Wie cashcode.digital deine Daten behandelt — kurz und ehrlich.
Ein simpler Generator für EPC-QR-Codes (Girocode). Du gibst einmalig deinen Namen und deine IBAN ein, bekommst eine öffentliche URL wie cashcode.digital/dein-name, und auf dieser Seite wird ein QR-Code angezeigt, den jeder mit seiner Banking-App scannen kann. Die Banking-App füllt dann eine SEPA-Überweisung an dich vor.
Nein. cashcode.digital rendert ausschließlich einen QR-Code mit deinen Empfängerdaten. Wir sind kein Zahlungsdienstleister, kein Kontoanbieter, kein Verarbeiter. Der eigentliche Überweisungsvorgang findet vollständig in der Banking-App des Absenders statt — er bestätigt die vorausgefüllte SEPA-Überweisung selbst. Wir sehen den Geldfluss nie, haben keine Kontodaten beider Seiten und keine Schnittstelle zu deiner oder seiner Bank.
Nein. Deine Email, dein Name und deine IBAN werden mit AES-256-GCM verschlüsselt, bevor sie in die Datenbank geschrieben werden. Der Schlüssel liegt ausschließlich als Environment-Variable auf dem Server, nicht in der Datenbank selbst. Selbst wenn jemand das DB-Backup leakt, sind die Inhalte nur verschlüsselter Müll.
Verschlüsselt wie alles andere. Zusätzlich speichern wir einen HMAC-SHA256 deiner Email — das ist eine Einweg-Funktion, die nur dazu dient, dich beim Login wiederzufinden, wenn du sie nochmal eingibst. Aus dem Hash allein lässt sich deine Email nicht rekonstruieren.
Über Magic Links. Du gibst deine Email ein, wir schicken dir einen einmaligen Link, du klickst, du bist eingeloggt. Kein Passwort, kein Reset-Theater. Der Link ist 30 Minuten gültig und funktioniert nur einmal.
Damit nicht jemand, der sich mal kurzfristig Zugang zu deiner Session verschafft hat, deine IBAN heimlich austauschen kann. Eine IBAN-Änderung wird erst aktiv, wenn du einen separaten Bestätigungslink in deiner Inbox klickst — bis dahin bleibt die alte IBAN aktiv.
Dein Name (so wie du ihn auf dem Bankkonto angegeben hast) und der QR-Code. Die IBAN ist nicht standardmäßig im Klartext sichtbar — sie steckt nur im QR-Code. Wer keinen QR-Scanner hat, kann sie über einen "IBAN anzeigen"-Toggle aufklappen.
Nein. Deine Email-Adresse ist nirgends öffentlich sichtbar.
Schreib uns kurz an die Adresse im Impressum — wir löschen den Account dann.
Nein, der Username ist immutable. Wenn du ihn änderst, brechen alle geteilten Links. Wer einen neuen will, legt einen neuen Account an.
Im Produktivbetrieb läuft alles über HTTPS mit gültigem TLS-Zertifikat. Cookies sind HttpOnly und SameSite=Lax. Die Session läuft nach 30 Tagen ab, ein Logout invalidiert sie sofort serverseitig.