Auth / NDA / Private Dokumente / Questionnaire
Gated-Trust-Readiness für kochcode.de: 10 Go-live-Gates, 7 produktiv blockiert, 2 abhängig von Auth/Dokumenten/Systemen, 1 als öffentlicher Blueprint vorbereitet.
Diese öffentliche Readiness-Seite ist ein Betreiber- und Go-live-Dossier. Sie aktiviert keine Besucher-Auth, keine NDA-Signatur, keine privaten Dokumente, keine Portal-Credentials und keinen Versand.
Go-live-Gates
Domain-Claim mit DNS-, Datei- oder Meta-Tag-Nachweis vorbereiten und Eigentümerschaft vor jeder privaten Freigabe bestätigen.
Ohne Domain-Claim keine privaten Trust-Dokumente, keine Einladungen und keine Betreiberaktionen freigeben.Passwordless Login, Invite-Token, Ablauf, Revocation und Session-Policy produktiv anbinden.
Öffentliche Vorschau darf keine echten Magic Links, E-Mail-Adressen, Invite-Token oder Viewer-Identitäten exportieren.NDA-Texte, Clickwrap-Flow, Signaturprovider, Bypass-Regeln, Redlines und Lokalisierung freigeben.
Keine rechtlich bindenden NDA-Texte automatisch erzeugen oder ohne Freigabe als aktiv anzeigen.Speicher, Malware-Scan, Verschlüsselung, Ablauf, Watermarking, Hash-Manifest und Download-Policy produktiv schalten.
Öffentliche JSON/CSV/Markdown-Exports dürfen keine privaten Dokument-URLs oder Rohdateinamen enthalten.Gruppen, Connection-Zuweisung, Dokumentpakete, Ablauf und Loesch-Fallbacks an echte Auth und Dokumente binden.
Zielgruppen dürfen private Inhalte nicht über Public-, Embed- oder Cache-Pfade freilegen.Revocation, De-Identifizierung, Update-Abo-Abmeldung, CRM-/Ticket-Cleanup und Auditnachweis an echte Viewer-IDs anbinden.
Viewerdaten werden nicht öffentlich angezeigt; Auskunft/Loeschung braucht minimierte, nachvollziehbare Nachweise.Uploads, Portal-Import, Bulk-Fragen, Malware-Scan, Retention, Source-Index und Review-Gates produktiv verbinden.
Fragebögen und Kundenfragen dürfen nicht ungeprüft veröffentlicht oder ohne Quellenbezug beantwortet werden.Credential Vault, Browser-Extension-Policy, Portal-Allowlist, Operator-Auth und Writeback-Freigabe einrichten.
Keine Portal-Credentials im Code, in öffentlichen Exports, Logs oder Browser-Snippets speichern.API-Key-Store, Token-Scopes, Env-Gates, Rate Limits und Deny-Smokes produktiv aktivieren.
Secrets bleiben nur im Server-Environment oder Secret Store; öffentliche Seiten zeigen nur Readiness und Deny-Ergebnisse.Send-From, Empfängergruppen, Templates, Webhooks, HMAC, Retry, Abmeldung und Versandfreigabe produktiv konfigurieren.
Kein Versand aus öffentlichen Blueprints; echte Empfänger und Payloads bleiben aus Exporten entfernt.Trust-/Questionnaire-Coverage
10/10 Trust-/Questionnaire-Coverage-Punkte sind öffentlich belegbar; 9 Punkte bleiben vor produktiver Nutzung an Auth-, NDA-, Storage-, API- oder Delivery-Gates gebunden.
Endanwender und Betreiber sehen öffentliche Datenschutz-, Sicherheits-, Anbieter- und Nachweisbausteine mit klaren Links.
Öffentliche Inhalte bleiben von privaten Dokumenten, Magic Links und Viewer-Identitäten getrennt.Private Ressourcen, Ablauf, Wasserzeichen, Download-Policy und Exportmanifest sind als Betreiberpfad beschrieben.
Keine privaten Dokument-URLs, Rohdateinamen oder Downloadtokens in öffentlichen Exporten.Approve/Deny, NDA-Option, Ablaufdatum, Revocation und Zustellgates sind öffentlich nachvollziehbar modelliert.
Echte Requests brauchen Auth, Rollen, Auditlog und Missbrauchsschutz; öffentliche Fixtures enthalten keine echten Besucher.Viewer-Daten, Update-Abos, CRM-/Ticket-Cleanup und Löschpfad sind als Datenschutz-Gate sichtbar.
Viewer-IDs, E-Mail-Adressen, Magic Links und Engagement-Events werden nicht öffentlich exportiert.Datei-, Bulk-Fragen-, Portal- und Link-Kontext sind als Intake-Pfade mit Source-Index, Malware-Scan und Retention beschrieben.
Uploads und Kundenfragen werden ohne Review, Quellenbindung und Retention-Regel nicht produktiv verarbeitet.Status-Lanes, Assignees, Quellenpanel, Confidence-Gate, Locking, Flagging und Human Approval sind exportierbar.
KI- oder Template-Antworten gelten nur nach Quellenprüfung und menschlicher Freigabe als verwendbar.CSV/Originalformat/Portal-/Ticket-Writeback werden mit Preview, Manifest, Feldallowlist und Auditspur begrenzt.
Writeback überschreibt keine Portalwerte ohne Operator-Auth, Review Lock und explizite Feldfreigabe.Antwortmodus, Red-Flag-Erkennung, Quellenpflicht, Sprachregeln und Fallback an Trust Owner sind dokumentiert.
Keine unbelegten Rechts-, Sicherheits- oder Zertifizierungsclaims; bei fehlender Quelle wird eskaliert statt erfunden.Betreiber können öffentliche, approved, gruppenspezifische und interne Sichtweisen als Preview-/Segmentmodell prüfen.
Gruppenzuordnung und interne Berechtigungen werden nicht an Besucher oder öffentliche Exporte geleakt.Einladungen, Updates, Slack/Teams/Webhooks, Retry, Unsubscribe und HMAC-Grenzen sind als Delivery-Vertrag sichtbar.
Kein Versand, keine Empfänger und keine Payload-Secrets aus öffentlichen Blueprints.Aktivierungsreihenfolge
Private-Beta-Abnahme
Diese Abnahme modelliert die komplette private Trust-Reise ohne echte Magic Links, echte Besucher-E-Mails, private Dokument-URLs, Portal-Credentials oder Live-Versand.
Isolierter Test-Viewer · required_before_private_beta
Externe Testidentität ohne echte Kundendaten, Magic-Link nur in privater Sandbox, Ablaufzeit dokumentiert.Domain-Claim Receipt · ready_blueprint
DNS/File/Meta-Nachweis mit Zeitstempel, Host und Reviewer vor jeder Einladung.NDA-/Clickwrap-Receipt · blocked_until_legal_provider
Version, Sprache, Signaturereignis, Bypass-Regel und Retention vor Dokumentzugriff freigegeben.Dokumentenpaket-Receipt · blocked_until_private_storage
Dokumente, Wasserzeichen, Malware-Scan, Ablauf, Access Group und Hash-Manifest geprüft.Viewer-Privacy-Receipt · required_before_private_beta
Revocation, De-Identifizierung, Update-Abo-Abmeldung und Downstream-Cleanup pro Testviewer belegbar.Questionnaire-Pilot-Receipt · required_before_questionnaire_live
Upload/Import, Source Binding, Review Lock, Human Approval und Exportmanifest ohne Kundendaten getestet.Invite erzeugen
Nur Sandbox-Testadresse, Ablaufdatum, Zweck und Request-ID; keine echte E-Mail im Public Export.Auth abschließen
Session-, MFA-/Passwordless- und Revocation-Policy privat auditiert.NDA prüfen
NDA-Version, Sprache und Signaturstatus vor Dokumentfreigabe sichtbar.Access Request entscheiden
Approve/Deny mit Owner, SLA, Grund und Access Group dokumentiert.Dokumentzugriff testen
Signed Link, Watermark, Ablauf, Download-Event und Deny nach Revocation geprüft.Cleanup ausführen
Revocation, De-Identifizierung, Abo-Abmeldung und Downstream-Aufgaben erzeugt.Freigegebene Template-Version
NDA-ID, Sprache, Jurisdiktion, Version und Freigabedatum.Signatur-/Clickwrap-Provider geprüft
Webhook-Signatur, Auditlog, Viewer-Kopie und Retention.Bypass- und Redline-Policy
Extern signierte NDAs, Enterprise-Ausnahmen und Redline-Queue.Lokalisierte Fassungen
DE/EN-Fassung, Originalsprache, Übersetzungsreview und Exportmanifest.Widerruf und Ablauf
Ablaufdatum, Revocation-Pfad und erneute Zustimmung bei Material Update.Malware-Scan vor Freigabe
Scanner, Zeitpunkt, Ergebnis, Hash; Rohdatei nicht öffentlich.Watermark- und Download-Policy
Viewer-ID privat, Wasserzeichenregel, Ablauf und Downloadlimit.Access-Group-Mapping
Dokumentpaket, Zielgruppe, NDA-Anforderung und Ablaufdatum.Hash-Manifest
SHA-256 je Dokument, Version und Release-Zeitpunkt.Deny nach Revocation
Test zeigt 403/kein Download nach Widerruf.Revocation auslösen
Alle aktiven Sessions, Links und Update-Abos des Testviewers werden deaktiviert.De-Identifizierung starten
Viewer-E-Mail/Identifier werden in Public/Analytics-Ausgaben nicht sichtbar.Downstream-Aufgaben erzeugen
CRM, Ticketing, Delivery und Questionnaire-Kontext erhalten Cleanup-Aufgaben.Ausnahmegrund prüfen
Audit-/Legal-Retention bleibt begründet, minimiert und zeitlich begrenzt.Receipt exportieren
Sanitisierter Receipt mit Request-ID, Zeit, Owner und Systemstatus ohne echte Viewer-Daten.Upload-Sandbox
Testfragebogen ohne Kundendaten, Dateityp- und Malware-Scan, Retention gesetzt.Quellenbindung
Jede Antwort verweist auf Trust-Dokument, Public Evidence oder Betreiberquelle.Review Lock
Antworten bleiben gesperrt, bis Owner und Reviewer freigeben.Redaction Check
Private Dokumentnamen, Viewer-Daten, Secrets und Kundenfragen werden nicht öffentlich exportiert.Portal-Writeback-Dry-run
Feldallowlist, Operator-Auth, Idempotency und Rollback ohne echte Portal-Credentials.Answer-Reuse Policy
Past Answers nur mit Freshness, Source Scope, Sensitivity und Human Approval wiederverwenden.No-Secret-Policy
Claim-Grenzen