Sichere Projekt-, Liefer- und Launch-Nachweisflaechen werden geladen.
Sichere Projekt-, Liefer- und Launch-Nachweisflaechen werden geladen.
Monatliche Notizen zu Nearshore-Engineering-Teams, CAD- und Dokumentationsqualität, Delivery Controls und QENVEX Launch-Updates.
Security Overview
QENVEX nutzt authentifizierten Zugriff, rollenbewusste Routen, RLS-gestützte Datenzugriffe und geschützte Datei-Proxies.
Authentifizierung läuft über gehostetes Supabase Auth. Workspace- und Admin-Seiten prüfen serverseitige Sessions, bevor geschützter Inhalt erscheint.
Client-, Engineer-, Admin- und Super-Admin-Erfahrungen sind durch Routenschutz und app_metadata Rollenchecks für Trusted Admin Actions getrennt.
Workspace-Daten werden über Supabase Tabellen mit aktivierter Row-Level Security und Policies für Clients, Projektmitglieder und Admins gelesen.
Workspace- und Admin-Download/Preview-Routen prüfen Zugriff erneut, bevor Dateien ausgeliefert werden, ohne öffentliche URLs für sensible Dokumente.
Wichtige Delivery-Aktionen erzeugen Activity-Log-Zeilen, Workspace Notifications und best-effort transaktionale E-Mails, wo Policies es erlauben.
Production Readiness Checks pruefen erforderliche Variablen, hosted Supabase Reachability, Public Route Health, Production Builds und Live Supabase Advisors.
Die Security-Posture ist staerker, wenn jede Kontrolle Implementierungsdetail und Launch-Verifikation hat.
| Kontrollbereich | Implementierung | Verifikation |
|---|---|---|
| Identitaet und Session-Zugriff | Gehostetes Supabase Auth, serverseitige User Checks, lokalisierte Callback-Routen und trusted app_metadata Rollen für Admin und Engineer. | Smoke Login, Invite, Password Recovery, Workspace, Admin und signed-out Redirects vor Production Promotion. |
| Datenbank-Autorisierung | Supabase RLS Policies trennen Client-, Engineer-, Admin- und Super-Admin-Sichtbarkeit, waehrend Service-Role Aktionen serverseitig bleiben. | Hosted Supabase Advisors ausführen, rollenbezogene Flows prüfen und Launch Data Counts über den Admin Report bestätigen. |
| Private Dateilieferung | Projektdateien und Rechnungs-PDFs nutzen private Cloudflare R2 Objekte mit authentifizierten App Proxy-Routen und Supabase Row Checks. | Smoke Upload, Preview, Download, Replacement, Invoice PDF, Notification und Activity Log nach R2 Bucket Provisioning. |
| Public Write Protection | Cloudflare Turnstile, runtime-lokale Public Write Guards, Payload Limits und geplante WAF/rate-limit Regeln schuetzen Intake APIs. | Normale Submissions bestätigen, oversized Payloads ablehnen und wiederholten Missbrauch am Edge challengen oder blockieren. |
| Operative Evidenz | Admin Launch Readiness, Delivery Reports, CRM Handoff Health, Activity Logs, Notifications und Export-Routen geben pruefbare Nachweise. | JSON-, Markdown- und CSV-Reports herunterladen, lokales Launch Gate ausführen und Live Smoke plus Provider Evidence an die Launch Review hängen. |
QENVEX kann Workspace-Zugriff, Dateiverarbeitung und Launch-Gates im Onboarding durchgehen.
Kontakt aufnehmen