# SaferPage Integrations-Setup

Betreiber-Setup fuer Jira, Slack, Teams, Webhooks und E-Mail: Zielsysteme, Secret-Referenzen, Events, Dry-Run-Status, Retry-/Security-Regeln und Delivery-Quellen in einem Paket.

> Dieses Setup versendet nichts und zeigt keine Secrets. Produktive Zustellung braucht Betreiberfreigabe, Zielsystemberechtigungen, Datenschutz-/Security-Abnahme und Monitoring.

## Zielsysteme
- **Generischer Webhook**: missing_configuration, Owner IT/Platform, Events operator.remediation.ticket_ready, monitoring.alert, saferpage.portfolio.scan_dispatch, saferpage.portfolio.digest
- **Slack**: missing_configuration, Owner PrivacyOps, Events operator.remediation.ticket_ready, monitoring.alert, saferpage.portfolio.scan_dispatch
- **Microsoft Teams**: missing_configuration, Owner Website-Betrieb, Events operator.remediation.ticket_ready, monitoring.alert, saferpage.portfolio.scan_dispatch
- **Jira**: missing_configuration, Owner Projekt-/Ticket-Owner, Events operator.remediation.ticket_ready, monitoring.alert
- **E-Mail/SMTP**: missing_configuration, Owner Programm-Owner, Events saferpage.portfolio.digest, monitoring.alert
- **SendGrid**: disabled, Owner IT/Platform, Events saferpage.portfolio.digest

## Security Controls
- [ ] Secrets nur serverseitig speichern: Webhook-URLs, Tokens und API-Keys in Secret Manager oder Environment, nie im oeffentlichen Export.
- [ ] Payload-Signatur pruefen: HMAC mit X-SaferPage-Signature oder provider-spezifischer Signatur validieren.
- [ ] Deduplizierung erzwingen: X-SaferPage-Idempotency-Key als External-ID fuer Jira/Webhook/Queue nutzen.
- [ ] Rate-Limits und Retry-Policy setzen: Exponential Backoff, Dead-Letter-Queue und Betreiber-Alarm bei wiederholtem Fehler.
- [ ] Minimale Berechtigungen: Jira-/Mail-/Webhook-Token nur fuer benoetigte Projekte, Kanaele und Events freigeben.