Wo fange ich mit Chaindoc an?

Gehen Sie zum Quick-Start-Guide. Er führt Sie durch die Kontoerstellung, das Hochladen Ihres ersten Dokuments und das Versenden zur Unterschrift. Dauert etwa fünf Minuten, wenn Sie bereits ein Dokument parat haben.

Gibt es eine API-Referenz?

Ja. Die API-Referenz deckt alle Endpunkte ab, einschließlich Authentifizierung, Dokumenten-Upload, Signer-Management und Webhook-Konfiguration. Jeder Endpunkt enthält Request- und Response-Beispiele, die Sie im Sandbox-Modus testen können.

Welche SDKs sind für Chaindoc verfügbar?

Chaindoc bietet SDKs für JavaScript/TypeScript, Python und Go. Die Seite SDKs und Libraries enthält Installationsanweisungen und Code-Beispiele. Falls Ihre Sprache nicht aufgeführt ist, funktioniert die REST API mit jedem HTTP-Client.

Wie funktionieren Webhooks in Chaindoc?

Chaindoc sendet POST-Requests an Ihren Endpunkt, wenn Events auftreten: Dokument unterschrieben, angesehen, abgelaufen und so weiter. Der Webhooks-Guide zeigt, wie Sie Endpunkte konfigurieren, Signaturen verifizieren und Retries handhaben.

Brauche ich ein Konto für den Chaindoc-Sandbox?

Ja, aber es ist kostenlos. Melden Sie sich unter chaindoc.io an und Sie erhalten automatisch Sandbox-Zugang. Keine Kreditkarte nötig. Der Sandbox spiegelt die Produktionsumgebung wider, sodass alles, was Sie dort entwickeln, genauso funktioniert, wenn Sie wechseln.

Wo finde ich Chaindoc Code-Beispiele?

Jede Docs-Seite enthält inline Code-Snippets. Für vollständige Beispiele finden Sie im Guides-Bereich End-to-End-Signing-Flows, Bulk-Operationen und Template-basierte Workflows mit Copy-Paste-Code.

Sicherheits-Best Practices

Chaindoc verschlüsselt Dokumente im Ruhezustand (AES-256) und bei der Übertragung (TLS 1.3), verifiziert Integrität über die Blockchain und protokolliert jede Aktion. Hier ist das Ding: Das meiste funktioniert sofort. Aber es gibt Einstellungen, die du vor dem Go-Live aktivieren solltest.

Ehrlich gesagt, die meisten Sicherheitsfunktionen laufen von allein. Trotzdem solltest du MFA und IP-Restriktionen aktivieren. Dein Team braucht auch klare Gewohnheiten: Schlüsselrotation, regelmäßige Zugriffsprüfungen. Diese Anleitung deckt beides ab.

Authentifizierung

Multi-Faktor-Authentifizierung

Aktiviere MFA für alle, nicht nur Admins. Das ist die wirkungsvollste Maßnahme. Chaindoc unterstützt:

Authenticator-Apps (TOTP) — Google Authenticator, Authy, 1Password
SMS-Codes — funktioniert, ist aber weniger sicher. Nutze lieber Authenticator-Apps.
Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn) — die stärkste Option
Biometrische Authentifizierung auf mobilen Geräten

Passwort-Richtlinien

Wenn du kein SSO nutzt, erzwinge starke Passwörter. Chaindoc erlaubt Konfiguration von Mindestlänge (12+ Zeichen empfohlen), Komplexitätsanforderungen, Ablaufintervallen und Sperre nach fehlgeschlagenen Versuchen. Du kannst auch die Wiederverwendung der letzten 10 Passwörter blockieren.

Rollenbasierte Zugriffssteuerung

Gib Personen nur den Zugriff, den sie brauchen. Chaindoc hat eingebaute Rollen (Owner, Admin, Manager, Member, Guest, Auditor) und unterstützt benutzerdefinierte Rollen mit Berechtigungen pro Aktion. In der Praxis: Überprüfe Zuweisungen vierteljährlich und entferne alles, was nicht mehr nötig ist. Sieh dir die Team-Verwaltung an.

Verschlüsselung

Ruhende Daten

Alle Dokumente werden mit AES-256 im Speicher verschlüsselt. Backups nutzen separate Schlüssel. Verschlüsselungsschlüssel werden über einen dedizierten KMS verwaltet und vierteljährlich rotiert.

Datenübertragung

Jede Verbindung nutzt TLS 1.3. Schwache Cipher-Suites sind deaktiviert. HSTS-Header sorgen dafür, dass Browser nie auf HTTP downgraden. Das gilt für die Web-App, die API und Blockchain-Transaktionen.

API-Schlüssel-Sicherheit

API-Schlüssel sind die häufigste Quelle für Sicherheitsprobleme. Ein geleakter Secret Key gibt vollen Zugriff auf deinen Chaindoc-Account.

Schlüssel-Management-Regeln

Verwende niemals Secret Keys (`sk_`) im Client-Code. Sie gehören ausschließlich ins Backend. Speichere Schlüssel in Umgebungsvariablen oder einem Secrets Manager (nicht im Repo). Nutze Test-Schlüssel (`sk_test_`) bei der Entwicklung. Rotiere Produktions-Schlüssel alle 90 Tage. Bei Leak: Sofort im Dashboard widerrufen.

Public Keys (`pk_`) sind für Frontend-Nutzung konzipiert und haben nur Lesezugriff — sicher für Client-Bundles. Mehr zu Schlüsseltypen in der API-Integrationsanleitung.

Blockchain-Verifizierung

Jedes veröffentlichte Dokument erhält einen Hash in der Blockchain. Das ist der manipulationssichere Teil. Selbst mit direktem Datenbankzugriff könnte niemand ein Dokument ändern, ohne dass der Blockchain-Hash ungültig wird.

Dokument-Hashes werden beim Veröffentlichen und bei jedem Statuswechsel (Signaturen, Ungültigmachung etc.) gespeichert
Transaktions-Quittungen liegen beim Dokument zur einfachen Verifizierung
Jeder kann Dokumente unabhängig gegen die Blockchain prüfen
Der Eintrag ist permanent — er überdauert selbst das Ende von Chaindoc

Das Wichtigste: Bei hochwertigen Dokumenten lohnt sich die Blockchain-Prüfung nach der Signatur, um zu bestätigen, dass alles stimmt.

Webhook-Sicherheit

Wenn du Webhooks nutzt, verifiziere die HMAC-Signatur bei jeder eingehenden Anfrage. Ohne das könnte jemand gefälschte Events an deinen Endpoint senden. Die Webhook-Anleitung enthält den Verifizierungscode.

Compliance

Chaindocs Infrastruktur ist SOC 2 Type II zertifiziert. Je nach Branche musst du zusätzliche Einstellungen konfigurieren:

GDPR — Optionen für Datenstandorte (EU, US, Asien), Recht auf Löschung, Datenportabilität. Aufbewahrungsrichtlinien kümmern sich um automatische Löschung.
HIPAA — Audit-Logging und Zugriffskontrollen für Gesundheitsdokumente. Kontaktiere den Support für eine BAA.
SOC 2 — Sicherheitskontrollen sind dokumentiert. Jährliche Audits durch Dritte.
eIDAS / ESIGN Act / UETA — Signatur-Compliance ist für alle drei Signaturtypen eingebaut.
ISO 27001 — Informationssicherheits-Management ist an ISO 27001 ausgerichtet.

Audit-Logging

Chaindoc protokolliert jede Aktion: Logins, Dokumentenzugriffe, Bearbeitungen, Signatur-Events, Berechtigungsänderungen und API-Aufrufe. Logs werden manipulationssicher gespeichert und mindestens ein Jahr aufbewahrt (länger, wenn deine Richtlinie es erfordert).

Du kannst Audit-Logs für externe Compliance-Prüfungen exportieren. Fehlgeschlagene Login-Versuche und verdächtige Aktivitäten lösen Alerts aus, wenn du Monitoring konfiguriert hast.

Monitoring und Vorfallsreaktion

Richte Alerts ein für fehlgeschlagene Logins, ungewöhnliche API-Aktivität und Berechtigungseskalation. Chaindoc integriert sich in SIEM-Systeme, falls dein Sicherheitsteam eines nutzt.

Hab einen Vorfallsreaktionsplan bereit. Wisse, wen du kontaktierst, was du abschaltest und wie du einen Datenverstoß kommunizierst. Teste den Plan mindestens jährlich. Bei Sicherheitsvorfällen mit Chaindoc: security@chaindoc.com kontaktieren.

Pre-Production-Checkliste

Geh das durch, bevor du live gehst:

MFA für alle Accounts aktiviert
Passwort-Richtlinien konfiguriert (12+ Zeichen, Sperre nach 5 Fehlversuchen)
Rollen mit geringstem Privileg zugewiesen
AES-256-Verschlüsselung bestätigt (standardmäßig aktiv)
TLS 1.3 an allen Endpunkten erzwungen
API-Schlüssel in Umgebungsvariablen oder Secrets Manager gespeichert
Test-Schlüssel gegen Live-Schlüssel getauscht
Rate-Limiting für API-Endpunkte konfiguriert
Webhook HMAC-Verifizierung implementiert
Audit-Logging aktiviert und Aufbewahrungszeitraum gesetzt
Sicherheits-Monitoring und Alerting konfiguriert
Vorfallsreaktionsplan dokumentiert
Backups getestet (versuch eine Wiederherstellung)
Compliance-Anforderungen dokumentiert und erfüllt

Wie geht's weiter

Teams verwalten — Rollen und Zugriffskontrolle einrichten
Signaturen — Signaturtypen und Compliance verstehen
API-Integration — Deine API-Implementierung absichern
Webhooks — HMAC-Verifizierung und Event-Handling
Dokumente — Zugriffskontrolle und Aufbewahrungsrichtlinien

Dokumentation