# Gated Trust Readiness fuer kufermedia.de

Gated-Trust-Readiness für kufermedia.de: 10 Go-live-Gates, 7 produktiv blockiert, 2 abhängig von Auth/Dokumenten/Systemen, 1 als öffentlicher Blueprint vorbereitet.

> Diese öffentliche Readiness-Seite ist ein Betreiber- und Go-live-Dossier. Sie aktiviert keine Besucher-Auth, keine NDA-Signatur, keine privaten Dokumente, keine Portal-Credentials und keinen Versand.

## Go-live-Gates
- [ ] **Betreiber-Domain verifizieren** (ready_blueprint, Betreiber / DNS Owner): Domain-Claim mit DNS-, Datei- oder Meta-Tag-Nachweis vorbereiten und Eigentümerschaft vor jeder privaten Freigabe bestätigen.
- [ ] **Besucher-Auth und Einladungen aktivieren** (blocked_external_integration, Product Engineering / Identity): Passwordless Login, Invite-Token, Ablauf, Revocation und Session-Policy produktiv anbinden.
- [ ] **NDA und Clickwrap rechtlich freigeben** (blocked_legal_and_provider, Legal / Trust Operations): NDA-Texte, Clickwrap-Flow, Signaturprovider, Bypass-Regeln, Redlines und Lokalisierung freigeben.
- [ ] **Private Dokumente sicher speichern** (blocked_storage_security, Security / Platform): Speicher, Malware-Scan, Verschlüsselung, Ablauf, Watermarking, Hash-Manifest und Download-Policy produktiv schalten.
- [ ] **Access Groups und Zielgruppen paketieren** (pending_auth_and_docs, Trust Operations): Gruppen, Connection-Zuweisung, Dokumentpakete, Ablauf und Loesch-Fallbacks an echte Auth und Dokumente binden.
- [ ] **Viewer-Datenschutz und Löschpfad aktivieren** (pending_downstream_systems, Privacy Operations): Revocation, De-Identifizierung, Update-Abo-Abmeldung, CRM-/Ticket-Cleanup und Auditnachweis an echte Viewer-IDs anbinden.
- [ ] **Questionnaire Intake produktiv absichern** (blocked_upload_processing, Trust Operations / Security): Uploads, Portal-Import, Bulk-Fragen, Malware-Scan, Retention, Source-Index und Review-Gates produktiv verbinden.
- [ ] **Portal- und Browser-Automation freigeben** (blocked_credential_vault, Security / Customer Success): Credential Vault, Browser-Extension-Policy, Portal-Allowlist, Operator-Auth und Writeback-Freigabe einrichten.
- [ ] **API-Key-Store und Runtime-Gates schließen** (blocked_secret_runtime, Platform / Security): API-Key-Store, Token-Scopes, Env-Gates, Rate Limits und Deny-Smokes produktiv aktivieren.
- [ ] **Einladungen und Benachrichtigungen versenden** (blocked_delivery_approval, Operations / Legal): Send-From, Empfängergruppen, Templates, Webhooks, HMAC, Retry, Abmeldung und Versandfreigabe produktiv konfigurieren.

## Trust-/Questionnaire-Coverage
10/10 Trust-/Questionnaire-Coverage-Punkte sind öffentlich belegbar; 9 Punkte bleiben vor produktiver Nutzung an Auth-, NDA-, Storage-, API- oder Delivery-Gates gebunden.
- **Öffentliches Trust Center und Share Pack** (covered, Gate: none): Endanwender und Betreiber sehen öffentliche Datenschutz-, Sicherheits-, Anbieter- und Nachweisbausteine mit klaren Links. Evidence: https://saferpage.de/trust/kufermedia.de/share-json
- **Kontrollierter Datenraum-Blueprint** (covered, Gate: private_document_storage): Private Ressourcen, Ablauf, Wasserzeichen, Download-Policy und Exportmanifest sind als Betreiberpfad beschrieben. Evidence: https://saferpage.de/datenraum/kufermedia.de/export
- **Access Requests, Approval, Revocation und Ablauf** (covered, Gate: visitor_auth): Approve/Deny, NDA-Option, Ablaufdatum, Revocation und Zustellgates sind öffentlich nachvollziehbar modelliert. Evidence: https://saferpage.de/datenraum/kufermedia.de/zugriffe-json
- **Viewer-Datenschutz, Löschung und De-Identifizierung** (covered, Gate: viewer_privacy_cleanup): Viewer-Daten, Update-Abos, CRM-/Ticket-Cleanup und Löschpfad sind als Datenschutz-Gate sichtbar. Evidence: https://saferpage.de/trust/kufermedia.de/viewer-datenschutz-json
- **Questionnaire Intake mit Quellenbindung** (covered, Gate: questionnaire_intake): Datei-, Bulk-Fragen-, Portal- und Link-Kontext sind als Intake-Pfade mit Source-Index, Malware-Scan und Retention beschrieben. Evidence: https://saferpage.de/trust/kufermedia.de/questionnaire-intake-json
- **Questionnaire Review, Kollaboration und Approval** (covered, Gate: questionnaire_intake): Status-Lanes, Assignees, Quellenpanel, Confidence-Gate, Locking, Flagging und Human Approval sind exportierbar. Evidence: https://saferpage.de/trust/kufermedia.de/fragebogen-review-json
- **Questionnaire Export, Manifest und Writeback-Grenzen** (covered, Gate: portal_automation): CSV/Originalformat/Portal-/Ticket-Writeback werden mit Preview, Manifest, Feldallowlist und Auditspur begrenzt. Evidence: https://saferpage.de/trust/kufermedia.de/fragebogen-export-json
- **Trust-AI-Antworten mit Quellen und Guardrails** (covered, Gate: api_key_runtime): Antwortmodus, Red-Flag-Erkennung, Quellenpflicht, Sprachregeln und Fallback an Trust Owner sind dokumentiert. Evidence: https://saferpage.de/trust/kufermedia.de/ki-agent-json
- **Audience Preview und Access Groups** (covered, Gate: access_groups): Betreiber können öffentliche, approved, gruppenspezifische und interne Sichtweisen als Preview-/Segmentmodell prüfen. Evidence: https://saferpage.de/trust/kufermedia.de/vorschau-json
- **Trust-Kommunikation, Updates und Zustellung** (covered, Gate: delivery_notifications): Einladungen, Updates, Slack/Teams/Webhooks, Retry, Unsubscribe und HMAC-Grenzen sind als Delivery-Vertrag sichtbar. Evidence: https://saferpage.de/trust/kufermedia.de/kommunikation-json

## Aktivierungsreihenfolge
1. Betreiber-Domain verifizieren
2. Auth, Sessions, Einladungen und Revocation testen
3. Storage, Malware-Scan, Signed Links und NDA freigeben
4. Dokumentpakete und Zielgruppen gegen Preview testen
5. Viewer-Datenschutz, Löschung und Downstream-Cleanup prüfen
6. Questionnaire Intake mit Quellenbindung und Review-Gates aktivieren
7. Versand, Webhooks, HMAC und Abmeldung produktiv freigeben
8. Secret-/API-Gates und Deny-Smokes vor Go-live grün schalten

## Private-Beta-Abnahme
- **Isolierter Test-Viewer** (required_before_private_beta): Externe Testidentität ohne echte Kundendaten, Magic-Link nur in privater Sandbox, Ablaufzeit dokumentiert. Owner: Trust Operations
- **Domain-Claim Receipt** (ready_blueprint): DNS/File/Meta-Nachweis mit Zeitstempel, Host und Reviewer vor jeder Einladung. Owner: Betreiber / DNS Owner
- **NDA-/Clickwrap-Receipt** (blocked_until_legal_provider): Version, Sprache, Signaturereignis, Bypass-Regel und Retention vor Dokumentzugriff freigegeben. Owner: Legal
- **Dokumentenpaket-Receipt** (blocked_until_private_storage): Dokumente, Wasserzeichen, Malware-Scan, Ablauf, Access Group und Hash-Manifest geprüft. Owner: Security / Trust Ops
- **Viewer-Privacy-Receipt** (required_before_private_beta): Revocation, De-Identifizierung, Update-Abo-Abmeldung und Downstream-Cleanup pro Testviewer belegbar. Owner: Privacy Operations
- **Questionnaire-Pilot-Receipt** (required_before_questionnaire_live): Upload/Import, Source Binding, Review Lock, Human Approval und Exportmanifest ohne Kundendaten getestet. Owner: Trust Operations

## Access-Journey-Dry-run
- 1. **Invite erzeugen**: Nur Sandbox-Testadresse, Ablaufdatum, Zweck und Request-ID; keine echte E-Mail im Public Export.
- 2. **Auth abschließen**: Session-, MFA-/Passwordless- und Revocation-Policy privat auditiert.
- 3. **NDA prüfen**: NDA-Version, Sprache und Signaturstatus vor Dokumentfreigabe sichtbar.
- 4. **Access Request entscheiden**: Approve/Deny mit Owner, SLA, Grund und Access Group dokumentiert.
- 5. **Dokumentzugriff testen**: Signed Link, Watermark, Ablauf, Download-Event und Deny nach Revocation geprüft.
- 6. **Cleanup ausführen**: Revocation, De-Identifizierung, Abo-Abmeldung und Downstream-Aufgaben erzeugt.

## NDA-/Legal-Signoff
- **Freigegebene Template-Version**: NDA-ID, Sprache, Jurisdiktion, Version und Freigabedatum. Owner: Legal
- **Signatur-/Clickwrap-Provider geprüft**: Webhook-Signatur, Auditlog, Viewer-Kopie und Retention. Owner: Legal / Security
- **Bypass- und Redline-Policy**: Extern signierte NDAs, Enterprise-Ausnahmen und Redline-Queue. Owner: Legal
- **Lokalisierte Fassungen**: DE/EN-Fassung, Originalsprache, Übersetzungsreview und Exportmanifest. Owner: Legal / Localization
- **Widerruf und Ablauf**: Ablaufdatum, Revocation-Pfad und erneute Zustimmung bei Material Update. Owner: Trust Operations

## Dokumentenfreigabe
- **Malware-Scan vor Freigabe**: Scanner, Zeitpunkt, Ergebnis, Hash; Rohdatei nicht öffentlich. Owner: Security
- **Watermark- und Download-Policy**: Viewer-ID privat, Wasserzeichenregel, Ablauf und Downloadlimit. Owner: Trust Operations
- **Access-Group-Mapping**: Dokumentpaket, Zielgruppe, NDA-Anforderung und Ablaufdatum. Owner: Trust Operations
- **Hash-Manifest**: SHA-256 je Dokument, Version und Release-Zeitpunkt. Owner: Compliance
- **Deny nach Revocation**: Test zeigt 403/kein Download nach Widerruf. Owner: Security

## Viewer-Cleanup-Drill
- 1. **Revocation auslösen**: Alle aktiven Sessions, Links und Update-Abos des Testviewers werden deaktiviert.
- 2. **De-Identifizierung starten**: Viewer-E-Mail/Identifier werden in Public/Analytics-Ausgaben nicht sichtbar.
- 3. **Downstream-Aufgaben erzeugen**: CRM, Ticketing, Delivery und Questionnaire-Kontext erhalten Cleanup-Aufgaben.
- 4. **Ausnahmegrund prüfen**: Audit-/Legal-Retention bleibt begründet, minimiert und zeitlich begrenzt.
- 5. **Receipt exportieren**: Sanitisierter Receipt mit Request-ID, Zeit, Owner und Systemstatus ohne echte Viewer-Daten.

## Questionnaire-Intake-Pilot
- **Upload-Sandbox**: Testfragebogen ohne Kundendaten, Dateityp- und Malware-Scan, Retention gesetzt.
- **Quellenbindung**: Jede Antwort verweist auf Trust-Dokument, Public Evidence oder Betreiberquelle.
- **Review Lock**: Antworten bleiben gesperrt, bis Owner und Reviewer freigeben.
- **Redaction Check**: Private Dokumentnamen, Viewer-Daten, Secrets und Kundenfragen werden nicht öffentlich exportiert.
- **Portal-Writeback-Dry-run**: Feldallowlist, Operator-Auth, Idempotency und Rollback ohne echte Portal-Credentials.
- **Answer-Reuse Policy**: Past Answers nur mit Freshness, Source Scope, Sensitivity und Human Approval wiederverwenden.

## No-Secret-Policy
- public_exports_must_not_contain_secrets: ja
- no_magic_links_in_json_csv_markdown: ja
- no_private_document_urls_in_public_outputs: ja
- credentials_only_in_server_environment_or_secret_store: ja
- operator_approval_required_before_delivery: ja

## Claim-Grenzen
- public_blueprints_are_not_private_access: Öffentliche Trust-Coverage ersetzt keine produktive Besucher-Auth, NDA-Signatur oder private Dokumentzustellung.
- questionnaire_answers_require_sources: Questionnaire- und KI-Antworten dürfen ohne belegte Quelle, Review Lock und Human Approval nicht als finale Betreiberantwort verwendet werden.
- viewer_data_stays_private: Viewer-E-Mails, Magic Links, Tokens, Engagement-Events und CRM-Kontext bleiben aus öffentlichen JSON/CSV/Markdown-Ausgaben entfernt.