Sicherheit bei BillyBox
Wie wir Ihre E-Mails, Rechnungen und Zugangsdaten behandeln.
Zuletzt geprüft: Juni 2026
Von Google für Gmail-Zugriff verifiziert
BillyBox hat die OAuth-Sicherheitsprüfung von Google sowie eine unabhängige CASA-Tier-2-Bewertung bestanden. Gmail-Zugriff schreibgeschützt, AES-256-GCM-Verschlüsselung der Zugangsdaten, Hosting in der EU.
Unabhängiges Audit
BillyBox hat die CASA-Tier-2-Sicherheitsbewertung von TAC Security bestanden. Das Audit umfasste die Anwendungssicherheit (OWASP ASVS), die Datenverarbeitung und die Begründung der OAuth-Scopes. Dieselbe Bewertung liegt unserer Google-OAuth-Verifizierung zugrunde.
TAC Security besuchenVerschlüsselung
E-Mail-Zugangsdaten und OAuth-Refresh-Tokens werden im Ruhezustand mit AES-256-GCM verschlüsselt. Der gesamte Datenverkehr läuft über TLS 1.2+. Datenbank und Objektspeicher verschlüsseln Daten standardmäßig im Ruhezustand.
Zugriffskontrolle
Jede:r Nutzer:in hat eine persönliche JWT-Sitzung (Access-Token 30 Min., Refresh 7 Tage). Rechnungen, Anhänge und E-Mail-Zugangsdaten sind an Ihre Nutzerzeile gebunden — keine geteilten Arbeitsbereiche, kein Admin-Browse-Zugriff, keine Analyse der Dokumentinhalte.
Hosting & Datenresidenz
Anwendung und Datenbank laufen in der EU-Region von Railway. PDF- und Bildanhänge werden auf Cloudflare R2 (EU) gespeichert. Im Normalbetrieb verlassen keine Daten die EU.
Datenverarbeitung
Schreibgeschützte Gmail-/Outlook-Scopes — BillyBox kann Ihre E-Mails weder senden, ändern noch löschen. Nur rechnungsrelevante Nachrichten und deren Anhänge werden gespeichert; der Rest wird nach dem Abruf verworfen. Sie können jedes Postfach trennen oder Ihr Konto jederzeit löschen.
Sicherheitslücke melden
Senden Sie Details an security@billybox.app. Wir bestätigen den Eingang in der Regel innerhalb von zwei Werktagen.