# Gated Trust Readiness fuer herzfroh.loveline.de Gated-Trust-Readiness für herzfroh.loveline.de: 10 Go-live-Gates, 7 produktiv blockiert, 2 abhängig von Auth/Dokumenten/Systemen, 1 als öffentlicher Blueprint vorbereitet. > Diese öffentliche Readiness-Seite ist ein Betreiber- und Go-live-Dossier. Sie aktiviert keine Besucher-Auth, keine NDA-Signatur, keine privaten Dokumente, keine Portal-Credentials und keinen Versand. ## Go-live-Gates - [ ] **Betreiber-Domain verifizieren** (ready_blueprint, Betreiber / DNS Owner): Domain-Claim mit DNS-, Datei- oder Meta-Tag-Nachweis vorbereiten und Eigentümerschaft vor jeder privaten Freigabe bestätigen. - [ ] **Besucher-Auth und Einladungen aktivieren** (blocked_external_integration, Product Engineering / Identity): Passwordless Login, Invite-Token, Ablauf, Revocation und Session-Policy produktiv anbinden. - [ ] **NDA und Clickwrap rechtlich freigeben** (blocked_legal_and_provider, Legal / Trust Operations): NDA-Texte, Clickwrap-Flow, Signaturprovider, Bypass-Regeln, Redlines und Lokalisierung freigeben. - [ ] **Private Dokumente sicher speichern** (blocked_storage_security, Security / Platform): Speicher, Malware-Scan, Verschlüsselung, Ablauf, Watermarking, Hash-Manifest und Download-Policy produktiv schalten. - [ ] **Access Groups und Zielgruppen paketieren** (pending_auth_and_docs, Trust Operations): Gruppen, Connection-Zuweisung, Dokumentpakete, Ablauf und Loesch-Fallbacks an echte Auth und Dokumente binden. - [ ] **Viewer-Datenschutz und Löschpfad aktivieren** (pending_downstream_systems, Privacy Operations): Revocation, De-Identifizierung, Update-Abo-Abmeldung, CRM-/Ticket-Cleanup und Auditnachweis an echte Viewer-IDs anbinden. - [ ] **Questionnaire Intake produktiv absichern** (blocked_upload_processing, Trust Operations / Security): Uploads, Portal-Import, Bulk-Fragen, Malware-Scan, Retention, Source-Index und Review-Gates produktiv verbinden. - [ ] **Portal- und Browser-Automation freigeben** (blocked_credential_vault, Security / Customer Success): Credential Vault, Browser-Extension-Policy, Portal-Allowlist, Operator-Auth und Writeback-Freigabe einrichten. - [ ] **API-Key-Store und Runtime-Gates schließen** (blocked_secret_runtime, Platform / Security): API-Key-Store, Token-Scopes, Env-Gates, Rate Limits und Deny-Smokes produktiv aktivieren. - [ ] **Einladungen und Benachrichtigungen versenden** (blocked_delivery_approval, Operations / Legal): Send-From, Empfängergruppen, Templates, Webhooks, HMAC, Retry, Abmeldung und Versandfreigabe produktiv konfigurieren. ## Trust-/Questionnaire-Coverage 10/10 Trust-/Questionnaire-Coverage-Punkte sind öffentlich belegbar; 9 Punkte bleiben vor produktiver Nutzung an Auth-, NDA-, Storage-, API- oder Delivery-Gates gebunden. - **Öffentliches Trust Center und Share Pack** (covered, Gate: none): Endanwender und Betreiber sehen öffentliche Datenschutz-, Sicherheits-, Anbieter- und Nachweisbausteine mit klaren Links. Evidence: https://saferpage.de/trust/herzfroh.loveline.de/share-json - **Kontrollierter Datenraum-Blueprint** (covered, Gate: private_document_storage): Private Ressourcen, Ablauf, Wasserzeichen, Download-Policy und Exportmanifest sind als Betreiberpfad beschrieben. Evidence: https://saferpage.de/datenraum/herzfroh.loveline.de/export - **Access Requests, Approval, Revocation und Ablauf** (covered, Gate: visitor_auth): Approve/Deny, NDA-Option, Ablaufdatum, Revocation und Zustellgates sind öffentlich nachvollziehbar modelliert. Evidence: https://saferpage.de/datenraum/herzfroh.loveline.de/zugriffe-json - **Viewer-Datenschutz, Löschung und De-Identifizierung** (covered, Gate: viewer_privacy_cleanup): Viewer-Daten, Update-Abos, CRM-/Ticket-Cleanup und Löschpfad sind als Datenschutz-Gate sichtbar. Evidence: https://saferpage.de/trust/herzfroh.loveline.de/viewer-datenschutz-json - **Questionnaire Intake mit Quellenbindung** (covered, Gate: questionnaire_intake): Datei-, Bulk-Fragen-, Portal- und Link-Kontext sind als Intake-Pfade mit Source-Index, Malware-Scan und Retention beschrieben. Evidence: https://saferpage.de/trust/herzfroh.loveline.de/questionnaire-intake-json - **Questionnaire Review, Kollaboration und Approval** (covered, Gate: questionnaire_intake): Status-Lanes, Assignees, Quellenpanel, Confidence-Gate, Locking, Flagging und Human Approval sind exportierbar. Evidence: https://saferpage.de/trust/herzfroh.loveline.de/fragebogen-review-json - **Questionnaire Export, Manifest und Writeback-Grenzen** (covered, Gate: portal_automation): CSV/Originalformat/Portal-/Ticket-Writeback werden mit Preview, Manifest, Feldallowlist und Auditspur begrenzt. Evidence: https://saferpage.de/trust/herzfroh.loveline.de/fragebogen-export-json - **Trust-AI-Antworten mit Quellen und Guardrails** (covered, Gate: api_key_runtime): Antwortmodus, Red-Flag-Erkennung, Quellenpflicht, Sprachregeln und Fallback an Trust Owner sind dokumentiert. Evidence: https://saferpage.de/trust/herzfroh.loveline.de/ki-agent-json - **Audience Preview und Access Groups** (covered, Gate: access_groups): Betreiber können öffentliche, approved, gruppenspezifische und interne Sichtweisen als Preview-/Segmentmodell prüfen. Evidence: https://saferpage.de/trust/herzfroh.loveline.de/vorschau-json - **Trust-Kommunikation, Updates und Zustellung** (covered, Gate: delivery_notifications): Einladungen, Updates, Slack/Teams/Webhooks, Retry, Unsubscribe und HMAC-Grenzen sind als Delivery-Vertrag sichtbar. Evidence: https://saferpage.de/trust/herzfroh.loveline.de/kommunikation-json ## Trust-Parity-Claim-Lane Trust-/Questionnaire-Claims für Betreiberkommunikation: öffentlich belegbare Readiness zeigen, gated Funktionen als Blueprint formulieren und Live-Claims bis Auth/NDA/Storage/API/Delivery-Freigabe sperren. > Diese Lane ist eine Kommunikationsfreigabe, kein privater Trust-Go-live. Sie aktiviert keine Besucher-Auth, NDA-Signatur, Dokumentzustellung, API-Key-Ausgabe, Portal-Credentials oder Benachrichtigungen. ### Öffentliches Trust-Center als Readiness-Nachweis - Status: public_ready - Erlaubte Aussage: Betreiber können ein öffentliches Trust-Center mit Datenschutz-, Sicherheits-, Anbieter- und Evidence-Links als Readiness-Nachweis zeigen. - Betreiberinput: Domainbezug, öffentliche Dokumentklassen und sichtbare Evidence-Links prüfen. - Nicht behaupten: Nicht behaupten: privater Datenraum, echte NDA-Freigabe oder Zugriff auf Kundendokumente. - Abnahme: Trust-Center, Share-Pack und Go-live-Dossier sind öffentlich erreichbar. - Abnahme: Öffentliche Evidence-Links enthalten keine privaten Dokument-URLs, Magic Links oder Viewer-Daten. - Abnahme: Claim-Grenze verweist sichtbar auf private Auth-/NDA-/Storage-Gates. - Evidence: ["https://saferpage.de/trust/herzfroh.loveline.de","https://saferpage.de/trust/herzfroh.loveline.de/share-json","https://saferpage.de/trust/herzfroh.loveline.de/go-live-json"] ### Access Requests und Viewer-Datenschutz - Status: gated_readiness - Erlaubte Aussage: SaferPage kann den Access-Request- und Viewer-Privacy-Prozess als Betreiber-Blueprint mit Abnahmefeldern zeigen. - Betreiberinput: Auth-Modus, NDA-Pflicht, Ablaufzeiten, Revocation, Löschung und Downstream-Cleanup freigeben. - Nicht behaupten: Nicht behaupten: produktive Besucher-Auth, echte Einladungen, echte Viewer-Sessions oder Löschung produktiver Viewer-Daten. - Abnahme: Access-Journey-Dry-run ist mit Testidentitäten beschrieben. - Abnahme: Viewer-Privacy- und Cleanup-Receipts sind als öffentliche Struktur vorhanden. - Abnahme: Keine E-Mail-Adressen, Tokens oder Magic Links erscheinen in JSON/CSV/Markdown. - Evidence: ["https://saferpage.de/trust/herzfroh.loveline.de/connections-json","https://saferpage.de/trust/herzfroh.loveline.de/nda-json","https://saferpage.de/trust/herzfroh.loveline.de/viewer-datenschutz-json"] ### Private Dokumente und Datenraum - Status: blocked_live - Erlaubte Aussage: Nur als Go-live-Dossier kommunizieren: Dokumentfreigabe, Hash-Manifest, Malware-Scan und Access Groups sind als Abnahmevertrag vorbereitet. - Betreiberinput: Private Storage-Quelle, Dokumentpakete, Access Groups, Malware-Scan, Wasserzeichen und Ablaufregeln produktiv freigeben. - Nicht behaupten: Nicht behaupten: gespeicherte private Kundendokumente, produktive Signed Links, Downloads oder aktive NDA-Dokumentzustellung. - Abnahme: Dokumentenpaket-Receipt, Access-Group-Mapping und Deny-after-Revocation sind abgenommen. - Abnahme: Storage-/Retention-Regeln und Malware-Scan sind Betreiber-signiert. - Abnahme: Public Export zeigt nur Hash-/Status-/Evidence-Struktur, keine Datei-URLs. - Evidence: ["https://saferpage.de/trust/herzfroh.loveline.de/dokumente-json","https://saferpage.de/trust/herzfroh.loveline.de/gruppen-json","https://saferpage.de/datenraum/herzfroh.loveline.de/zustellung-json"] ### Questionnaire-Automation und Antwort-QA - Status: gated_readiness - Erlaubte Aussage: Questionnaire Intake, Review, Exportmanifest, Quellenbindung und Lokalisierung sind als No-Secret-Pilot belegbar. - Betreiberinput: Upload-Sandbox, Quellenpaket, Reviewer, Sprachfreigabe, Answer-Reuse-Regeln und Exportziel freigeben. - Nicht behaupten: Nicht behaupten: echte Kundenfragebögen, finale automatische Antworten, Portal-Writeback oder Verarbeitung privater Uploads. - Abnahme: Jede Antwort hat Quellenbindung, Review Lock und Human Approval. - Abnahme: Pilot-Signoff-Receipt trennt private Betreiberinputs von öffentlicher Evidence. - Abnahme: Portal-Writeback bleibt Dry-run, bis Credentials und Feldallowlist freigegeben sind. - Evidence: ["https://saferpage.de/trust/herzfroh.loveline.de/questionnaire-intake-json","https://saferpage.de/trust/herzfroh.loveline.de/fragebogen-review-json","https://saferpage.de/trust/herzfroh.loveline.de/portale-json"] ### Trust-API, Zustellung und Integrationen - Status: blocked_live - Erlaubte Aussage: API-, Delivery- und Integrations-Gates können als Preflight-/Runtime-Dossier gezeigt werden. - Betreiberinput: API-Key-Store, Scopes, Rotation, Delivery-Ziele, HMAC, Empfänger, Webhooks und Stop-Bedingungen freigeben. - Nicht behaupten: Nicht behaupten: produktive API-Key-Ausgabe, echte Webhook-/E-Mail-/Slack-Zustellung oder Live-Portalzugriffe. - Abnahme: API Runtime Gate Probe und API-Key-Readiness sind ohne Secrets grün. - Abnahme: Delivery-Preflight hat genehmigte Zielsysteme oder bleibt blockiert. - Abnahme: Öffentliche Exporte enthalten keine Empfänger, Tokens, HMAC-Secrets oder Portal-Credentials. - Evidence: ["https://saferpage.de/trust/herzfroh.loveline.de/api-json","https://saferpage.de/api-zugriff/runtime-gate-probe-json","https://saferpage.de/api-zugriff/key-readiness-json","https://saferpage.de/integrationen/delivery-credential-preflight-json"] ## Aktivierungsreihenfolge 1. Betreiber-Domain verifizieren 2. Auth, Sessions, Einladungen und Revocation testen 3. Storage, Malware-Scan, Signed Links und NDA freigeben 4. Dokumentpakete und Zielgruppen gegen Preview testen 5. Viewer-Datenschutz, Löschung und Downstream-Cleanup prüfen 6. Questionnaire Intake mit Quellenbindung und Review-Gates aktivieren 7. Versand, Webhooks, HMAC und Abmeldung produktiv freigeben 8. Secret-/API-Gates und Deny-Smokes vor Go-live grün schalten ## Private-Beta-Abnahme - **Isolierter Test-Viewer** (required_before_private_beta): Externe Testidentität ohne echte Kundendaten, Magic-Link nur in privater Sandbox, Ablaufzeit dokumentiert. Owner: Trust Operations - **Domain-Claim Receipt** (ready_blueprint): DNS/File/Meta-Nachweis mit Zeitstempel, Host und Reviewer vor jeder Einladung. Owner: Betreiber / DNS Owner - **NDA-/Clickwrap-Receipt** (blocked_until_legal_provider): Version, Sprache, Signaturereignis, Bypass-Regel und Retention vor Dokumentzugriff freigegeben. Owner: Legal - **Dokumentenpaket-Receipt** (blocked_until_private_storage): Dokumente, Wasserzeichen, Malware-Scan, Ablauf, Access Group und Hash-Manifest geprüft. Owner: Security / Trust Ops - **Viewer-Privacy-Receipt** (required_before_private_beta): Revocation, De-Identifizierung, Update-Abo-Abmeldung und Downstream-Cleanup pro Testviewer belegbar. Owner: Privacy Operations - **Questionnaire-Pilot-Receipt** (required_before_questionnaire_live): Upload/Import, Source Binding, Review Lock, Human Approval und Exportmanifest ohne Kundendaten getestet. Owner: Trust Operations ## Access-Journey-Dry-run - 1. **Invite erzeugen**: Nur Sandbox-Testadresse, Ablaufdatum, Zweck und Request-ID; keine echte E-Mail im Public Export. - 2. **Auth abschließen**: Session-, MFA-/Passwordless- und Revocation-Policy privat auditiert. - 3. **NDA prüfen**: NDA-Version, Sprache und Signaturstatus vor Dokumentfreigabe sichtbar. - 4. **Access Request entscheiden**: Approve/Deny mit Owner, SLA, Grund und Access Group dokumentiert. - 5. **Dokumentzugriff testen**: Signed Link, Watermark, Ablauf, Download-Event und Deny nach Revocation geprüft. - 6. **Cleanup ausführen**: Revocation, De-Identifizierung, Abo-Abmeldung und Downstream-Aufgaben erzeugt. ## NDA-/Legal-Signoff - **Freigegebene Template-Version**: NDA-ID, Sprache, Jurisdiktion, Version und Freigabedatum. Owner: Legal - **Signatur-/Clickwrap-Provider geprüft**: Webhook-Signatur, Auditlog, Viewer-Kopie und Retention. Owner: Legal / Security - **Bypass- und Redline-Policy**: Extern signierte NDAs, Enterprise-Ausnahmen und Redline-Queue. Owner: Legal - **Lokalisierte Fassungen**: DE/EN-Fassung, Originalsprache, Übersetzungsreview und Exportmanifest. Owner: Legal / Localization - **Widerruf und Ablauf**: Ablaufdatum, Revocation-Pfad und erneute Zustimmung bei Material Update. Owner: Trust Operations ## Dokumentenfreigabe - **Malware-Scan vor Freigabe**: Scanner, Zeitpunkt, Ergebnis, Hash; Rohdatei nicht öffentlich. Owner: Security - **Watermark- und Download-Policy**: Viewer-ID privat, Wasserzeichenregel, Ablauf und Downloadlimit. Owner: Trust Operations - **Access-Group-Mapping**: Dokumentpaket, Zielgruppe, NDA-Anforderung und Ablaufdatum. Owner: Trust Operations - **Hash-Manifest**: SHA-256 je Dokument, Version und Release-Zeitpunkt. Owner: Compliance - **Deny nach Revocation**: Test zeigt 403/kein Download nach Widerruf. Owner: Security ## Viewer-Cleanup-Drill - 1. **Revocation auslösen**: Alle aktiven Sessions, Links und Update-Abos des Testviewers werden deaktiviert. - 2. **De-Identifizierung starten**: Viewer-E-Mail/Identifier werden in Public/Analytics-Ausgaben nicht sichtbar. - 3. **Downstream-Aufgaben erzeugen**: CRM, Ticketing, Delivery und Questionnaire-Kontext erhalten Cleanup-Aufgaben. - 4. **Ausnahmegrund prüfen**: Audit-/Legal-Retention bleibt begründet, minimiert und zeitlich begrenzt. - 5. **Receipt exportieren**: Sanitisierter Receipt mit Request-ID, Zeit, Owner und Systemstatus ohne echte Viewer-Daten. ## Questionnaire-Intake-Pilot - **Upload-Sandbox**: Testfragebogen ohne Kundendaten, Dateityp- und Malware-Scan, Retention gesetzt. - **Quellenbindung**: Jede Antwort verweist auf Trust-Dokument, Public Evidence oder Betreiberquelle. - **Review Lock**: Antworten bleiben gesperrt, bis Owner und Reviewer freigeben. - **Redaction Check**: Private Dokumentnamen, Viewer-Daten, Secrets und Kundenfragen werden nicht öffentlich exportiert. - **Portal-Writeback-Dry-run**: Feldallowlist, Operator-Auth, Idempotency und Rollback ohne echte Portal-Credentials. - **Answer-Reuse Policy**: Past Answers nur mit Freshness, Source Scope, Sensitivity und Human Approval wiederverwenden. ## No-Secret-Policy - public_exports_must_not_contain_secrets: ja - no_magic_links_in_json_csv_markdown: ja - no_private_document_urls_in_public_outputs: ja - credentials_only_in_server_environment_or_secret_store: ja - operator_approval_required_before_delivery: ja ## Claim-Grenzen - public_blueprints_are_not_private_access: Öffentliche Trust-Coverage ersetzt keine produktive Besucher-Auth, NDA-Signatur oder private Dokumentzustellung. - questionnaire_answers_require_sources: Questionnaire- und KI-Antworten dürfen ohne belegte Quelle, Review Lock und Human Approval nicht als finale Betreiberantwort verwendet werden. - viewer_data_stays_private: Viewer-E-Mails, Magic Links, Tokens, Engagement-Events und CRM-Kontext bleiben aus öffentlichen JSON/CSV/Markdown-Ausgaben entfernt.