<- Zurück zur Startseite
Für Security-Teams entwickelt
EU-gehostete Infrastruktur mit Origin-Validierung, keine PII-Erfassung und kundengesteuerte Zugriffswiderrufung.
EU-Hosting und Datenresidenz
Origin-Validierung + Domain-Allowlist
Keine PII-Erfassung
Was Stepsy bereitstellt
- Server-seitig erzwungene Origin-Allowlist—Guides laden nur auf genehmigten Domains
- Tenant-Public-Key-Validierung bei jeder API-Anfrage (403 bei Nichtübereinstimmung)
- EU-Datenresidenz (Frankfurt) mit DSGVO-Konformität und verfügbarem AVV
- Keine PII erforderlich—Recorder erfasst nur CSS-Selektoren und Guide-Text
- 10 KB Vanilla-TypeScript-SDK, kein eval(), keine Drittabhängigkeiten
Was Sie kontrollieren
- Sofortiger Kill-Switch: Guides deaktivieren oder Public Keys vom Dashboard aus rotieren
- Versions-Pinning: SDK auf bestimmte Version mit SRI-Hash-Verifizierung festlegen
- CSP-Durchsetzung: script-src und connect-src nur auf Stepsy-Domains beschränken
- Netzwerküberwachung: SDK kontaktiert nur cdn.stepsy.cc und api.stepsy.cc
Empfohlene CSP-Richtlinie (von Ihnen zu implementieren)
Content-Security-Policy:
script-src 'self' https://cdn.stepsy.cc;
connect-src 'self' https://api.stepsy.cc;