Trust

Wir fragen niemals nach deinem Operator-Backoffice-Passwort.

Diese Seite ist die lange Fassung — Verschlüsselung, Audit-Log, Admin-Zugriff und der Compliance-Pfad, auf dem wir sind.

Zuletzt aktualisiert: 2026-05-19

Methodik lesen

Arbeitsentwurf. Der endgültige Wortlaut dieser Seite steht unter externem juristischem Vorbehalt und kann sich ohne Vorankündigung ändern. Technische Zusagen sind an Auslieferungs-Meilensteine gebunden — siehe Compliance-Fahrplan unten.

01

Drei Dinge, die Affiliates beschäftigen — und was wir dagegen tun.

Erst die ehrliche Einordnung. Details darunter.

Ein Datenleck legt meine Deal-Konditionen und Auszahlungshistorie offen.

Sensible Credential- und Auszahlungsfelder sind so konzipiert, dass sie über AWS KMS Frankfurt mit Per-Record-Datenschlüsseln envelope-verschlüsselt werden. Wenn ein Snapshot ohne die relevanten Schlüssel abfließt, sollten die Daten nicht lesbar sein; jede Benachrichtigungsentscheidung hängt trotzdem vom konkreten Sachverhalt und dem anwendbaren Recht ab.

Ein Aggregator speichert mein Operator-Backoffice-Passwort und wird gehackt.

Wir fragen nicht nach diesem Passwort. Wir integrieren, wo möglich, über Postback-URLs und Read-only-API-Keys, sodass Passwort-Kompromittierungen bewusst außerhalb des BetLink-Credential-Modells liegen.

Ein Angreifer leert den Auszahlungstopf oder schreibt meine Wallet-Adresse um.

Änderungen der Auszahlungsadresse sind durch Step-up-MFA und einen Vierundzwanzig-Stunden-Cooldown gesichert. Jede Änderung soll in deinem Audit-Log sichtbar sein. Wir machen Mittelbewegungen in deinem Namen nicht ohne schriftliche, out-of-band verifizierbare Anweisung rückgängig.

02

Wie Verschlüsselung hier wirklich funktioniert.

Klartext-Zusammenfassung; das technische Briefing wird in den Compliance-Evidenzunterlagen geführt.

  • Sensible Credential- und Auszahlungsfelder — Operator-API-Keys, Postback-HMAC-Secrets, Payment-Rail-Token, KYC-Index — sind so konzipiert, dass sie über ein hybrides Envelope-Verfahren gewrappt werden. Die vorgesehene Schlüsselwurzel liegt in AWS KMS, Region Frankfurt (eu-central-1).
  • Jeder einzelne Datensatz trägt seinen eigenen Data-Encryption-Key (DEK). Der DEK wird beim Schreiben erzeugt, einmal verwendet und verworfen. Der verschlüsselte DEK liegt neben dem Chiffrat; der KEK verlässt KMS nie.
  • EncryptionContext (AAD) bei jedem Wrap enthält Workspace-ID, Credential-ID und Zweck-Tag. Ein DEK, der für einen Tenant gewrappt wurde, lässt sich gegen den Kontext eines anderen Tenants kryptografisch nicht entpacken. Erzwungen durch das Krypto-Protokoll, nicht durch Anwendungscode.
  • Die KEK-Rotation läuft automatisch im Ein-Jahres-Takt. Per-Record-DEKs werden nie rotiert — jeder Datensatz trägt ab Tag eins seinen eigenen Schlüssel, womit Rotation hier zum Nicht-Ereignis wird.

Supabase Vault setzen wir ausschließlich für unsere eigenen Infrastruktur-Secrets ein. Kundendaten laufen dort nicht durch, weil der Vault-Master-Key bei Supabase-Personal liegt. Das Hybrid-Envelope hält die Master-Wurzel auf unserer Seite der Vertrauensgrenze.

03

Ein Audit-Log in Echtzeit, das du tatsächlich lesen kannst.

Jede Entschlüsselung, jede Credential-Änderung, jeder Admin-Zugriff — sichtbar für dich, prüfbar und exportierbar.

  • Jede sicherheitsrelevante Operation schreibt eine Zeile in eine Workspace-eigene audit_events-Tabelle — Credential hinzugefügt, Credential für Postback-Dispatch entschlüsselt, Auszahlungsadresse geändert, MFA-Challenge ausgelöst, Admin-Investigation.
  • Zeilen sind HMAC-verkettet: Jede Zeile trägt einen MAC der Vorgängerzeile. Wird im Nachhinein etwas umgeschrieben, bricht die Kette bei der nächsten Prüfung.
  • Einmal pro Stunde soll der Ketten-Head signiert und in unveränderlichem EU-Objektspeicher verankert werden. Die signierte Wurzel bedeutet: rückwirkende Änderungen sollten Verifikationsspuren hinterlassen.
  • IP-Adressen im Log werden über einen Per-Tenant-HMAC pseudonymisiert. Wenn du dein Konto schließt, wird der Tenant-Schlüssel kryptografisch zerstört. Die Kette bleibt prüfbar; die IPs werden unkorrelierbar. Genau das macht das Log mit Art. 17 DSGVO vereinbar, obwohl es unveränderlich ist.

Du siehst dein Audit-Log live unter /settings/audit und kannst es als signiertes JSON exportieren. Ziel ist, Credential- und Admin-Zugriffe für Affiliates sichtbar zu machen, statt sie nur in internen Logs zu führen.

04

Ehrlicher Admin-Zugriff. Zwei Linsen, keine dritte.

Die meisten Plattformen laufen still mit voller Impersonation und nennen das „Support“. Hier steht, was BetLink-Personal genau kann und was im Log landet.

Linse A — Untersuchen (read-only)

Ein BetLink-Mitarbeiter kann einen stillen Read-only-Blick auf deinen Workspace öffnen, wenn eine Fraud-Untersuchung, eine KYC-Eskalation oder ein Geldwäsche-Verfahren das erfordert. Lesezugriffe sind im Moment des Geschehens still — das wird durch die „Tipping-off“-Regeln im AML-Recht vorgegeben. Nach neunzig Tagen erscheint die Session in deinem Audit-Log, es sei denn sie ist weiterhin mit einer offenen Verdachtsmeldung verknüpft. Sessions sind auf dreißig Minuten gedeckelt, erfordern Step-up-MFA auf Betreiberseite und sind an eine IP-Allowlist gebunden.

Linse B — Support (read-write, mit Zustimmung)

Eine vollwertige Read-write-Support-Session entsteht nur mit deiner ausdrücklichen Zustimmung über einen One-Click-Button in deinem Workspace. Während sie läuft, sehen beide Seiten einen permanenten Banner; beide Seiten erhalten eine E-Mail bei Start und Ende. Sessions sind auf eine Stunde gedeckelt und erzeugen einen Per-Action-Audit-Trail, gebunden an eine GitHub-Enterprise-SSO-Identität, nicht an einen geteilten Admin-Account.

Das Zwei-Linsen-Modell folgt im Geist dem Engineering-Blog-Beitrag, den Pigment im April 2026 veröffentlicht hat; es ist absichtlich strenger als der gängige SaaS-„Support-Shadow-Login“.

05

Wonach wir nie fragen — und was manche Mitbewerber tun.

Verglichen mit öffentlich dokumentiertem Verhalten. Aggregatoren werden zur Transparenz gelistet — Namen bleiben offen, bis die Vergleichsseite juristisch freigegeben ist.

  • Operator-Backoffice-Passwörter. Wir arbeiten mit Postback-URLs und Read-only-API-Keys. Manche Mitbewerber — auch solche, die Hilfeseiten wie „Connecting an Affiliate Program (via Login Credentials)“ veröffentlichen und Tools, die CSV-Bulk-Uploads von Zugangsdaten annehmen — fragen sehr wohl danach. Wir nicht.
  • Zwei-Faktor-Codes, Recovery-Codes oder Device-Binding-Seeds für deine Operator-Konten.
  • Wallet-Seed-Phrasen oder vollständige Kreditkartennummern. Auszahlungen laufen über lizenzierte Partner; wir halten eine tokenisierte Referenz, nie die zugrundeliegende Nummer.
  • Behördliche Ausweise von Affiliates, die kein KYC freiwillig auslösen. KYC ist an Tier-Aufstiege und an Auszahlungsschwellen gebunden, die es gesetzlich erzwingen.

Sollte sich daran je etwas ändern — sollte eine künftige BetLink-Funktion tatsächlich ein operatorseitiges Credential brauchen — veröffentlichen wir die Begründung hier und im Changelog, bevor die Funktion live geht.

06

Authentifizierungs-Standards.

Was wir verlangen, was wir empfehlen, was wir ablehnen.

  • MFA ist in jedem bezahlten Workspace verpflichtend. Step-up-Re-Authentifizierung bei Auszahlungsadressen-Änderung, Key-Anlage und Zustimmung zur Admin-Session.
  • TOTP wird heute unterstützt. WebAuthn / Passkey läuft beim Anbieter in der Beta; wir flippen die Standardeinstellung auf passkey-preferred, sobald der Auth-Provider die Funktion auf General Availability hebt.
  • SMS als zweiter Faktor ist ein klares Nein. SIM-Swap-Angriffe sind in dieser Branche ein dokumentierter, wiederkehrender Vektor — wir werden SMS nicht als Sicherheit verkaufen.
  • Enterprise SAML und SCIM über WorkOS kommen im dritten Quartal 2026.

07

Der Compliance-Fahrplan, festgehalten.

Termine, an denen wir uns messen lassen.

  1. August 2026

    Ziel: Drata-Kickoff, parallele Evidenzerhebung für SOC 2 Type 1 und ISO 27001 Stage 1 sowie Beauftragung eines Audit-Hauses.

  2. Q1 2027

    Ziel: SOC 2 Type 1 Report, ISO 27001 Stage 1 Review und externer Penetrationstest.

  3. August 2027

    Ziel: SOC 2 Type 2 Report und ISO 27001 Zertifizierung für die BetLink-Plattform.

Verschiebt sich ein Datum, steht die Verschiebung hier am Tag, an dem sie bekannt ist. Lieber bewegen wir ein Datum, als es im Stillen umzudeuten.

08

Der Mensch auf der anderen Seite dieser Seite.

Es gibt einen Gründer. Hier steht die Adresse, an die du dich wenden kannst.

Jonathan Luis

Gründer, BetLink

BetLink Group Holdings Ltd — Limassol, Zypern

Externe Beratung: Harris-Kyriakides LLC, Larnaca, Zypern.

BetLink versteckt sich nicht hinter einem generischen „team@“. Eine Aufsichtsbehörde, ein Investor oder ein verärgerter Affiliate findet einen Menschen mit Namen und eine eingetragene zyprische Gesellschaft. Die Anwaltskanzlei ist genannt. Die zyprische Gerichtsbarkeit ist genannt. Eine Offshore-Re-Domizilierung ist nicht geplant.

09

Bug Bounty.

Wir bauen Ende 2026 ein privates Bug-Bounty-Programm auf Intigriti auf. Scope und Belohnungsbänder veröffentlichen wir hier zum Go-live.

  • Bis dahin: Schreib uns an security@betlink.ai. Wir antworten innerhalb eines Werktags und verfolgen gutgläubige Forschung rechtlich nicht.
  • Scope und die kanonische Sicherheitsrichtlinie liegen in unserer /security-policy.txt im Format RFC 9116.
  • Eine öffentliche Hall of Fame startet mit dem Intigriti-Programm.
Kontaktsecurity@betlink.aiSecurity Policy (RFC 9116)

Lust auf den Side-by-Side?

Der öffentliche Vergleichshub zeigt Offer-Discovery, Admin-Zugriff, Tracking, Auszahlungen und Trust-Positionierung für Plattformen, mit denen Affiliates uns häufig vergleichen.

Zur /compare-Tabelle
Affiliate operations, connected

Run offers, links, postbacks, and payouts from one workspace.

BetLink gives iGaming teams one place to manage operator terms, tracking links, campaign performance, disputes, and payout workflows.

Start freeSee pricing

Cookie-Einstellungen

BetLink nutzt notwendige Cookies fuer Login und Sicherheit. Optionale Statistik hilft uns, das Produkt nach Einwilligung zu verbessern.

Cookie-RichtlinieDatenschutz