CentaurNexus ist von Grund auf für Enterprise-Sicherheit gebaut: gehärtete Authentifizierung, harte Mandanten-Isolation auf Datenbankebene, durchgehende Verschlüsselung und ein lückenloser Audit-Trail – gehostet auf STACKIT in Deutschland.
Fällt eine Schutzschicht, greift die nächste. Authentifizierung, Anwendungslogik und Datenbank sichern jeweils eigenständig ab – keine Sicherheit „nur im Frontend".
JWT (HS256) in httpOnly-Cookies, CSRF-Schutz per Double-Submit, Refresh-Token-Rotation und optionale MFA (TOTP). Transport ausschließlich über TLS.
httpOnly · CSRF · TLS · MFA
Server-seitige Validierung mit Zod (.strict()), Auth-Middleware auf jeder Route, Security-Header (Helmet), Rate-Limits und strukturierte Protokollierung.
Zod · Helmet · Rate-Limit
PostgreSQL Row-Level Security (mit WITH CHECK) auf jeder Tabelle – ein Mandant kann technisch nicht die Daten eines anderen sehen. Sensible Felder mit AES-256-GCM verschlüsselt.
RLS · AES-256-GCM
Least Privilege auf jeder Rolle & jedem DB-Zugriff.
Secrets nie im Code – Vault / Kubernetes-Secrets.
Interne Kommunikation über TLS – auch Service-zu-Service.
Verschlüsselung sensibler Daten – auch intern.
PostgreSQL Row-Level Security erzwingt die Trennung auf Datenbankebene – nicht nur in der Oberfläche, nicht per API umgehbar.
PostgreSQL RLSAPI-Keys und Secrets sind mit AES-256-GCM verschlüsselt, die Schlüssel liegen im Vault – nie im Code, nie im Klartext.
AES-256-GCMJede sicherheitsrelevante Aktion – Login, Approval, Policy-Änderung, Widerruf – landet revisionssicher im Audit-Log.
NIS2 · DORAMFA/TOTP für privilegierte Zugänge, JWT mit Refresh-Token-Rotation, httpOnly-Cookies und CSRF-Schutz per Double-Submit.
MFA · JWT · CSRFHelmet, Rate-Limiting und serverseitige Zod-Validierung jeder Eingabe – die OWASP Top 10 werden je Feature aktiv geprüft.
Helmet · Zod · Rate-LimitGehostet auf STACKIT in Deutschland, DSGVO-konform – externer Pentest mit 0 kritischen und 0 hohen Befunden.
STACKIT · DSGVO · Pentest 0/0Unsere Schutzmechanismen sind nicht nur Compliance-Häkchen – sie senken Risiko und Bearbeitungszeit gleichzeitig.
Helpdesk löst Standardfälle read-only oder in der Sandbox – ohne Zscaler-Adminrechte. Super-Admin behält alle Rechte.
Schreibaktionen laufen auf Wunsch über eine zweite Freigabe – revisionssicher, bevor etwas in Zscaler aktiv wird.
Jede sicherheitsrelevante Aktion (Login, Freigaben, Policy-Änderungen, Widerrufe) wird lückenlos protokolliert und ist exportierbar.
Jedes neue Feature wird gegen Injection, Broken Auth, IDOR, XSS, CSRF & Co. geprüft – plus fortlaufendes Threat Modeling (STRIDE).
Wer eine Zscaler-Umgebung verwaltet, ist selbst ein lohnendes Ziel. Deshalb sichert CentaurNexus seine eigene Administrationsebene mit den Zero-Trust-Signalen Ihres Tenants und einer von der Anmeldeidentität entkoppelten Zugriffsprüfung – die Verwaltungsfunktionen leben hinter Ihrer eigenen Zero-Trust-Prüfung, nicht nur hinter einem Passwort. Das zugrunde liegende Verfahren haben wir beim Deutschen Patent- und Markenamt zum Patent angemeldet.
Wir unterstützen Sie dabei, regulatorische Nachweise zu erbringen – mit Evidence-Collectoren und exportierbaren Audit-Daten.
Nachweise zu Zugriffskontrolle, Protokollierung und Reaktionsfähigkeit – per Compliance-Evidence-Collector zusammengeführt.
Belege zu operativer Resilienz und IKT-Risikomanagement für den Finanzsektor – strukturiert und exportierbar.
Wir richten Prozesse und Architektur an ISO 27001 aus und arbeiten auf die Zertifizierung hin.
Datenminimierung, Auftragsverarbeitung (Art. 28), EU-Hosting und ein DSGVO-Gateway, das bei EU-Datenräumen Anonymisierung erzwingt.
Souveränität ist für uns gelebte Kontrolle – nicht nur ein Häkchen. Sie entscheiden, wo Ihre Daten liegen und wer die Schlüssel hält.

Das CentaurNexus-Whitepaper fasst Architektur, Feature-Katalog und das Sicherheits- & Compliance-Modell kompakt zusammen – ideal zur Weitergabe an Security-, IT- und Compliance-Verantwortliche.
Testen Sie read-only mit Light oder lassen Sie sich die Sicherheits-Funktionen in einer Demo zeigen – Vier-Augen, RBAC und Audit-Trail in Aktion.