Zum Inhalt

Internes Zugriffskonzept — easySale

Stand: März 2026 Zweck: Dokumentation der Zugriffsrechte auf Kundendaten gemäß DSGVO Art. 28, 32 Geltungsbereich: Alle Mitarbeiter und Systeme der easySale-Plattform

1. Grundsatz: Least Privilege

Der Zugriff auf personenbezogene Daten in Produktionsumgebungen ist auf das für die Aufgabenerfüllung notwendige Minimum beschränkt (Need-to-know-Prinzip).

2. GCP IAM-Rollen (Produktionsprojekte)

Person / Rolle GCP IAM-Rolle Begründung
Michael Modlmair Owner Projekt-Setup, Billing
Stefan Hafner Editor Deployment, Functions
Andreas Schmid Editor Deployment, Functions
CI/CD (GitHub Actions) Service Account: firebase-deployer Automatisches Deployment

Regelmäßige Überprüfung

  • Quartalsmäßig: Prüfung aller IAM-Rollen auf Aktualität
  • Bei Offboarding: Sofortige Entfernung aller Zugriffsrechte (siehe Abschnitt 6)

3. Firebase Console Zugriff

Zugriff Wer Protokollierung
Firebase Console (Prod) Nur autorisierte Entwickler GCP Audit Log
Firebase Console (Dev) Alle Entwickler GCP Audit Log
Firestore Daten einsehen Nur bei Support-Tickets Manuelles Logging

4. Anwendungsebene (ERP-System)

Rolle userRole Rechte
User 0 Basiszugriff, keine Admin-Funktionen
Admin 1 Benutzerverwaltung, Konfiguration
SuperAdmin 2 Vollzugriff inkl. Credential-Einsicht, Audit-Logs

Granulare Permissions (pro User konfigurierbar): - canCreateCustomers, canEditCustomers, canDeleteCustomers - canCreateArticles, canEditArticles, canDeleteArticles - canCreateOrders, canEditOrders, canDeleteOrders, canCancelOrders

5. Cloud Functions / Admin SDK

Cloud Functions verwenden das Firebase Admin SDK und umgehen Firestore Security Rules. Der Zugriff auf die Produktions-Cloud-Functions ist beschränkt auf:

Zugriff Wer
Deploy (functions:deploy) CI/CD Pipeline + autorisierte Entwickler
Shell (functions:shell) Nur in Dev-Umgebung
Logs einsehen Autorisierte Entwickler via GCP Console

6. Offboarding-Checkliste

Bei Ausscheiden eines Mitarbeiters:

  • [ ] GCP IAM-Rollen aus allen Projekten entfernen
  • [ ] Firebase Console Zugriff entfernen
  • [ ] GitHub Repository Zugriff entfernen
  • [ ] Google Account aus Organisation entfernen
  • [ ] Ggf. Sentry Team-Zugriff entfernen
  • [ ] API-Keys/Secrets rotieren falls der Mitarbeiter direkten Zugang hatte
  • [ ] Dokumentation: Datum und Umfang der Zugangsentfernung festhalten

7. GCP Audit Logging

  • Admin Activity Logs: Automatisch aktiviert, 400 Tage Aufbewahrung
  • Data Access Logs: [TODO: Aktivieren in GCP Console für Firestore]
  • Zugriff auf Audit Logs: Nur SuperAdmin (in-App) + GCP Owner (Console)

8. Entwicklungsumgebung

Aspekt Regelung
Dev-Daten Anonymisiert via sync_prod_to_dev.sh (automatische DSGVO-Anonymisierung)
Dev-Zugriff Alle Entwickler
Lokale Emulatoren Keine echten Kundendaten verwenden

Änderungshistorie

Datum Änderung Autor
März 2026 Erstversion erstellt Andreas Schmid, Tech Schuppen