Architektonischer Datenschutz, kein Datenschutzversprechen.

Die 30-Sekunden-Verifikation

1. Öffnen Sie das Vastiko-Tool Edit PDF.
2. Öffnen Sie die DevTools Ihres Browsers (F12 oder Rechtsklick → Untersuchen).
3. Wechseln Sie zum Network-Tab. Aktivieren Sie 'Preserve log'.
4. Legen Sie ein PDF auf die Drop-Zone.
5. Beobachten Sie das Network-Panel. Es gibt keinen POST-Upload, kein PUT, keinen WebSocket, der Ihre Datei trägt. Die einzigen Anfragen sind Abrufe statischer Assets (HTML, CSS, JS) und (falls aktiviert) anonyme Analytik-Pings.

Dasselbe gilt für jedes Vastiko-Tool. Sie können den Datenschutzanspruch selbst verifizieren — Sie müssen uns nicht aufs Wort glauben.

Wie jedes Tool lokal bleibt

Kryptographie (geplant für Unlock PDF / Protect PDF)

Passwortgeschützte Operationen sind auf unserer Roadmap. Wenn sie ausgeliefert werden, verwenden sie:

• Web Crypto API (eingebaut in Chrome, Safari, Firefox, Edge) für AES-256, AES-128, RC4-128 und RC4-40 — die volle PDF-Security-Handler-Spezifikation abdeckend.
• WebAssembly-Module zum Parsen des PDF-Security-Handlers, ausgeführt in der Browser-Sandbox.
• Keine Serverübertragung: Das Passwort wird nie an uns gesendet. Es existiert nur im Browser-Speicher für die Dauer der Operation und wird dann überschrieben.

Status: Die Tools Unlock PDF und Protect PDF befinden sich derzeit im Design. Bis sie ausgeliefert werden, ist unsere Kryptographieoberfläche auf TLS-Terminierung beim Hosting-Anbieter beschränkt — es gibt keine anwendungsseitige Kryptographie zu prüfen.

Was Angreifer nicht tun können

Da Dateidaten unsere Server niemals erreichen:

• Eine Sicherheitsverletzung unseres Hosting-Anbieters kann Ihre Dateien nicht offenlegen. Es gibt keinen Dateispeicher, der verletzt werden könnte.
• Eine Vorladung kann uns nicht zwingen, Ihre Dateien herauszugeben. Wir haben sie nicht und hatten sie nie.
• Ein böswilliger Akteur kann keine Nutzerinhalte von uns exfiltrieren. Die Daten sind auf Ihrer Maschine, nicht auf unserer.

Code-Obfuskation und Transparenz

Das JavaScript-Bundle ist minifiziert und obfuskiert. Das ist eine bewusste Entscheidung zum Schutz des geistigen Eigentums von Vastiko — um es Klonen zu erschweren, unsere Arbeit zu kopieren — und es kompromittiert die Datenschutzgarantie nicht. Datenschutz ist anhand des Laufzeitverhaltens verifizierbar, nicht anhand des Quellcodes: Öffnen Sie DevTools → Network und bestätigen Sie, dass kein Datei-Upload stattfindet. Die Architektur (alles in Ihrem Browser) macht Vastiko privat; die Obfuskation schützt nur, was wir gebaut haben.

Wenn Sie ein Sicherheitsproblem oder ein Verhalten bemerken, das diesen Aussagen widerspricht, melden Sie es bitte an info [at] vastiko [Punkt] com. Wir behandeln solche Meldungen als Priorität.

Hosting-Infrastruktur

Die Site wird als statisches HTML, CSS und JavaScript von einem cloud-gehosteten Webserver ausgeliefert. Es gibt kein Anwendungs-Backend, keine Benutzer-Datenbank und keine serverseitige Dateiverarbeitungspipeline. Die Datenschutzgarantie kommt aus der Architektur, nicht von einem bestimmten Anbieter oder einer bestimmten Region — Ihre Dateien würden unsere Server unabhängig vom Standort nicht erreichen.

Schwachstellen melden

Wir sind ein kleines Team und führen noch kein formelles Bug-Bounty-Programm, schätzen aber verantwortungsvolle Offenlegung. Schreiben Sie an info [at] vastiko [Punkt] com mit Reproduktionsschritten. Wir streben an, innerhalb von 48 Stunden zu bestätigen und Sie öffentlich zu nennen, wenn Sie es wünschen.

Compliance-Umfang

Da wir keine personenbezogenen Daten verarbeiten, die an identifizierbare Nutzer auf dem Server gebunden sind, ist unsere DSGVO- und CCPA-Exposition minimal — aber die Datenschutzgarantien, die wir geben, sind stärker, als Compliance verlangt. Details siehe Datenschutzerklärung.