz vor fremden Formular-Posts
Schreibende Requests sollen nur vom gleichen Ursprung der Anwendung akzeptiert werden.
Die Proxy-Schicht blockiert POST, PUT, PATCH und DELETE mit fremdem Origin-Header.
Zugriff
ErledigtKeine Default-Adminpasswoerter in Produktion
Produktivsysteme duerfen keine bekannten Standardpasswoerter erzeugen oder akzeptieren.
Produktionscheck und Admin-Loader brechen ab, wenn Commerce- oder PureDynamic-Adminpasswoerter fehlen oder noch Default-Werte verwenden.
Zugriff
ErledigtRegistrierung mit Admin-Freigabe
Neue Benutzer erhalten erst nach Prüfung Zugriff auf geschützte Bereiche.
Benutzerverwaltung prüft Registrierungen und Rollenvergabe.
Zugriff
ErledigtRollen und Modulrechte
Funktionen können pro Rolle als Vollzugriff, Schreibgeschützt oder Ausblenden definiert werden.
Benutzerrollen und Modulfreigabe pro Verein sind im Backend sichtbar.
Mandanten
ErledigtVereinsdaten getrennt
Daten werden pro Verein über Vereins-ID und aktive Vereinsauswahl getrennt.
Alle Hauptdaten hängen am Verein oder an der aktiven Saison.
Uploads
ErledigtDateiuploads und Belege
Uploads müssen auf Zweck, Dateityp und Grösse geprüft werden.
DMS, Belege, SIUS-Barcode und Mitgliederimport prüfen Dateigrösse, MIME-Typ, Dateisignatur und sichere Dateinamen. Belege sind an Login und Verein gebunden.
Uploads
ErledigtRequestgroesse begrenzt
Sehr grosse Requests duerfen die Anwendung nicht unkontrolliert belasten.
Die Proxy-Schicht blockiert Requests oberhalb der definierten Maximalgroesse.
Protokoll
ErledigtLogin-Nachvollziehbarkeit
Anmeldeereignisse sollen datensparsam nachvollziehbar sein.
Erfolgreiche und fehlgeschlagene Logins fuer Benutzer, Systemadmin, Commerce-Admin, PureDynamic-Admin und Kundenkonten werden als JSONL-Audit protokolliert.
Protokoll
Zu prüfenNachvollziehbarkeit
Wichtige administrative Änderungen sollen nachvollziehbar protokolliert werden.
Audit-Log für Login-Ereignisse, Admin-Benutzer, Benutzerstatus, Passwort-Resets, Rollen und Modulfreigaben ist umgesetzt. Fachliche Änderungen an Programmen, Bestellungen und Resultaten werden als nächste Ausbaustufe ergänzt.
Externe Prüfung
GeplantPenetrationstest vorbereiten
Für eine externe Sicherheitsprüfung werden Testzugang, Funktionsliste und Ansprechpartner benötigt.
Prüfunterlagen und Sicherheitsseite bereitstellen.
Datenschutz im Vereinsbetrieb
PureDynamic verarbeitet Daten, die für den Vereins- und Schiessbetrieb benötigt werden, zum Beispiel Benutzerkonten, Schützendaten, Stichzuweisungen, Resultate, Munitionsbestellungen, Belege und Dokumente. Der jeweilige Verein bleibt für die korrekte Erfassung, Freigabe und Nutzung der Daten verantwortlich.
Zugriffe sollen nur Personen erhalten, die diese für ihre Aufgabe benötigen. Nicht mehr benötigte Benutzer, Module und Berechtigungen sollten regelmässig geprüft und angepasst werden.
Sicherheitsmeldung
Wenn eine Schwachstelle oder ein Datenschutzproblem vermutet wird, soll dies direkt an den Betreiber oder den verantwortlichen Vereinsadmin gemeldet werden. Bitte keine fremden Daten verändern oder herunterladen.
Copyright ein Produkt der Dynamic Sports Gilgen GmbH
Kontakt im Impressum öffnen