Zum Inhalt springen

Sicherheit und Datenschutz

ProcessFlow ist für den On-Premise-Betrieb ausgelegt. Dieses Kapitel fasst zusammen, wie Zugriff und Daten abgesichert sind und worauf Datenschutzbeauftragte achten sollten.

Alle Prozessdaten bleiben in Ihrer eigenen Infrastruktur. Welche Daten nach außen gehen, bestimmen ausschließlich die von Ihnen konfigurierten Flows und Ressourcen. Ohne eine entsprechende Ressource verlässt nichts das System.

Der interne Anmelde-Modus funktioniert vollständig ohne Internetzugang. Ein isolierter Betrieb ist damit möglich.

Für die Web-Oberfläche gibt es zwei Modi:

  • Keycloak / OIDC – Anmeldung über Ihren Identity-Provider (OIDC = OpenID Connect, ein Standard für zentrale Anmeldung).
  • Interner Modus – Konten in ProcessFlow selbst; Passwörter werden mit bcrypt gehasht.

Den Modus legen Sie über processflow.auth.mode (keycloak oder internal) fest – siehe Installation.

Werker:innen melden sich am Gerät mit einer PIN an. Die Absicherung:

  • Die PIN wird serverseitig mit einem Pepper gehasht (Secret PROCESSFLOW_DEVICEAUTH_PEPPER).
  • Nach der Anmeldung erhält das Gerät kurzlebige, signierte Tokens.
  • Nach zu vielen Fehlversuchen greift eine Sperre; Anzahl und Dauer sind konfigurierbar.

Zugriffsrechte werden feingranular über Gruppen vergeben. Wer welche Flows, Masken, Ressourcen oder Profile sehen und bearbeiten darf, steuern Sie über die Gruppenzugehörigkeit. Details: Benutzer und Rollen.

TLS lässt sich direkt im Dienst terminieren – ein vorgeschalteter Reverse Proxy ist nicht zwingend nötig. Sie verwenden entweder ein selbstsigniertes Zertifikat (vom Windows-Installer erzeugt) oder ein eigenes Zertifikat.

ProcessFlow ist von Haus aus restriktiv konfiguriert:

  • CORS ist aus.
  • Es gibt keine unauthentifizierten Pfade außer den technisch nötigen: Gesundheitscheck, Geräteregistrierung und Login.
  • Der Geräte-PIN-Pepper hat keinen Default – fehlt er, verweigert der Dienst den Start. Das Jasypt-Passwort für Ressourcen-Zugangsdaten setzen Sie ebenfalls pro Installation individuell (siehe Installation).
Ebene Mechanismus
Web-Anmeldung Keycloak/OIDC oder interner Modus (bcrypt-gehashte Passwörter)
Geräte-Anmeldung PIN mit serverseitigem Pepper gehasht, kurzlebige signierte Tokens, Sperre nach Fehlversuchen
Transport TLS direkt im Dienst (selbstsigniert oder eigenes Zertifikat)
Zugangsdaten verschlüsselt gespeichert (Jasypt)
Nachvollziehbarkeit Audit-Log plus SHA-256-Hashkette (Manipulationsnachweis)
Standardwerte CORS aus, keine unnötig offenen Pfade, individuelle Secrets pro Installation

Das Audit-Log protokolliert, wer wann was geändert oder freigegeben hat – für Flows, Masken, Ressourcen, Profile, Auslöser und KI-Einstellungen.

  • Die Einträge sind filterbar.
  • Ein CSV-Export ist möglich (maximal 50.000 Zeilen pro Export).

Zusätzlich zum Audit-Log werden Audit-Einträge und abgeschlossene Ausführungen in eine SHA-256-Hashkette versiegelt. So lässt sich nachträglich nachweisen, dass Einträge nicht verändert wurden.

  • Die Integrität prüfen Sie per Knopfdruck – auf der Audit-Log-Seite über „Integrität prüfen“ sowie in der Detailansicht einer Ausführung.

Personenbezogene Daten entstehen an folgenden Stellen:

  • Benutzerkonten – Name, E-Mail.
  • Audit- und Log-Einträge mit Benutzerbezug.
  • In Flows erfasste Daten – hierfür ist der Betreiber verantwortlich, da Inhalt und Umfang von den konfigurierten Flows abhängen.

Die Aufbewahrung ist konfigurierbar:

  • Auto-Archiv archiviert Ausführungen automatisch nach einer einstellbaren Frist (siehe Erste Einrichtung).
  • Die Log-Aufbewahrung auf den Geräten lässt sich in Tagen einstellen.