Von Grund auf sicher
Bestimme, wo deine Daten gespeichert werden, erzwinge SSO und rollenbasierten Zugriff, steuere Veröffentlichungen mit Freigaben und verhindere, dass dein Code und deine Eingaben für Modelltraining verwendet werden.
Enterprise-Sicherheitskontrollen
Zugriff und Kontrolle
Lovable lässt sich mit SAML- und OIDC-Anbietern wie Okta, Azure AD und Google integrieren. SCIM unterstützt die automatisierte Bereitstellung und Entfernung von Zugängen. Berechtigungen sind rollenbasiert und werden serverseitig für das Ansehen, Bearbeiten, Freigeben und Veröffentlichen durchgesetzt.
Schutzmechanismen für Erstellung und Veröffentlichung
Bearbeiten, Freigeben und Veröffentlichen sind separate Berechtigungen. Der öffentliche Zugriff wird über Rollen- und Umgebungseinstellungen gesteuert, sodass Teams schnell vorankommen, ohne eine versehentliche Offenlegung zu riskieren.
Geheime Werte werden sicher verwaltet
Geheime Werte werden im Ruhezustand verschlüsselt und der Zugriff wird rollenbasiert gesteuert. Sie werden nicht im Klartext in Protokollen oder Oberflächen offengelegt. Der Zugriff ist auf autorisierte Umgebungen und Aktionen beschränkt.
Datenresidenz
Lovable Cloud unterstützt regionales Daten-Hosting in der EU, den USA und Australien. Kundendaten verbleiben in der von Ihnen gewählten Region und werden standardmäßig nicht zwischen Regionen verschoben. Wir sind transparent in Bezug auf unsere Infrastruktur und Unterauftragsverarbeiter, sodass Sie jederzeit wissen, wo Ihre Daten liegen und wie sie verarbeitet werden.
Ihre Daten werden nicht zum Trainieren von Modellen verwendet
Wir verwenden keine Kundenprompts, keinen Code und keine Arbeitsbereichsdaten, um Lovable-Modelle zu trainieren. Wenn wir mit KI-Anbietern zusammenarbeiten, beschränken vertragliche Vereinbarungen das Training und die Speicherung von Kundendaten. Ihre Arbeit bleibt Ihre Arbeit.
Isolierung von Grund auf
Jeder Workspace und jedes Projekt ist logisch getrennt. Kundendaten sind nicht kontoübergreifend zugänglich. Umgebungsgrenzen sind explizit definiert und werden vor der Veröffentlichung von Änderungen geprüft, um die Trennung zwischen Entwicklung und Produktion sicherzustellen.
Kontinuierliche Überwachung & Missbrauchserkennung
Lovable überwacht die Plattformaktivität kontinuierlich auf Missbrauch, anomales Verhalten und Kompromittierung. Automatisierte Systeme setzen Ratenbegrenzungen durch und erkennen Missbrauch über Nutzer und Arbeitsbereiche hinweg, wobei risikoreiche Aktivitäten von unserem Vertrauens- und Sicherheitsteam überprüft werden.
Automatische Sicherheitsscans
Lovable führt bei jeder Veröffentlichung automatisch einen einfachen Sicherheitsscan durch, der Datenbankkonfigurationen, RLS-Regeln, Cloud-Projekteinstellungen und bekannte Fehlkonfigurationsmuster in etwa 10–15 Sekunden überprüft. Für eine umfassendere Abdeckung steht der umfassende Sicherheitsscan bei Bedarf zur Verfügung und dauert etwa 3 Minuten. Arbeitsbereichsadministratoren können die automatische Behebung aktivieren, damit der Agent nicht beeinträchtigende Befunde während einfacher Scans behebt, und können die Veröffentlichung bei kritischen Befunden blockieren. Business- und Enterprise-Arbeitsbereiche können wiederkehrende umfassende Scans über alle Projekte hinweg planen.
Geschützte Infrastruktur
Lovable Cloud wird durch Web Application Firewall (WAF), Netzwerkisolierung, verschlüsselte Datenspeicherung und adaptive Ratenbegrenzung auf IP-, Nutzer- und Workspace-Ebene geschützt.
Sicherheit für Gründer
KI-Penetrationstests
Erhalten Sie einen auditfähigen Bericht für SOC 2, ISO 27001 und die Due-Diligence-Prüfung von Investoren, der die Sicherheit Ihrer App belegt.
Mehr erfahren
Ihr Sicherheitsleitfaden für Gründerinnen und Gründer mit Lovable
Worauf Investoren bei einer technischen Due-Diligence-Prüfung tatsächlich achten – und wie Sie sie bestehen.
Finde Schwachstellen, bevor sie ausgenutzt werden
Vor jeder Veröffentlichung läuft automatisch ein einfacher Sicherheitsscan. Führe bei Bedarf einen KI-gestützten Tiefenscan durch, um deine gesamte Codebasis zu analysieren. Abhängigkeitsprüfungen laufen kontinuierlich im Hintergrund, während du entwickelst.
Regelkonform und zertifiziert
Frequently asked questions
Wo werden Kundendaten gespeichert?
Kundendaten werden in Lovable Cloud in unterstützten Regionen gehostet, darunter die EU, die USA und Australien. Die Datenresidenz ist regionsspezifisch und Daten werden standardmäßig nicht zwischen Regionen verschoben.
Werden Kundendaten zum Trainieren von KI verwendet?
Nein. Kundenprompts, Code und Arbeitsbereichsdaten werden nicht zum Trainieren von Lovable-Modellen verwendet. Wo KI-Anbieter von Drittanbietern eingesetzt werden, beschränken vertragliche Vereinbarungen das Training und die Speicherung von Kundendaten.
Ist Lovable mandantenfähig, und wie werden Kundendaten isoliert?
Lovable ist eine mandantenfähige Plattform mit logischer Isolierung zwischen Arbeitsbereichen und Projekten. Kundendaten sind kontoübergreifend nicht zugänglich. Die Isolierungskontrollen werden sowohl auf Anwendungs- als auch auf Infrastrukturebene durchgesetzt.
Welche Unterauftragsverarbeiter nutzt Lovable?
Lovable arbeitet mit einer begrenzten Anzahl von Infrastruktur- und KI-Unterauftragsverarbeitern zusammen. Alle Unterauftragsverarbeiter sind durch vertragliche Datenschutzvereinbarungen abgedeckt. Eine aktuelle Liste der Unterauftragsverarbeiter ist auf Anfrage erhältlich.
Greift Lovable auf unseren Quellcode zu oder klont ihn?
Nein. Lovable klont keine Git-Repositorys von Kunden, greift nicht auf den Anwendungscode in Ihren Umgebungen zu und benötigt keinen internen CI/CD-Zugriff. Ihr Quellcode, Ihre Repositorys und Ihre Produktionsinfrastruktur bleiben innerhalb des bestehenden Sicherheitsperimeters Ihres Unternehmens. Lovable setzt keine Agenten in Produktionsumgebungen von Kunden ein und richtet keine eingehenden Netzwerkverbindungen ein.
Benötigt Lovable Zugriff auf unsere CI/CD-Pipelines oder unsere Produktionsinfrastruktur?
Nein. Lovable benötigt keinen direkten Zugriff auf die CI/CD-Pipelines oder die Produktionsinfrastruktur von Kunden. Es setzt keine Agenten in Produktionsumgebungen ein und richtet keine eingehenden Netzwerkverbindungen ein. Alle Integrationen arbeiten innerhalb definierter Berechtigungsgrenzen.
Wie werden Veröffentlichungskontrollen durchgesetzt?
Veröffentlichungsberechtigungen werden serverseitig durchgesetzt und können nicht über clientseitige Anfragen umgangen werden. Bearbeiten, Genehmigen und Veröffentlichen sind getrennte rollenbasierte Berechtigungen. Die Veröffentlichung in der Produktion kann eine ausdrückliche Genehmigung erfordern, und alle Veröffentlichungsereignisse werden mit Benutzerzuordnung protokolliert.
Wie setzt Lovable die rollenbasierte Zugriffskontrolle (RBAC) durch?
Lovable lässt sich mit SAML- und OIDC-Identitätsanbietern integrieren und unterstützt SCIM für die automatisierte Bereitstellung und Deprovisionierung. Der Zugriff ist rollenbasiert, mit explizit definierten Berechtigungen für das Anzeigen, Bearbeiten, Genehmigen und Veröffentlichen. Alle Autorisierungsprüfungen werden serverseitig zum Zeitpunkt der Anfrage ausgewertet.
Unterstützt Lovable den Zugriff nach dem Least-Privilege-Prinzip?
Ja. Lovable unterstützt den Zugriff nach dem Least-Privilege-Prinzip durch rollenbasierte Berechtigungen und die Integration mit Identitätsanbietern für Unternehmen. Organisationen können granulare Rollen für das Bearbeiten, Genehmigen und Veröffentlichen definieren und so sicherstellen, dass Benutzer nur den Zugriff erhalten, der für ihre Aufgaben erforderlich ist. Die Zugriffsrichtlinien richten sich nach den Identitäts- und Arbeitsbereichskonfigurationen der Organisation.
Wie werden geheime Werte und API-Anmeldedaten verwaltet?
Geheime Werte werden im Ruhezustand verschlüsselt und auf bestimmte Umgebungen beschränkt. Der Zugriff auf geheime Werte ist rollengesteuert und überprüfbar. Geheime Werte können ausgetauscht oder widerrufen werden, ohne dass eine vollständige Neubereitstellung des Systems erforderlich ist. Integrationen werden innerhalb vordefinierter Berechtigungsgrenzen ausgeführt, um eine unbeabsichtigte Offenlegung von Anmeldedaten zu reduzieren.
Führt Lovable automatische Sicherheitsscans durch?
Ja. Ein einfacher Sicherheitsscan läuft bei jeder Veröffentlichung automatisch und umfasst Datenbankkonfigurationen, RLS-Richtlinien und Cloud-Projekteinstellungen (~10–15 Sekunden). Ein umfassender Sicherheitsscan steht bei Bedarf zur Verfügung und analysiert Ihre gesamte Codebasis (~3 Minuten). Arbeitsbereichsadministratoren können die automatische Behebung aktivieren, damit der Agent nicht beeinträchtigende Befunde automatisch behebt, und können festlegen, dass die Veröffentlichung bei kritischen Problemen blockiert wird. Abhängigkeitsprüfungen laufen kontinuierlich im Hintergrund bei jeder Bearbeitung. Business- und Enterprise-Administratoren können wiederkehrende umfassende Scans über alle Arbeitsbereichsprojekte hinweg planen.
Ist Lovable SOC 2- oder DSGVO-konform?
Lovable unterstützt die Anforderungen von SOC 2 und DSGVO und stellt Sicherheitsdokumentation sowie Datenschutzvereinbarungen für die Prüfung durch Unternehmen bereit.
