Sicherheitsmodell

SaaS-Kontrollebene: Castovia ist ein verwaltetes SaaS. Es wird kein Quellcode ausgeliefert. Keine Self-Hosting-Option. Die Infrastruktur wird von Castovia verwaltet.

Mandantenisolation: Jeder Provider arbeitet in einem logisch isolierten Mandanten. Provider können nicht auf Daten, Abonnenten, Streams oder Konfiguration anderer Provider zugreifen.

RBAC (Role-Based Access Control): Vier Rollen: super_admin, admin (provider), supplier, viewer. Jede Rolle hat streng abgegrenzte Berechtigungen.

Plan-Durchsetzung: 7-stufiges Planmodell mit weicher und harter Durchsetzung auf API-Ebene. Harte Durchsetzung bei kritischen kommerziellen Routen aktiv.

Passwortsicherheit: Passwörter mit bcrypt gehasht. Keine Speicherung im Klartext für Admin-/Supplier-Konten.

Knoten-Authentifizierung: Provider-Knoten authentifizieren sich mit begrenzten, pro Knoten vergebenen Server-Tokens, die unabhängig vom Admin-Dashboard rotiert werden können.

Rate Limiting: Login-, Signup-, Kontaktformulare und API-Endpunkte werden pro IP begrenzt, um Brute-Force-Angriffe zu verhindern.

Sitzungsverwaltung: JWT-basierte Sitzungen mit 24-Stunden-Ablauf.

Erkennung verdächtiger Aktivitäten: Automatische Erkennung und Protokollierung verdächtiger Anmeldemuster.

Keine sourceUrl-Offenlegung: Interne Stream-Quell-URLs werden niemals an Endgeräte der Nutzer oder an clientseitigen Code offengelegt.

Keine storagePath-Offenlegung: Interne Speicherpfade bleiben ausschließlich serverseitig.

Signierte Wiedergabe-URLs: Wiedergabe-URLs sind zeitlich begrenzt und kryptografisch signiert. Abgelaufene URLs werden abgelehnt.

Signierte Wiedergabe-Metadaten: Endgeräte erhalten nur sichere Metadaten. Keine internen Infrastrukturdetails.

Audit-Logs: Administrative Aktionen werden zur Nachvollziehbarkeit protokolliert.

CDN API-Schlüssel: Verschlüsselt in der Datenbank gespeichert. Niemals in API-Antworten zurückgegeben. In der UI redigiert.

DRM-Geheimnisse: Verschlüsselt gespeichert. Niemals an Client-Geräte offengelegt. Keine rohen Lizenzgeheimnisse in Anwendungs-Logs.

Keine Offenlegung des Origin-Geheimnisses: CDN-Origin-Geheimnisse werden niemals an Endgeräte der Nutzer offengelegt.

Stripe Secret Key: Nur serverseitig. Niemals in clientseitigem Code oder API-Antworten offengelegt.

Überprüfung der Webhook-Signatur: Alle Stripe-Webhook-Ereignisse werden vor der Verarbeitung mit HMAC-Signatur verifiziert.

Idempotente Verarbeitung: Webhook-Ereignisse werden dedupliziert, um doppelte Verarbeitung zu verhindern.

Publishable Key: In clientseitigen Checkout-Abläufen wird nur der Publishable Key (nur lesbar) verwendet.

Keine Bereitstellung von Inhalten: Castovia stellt keine TV-/Video-Inhalte bereit, hostet sie nicht und verteilt sie nicht. Provider sind vollständig für die legalen Inhaltsrechte verantwortlich.

Missbrauchsmeldung: Öffentlicher Mechanismus zur Missbrauchsmeldung. Meldungen werden geprüft und bearbeitet.

Kontosperrung: Castovia behält sich das Recht vor, Konten zu sperren, die Inhalte illegal verbreiten.

Protokollaufbewahrung: Relevante Protokolle können dort aufbewahrt werden, wo dies aus rechtlichen Gründen für die Compliance erforderlich ist.

Richtlinie zur zulässigen Nutzung: Alle Provider müssen zustimmen. Verstöße können zu einer sofortigen Sperrung führen.