🔐 Sicherheit & Datenschutz

Wie Edelzentrale deine Daten schützt.

Verschlüsselung der API-Schlüssel

Dein Torn-API-Schlüssel wird niemals im Klartext gespeichert. Vor dem Schreiben in die Datenbank wird er mit AES-256-GCM verschlüsselt. Der geheime Schlüssel liegt ausschließlich serverseitig in der Konfiguration und nie in der Datenbank. Selbst bei einem Datenbankzugriff bleiben die Schlüssel ohne den Server-Schlüssel unlesbar.

Anmeldung & optionales Passwort

Die Anmeldung erfolgt über deinen Torn-API-Key. Für mehr Sicherheit kannst du in den Einstellungen optional ein Passwort festlegen — es wird dann beim Login zusätzlich zum Key verlangt, sodass ein geleakter Key allein nicht zum Anmelden genügt. Ein gesetztes Passwort wird mit bcrypt (Salt + Cost-Faktor) gehasht; Klartext-Passwörter werden zu keinem Zeitpunkt gespeichert oder protokolliert.

Schutz vor Angriffen

Alle Datenbankzugriffe nutzen vorbereitete Anweisungen (Schutz vor SQL-Injection).
Formulare sind mit CSRF-Token abgesichert.
Sitzungs-Cookies sind HttpOnly und – über HTTPS – Secure.
Ausgaben werden konsequent escaped (Schutz vor XSS).

Welche Daten werden gespeichert?

Gespeichert werden nur: die über deinen API-Schlüssel von der offiziellen Torn-API abgefragten Spiel- und Fraktionsdaten (zur Anzeige zwischengespeichert), dein verschlüsselter API-Schlüssel und die aus der API stammenden Kontodaten — dein Torn-Benutzername, deine Torn-ID und deine Fraktion. Dazu Aktivitätsdaten (Premium-Status, zuletzt online, aktuell geöffnetes Tab) sowie – falls du sie hinterlegst – optionale verschlüsselte Drittanbieter-Keys (FF-Scouter, YATA) und ein Discord-Webhook. Eine E-Mail-Adresse wird nicht gespeichert. Administrative Aktionen werden zur Nachvollziehbarkeit im Audit-Protokoll erfasst.

Torn-API · Nutzungsbedingungen & Datenoffenlegung

Edelzentrale hält sich vollständig an die offiziellen Torn API Terms of Service & Developer Guidelines. Gemäß Torn-Vorgabe legen wir offen, was mit deinem Schlüssel und deinen Daten geschieht:

Gespeichert (Stored)	Dauerhaft – bis zur Konto-Löschung. Der API-Key wird AES-256-verschlüsselt abgelegt, bis du ihn entfernst.
Geteilt (Shared)	Mit niemandem. Der Key ist für niemanden – auch nicht den Betreiber – im Klartext einsehbar.^*
Verwendet (Used)	Ausschließlich statistische Auswertung & Community-Werkzeug. Kein Verkauf, keine Weitergabe.
Key-Speicherung & -Weitergabe (Key Storage & Sharing)	Gespeichert (AES-256-verschlüsselt), nur für eigene Abfragen genutzt, protokollierter Zugriff, keine Weitergabe an Dritte.
Key-Zugriffsstufe (Key Access Level)	Limited Access (read-only) genügt. Höhere Stufen sind optional für mehr Funktionen.

Read-only & kein Passwort: Zur Anmeldung genügt dein Limited-Access-Key — wir verlangen niemals dein Torn-Passwort und keine manuelle Eingabe von Name oder ID. Spieler- und Fraktions-IDs stammen ausschließlich aus den über deinen Key abgerufenen API-Daten.
Sparsame Abfragen: Automatische Hintergrund-Abfrage nur alle 12 Stunden – bei aktiver Nutzung sofort. Es werden nur die nötigen Selektionen abgerufen.
Rate-Limit: Wir bleiben deutlich unter dem Torn-Limit von 100 Anfragen pro Minute (serverseitig erzwungen).
Protokollierung: Jede ausgehende API-Anfrage wird mit Endpoint & Selektionen geloggt (Torn-Vorgabe). Du kannst deine Key-Nutzung zusätzlich unter Torn → Settings → API Keys → Log einsehen.
Ungültige Keys: Meldet Torn einen deaktivierten/pausierten Key, stoppen wir die automatische Abfrage dieses Keys sofort.
Keine Werbung, kein unfairer Vorteil: Edelzentrale folgt der No-Advertising-Policy und automatisiert keine Spielaktionen.
Widerruf: Du kannst deinen Key jederzeit in den Einstellungen entfernen oder direkt bei Torn löschen.

Drittanbieter-Dienste

Einige Funktionen nutzen externe Community-Dienste. Bei keinem davon wird dein Torn-API-Key weitergegeben. Für jeden Dienst gelten zusätzlich dessen eigene (unten verlinkte) Nutzungsbedingungen.

a) Opt-in (nur aktiv, wenn du einen eigenen Schlüssel hinterlegst):

YATA (yata.yt) — Auslandsbörse: öffentliche Item-/Preisdaten, Nutzung deines optionalen YATA-Keys. Nutzungsbedingungen: yata.yt/tos.
FF-Scouter (ffscouter.com) — Fair-Fight-/Stärke-Schätzungen, Nutzung deines optionalen FF-Keys. Datenschutz: ffscouter.com/privacy.

b) Automatisch (öffentliche Daten, ohne deinen Key):

TornW3B (weav3r.dev) — öffentliche Bazaar-Listings je Item für die Marktansicht. Kein API-Key nötig oder gesendet. Nutzungsbedingungen: weav3r.dev/terms-of-service · Datenschutz: /privacy-policy.
TornPal (tornpal.com) — ergänzende Item-Marktdaten. Nutzt einen optionalen, separaten TornPal-Schlüssel (vom Betreiber, nicht dein Torn-Key). Regeln/Hilfe: tornpal.com/help.
DroqsDB (droqsdb.com) — ergänzende Markt-/Reisedaten. Infos & Quellcode: GitHub.
oran.pw (oran.pw/baldrstargets) — öffentliche Level-Ziellisten („Baldr's targets"). Reine öffentliche JSON-Daten, kein Key.

Du kannst die optionalen Keys (a) jederzeit in den Einstellungen entfernen.

* Hinweis zur Verschlüsselung – ehrlich erklärt

Dein API-Schlüssel wird in der Datenbank ausschließlich AES-256-GCM-verschlüsselt abgelegt und ist von dort für niemanden – auch nicht den Betreiber – lesbar. Weil der Schlüssel für jede Abfrage an die Torn-API kurz entschlüsselt werden muss, besteht technisch grundsätzlich die Möglichkeit, ihn mit dem geheimen Server-Schlüssel zu entschlüsseln – einen Schlüssel, der benutzt werden muss, kann man nie mathematisch absolut geheim halten. Genau deshalb legen wir größten Wert auf Sicherheit: Der geheime Entschlüsselungs-Schlüssel liegt nur serverseitig (niemals in der Datenbank, per Serverkonfiguration vor Web-Zugriff geschützt), der Klartext-Key wird zu keinem Zeitpunkt angezeigt, protokolliert oder weitergegeben, und jeder Zugriff erfolgt ausschließlich automatisiert für deine eigenen Abfragen.

Hinweis

Edelzentrale ist ein unabhängiges, von der Community erstelltes Werkzeug und steht in keiner offiziellen Verbindung zu Torn bzw. Torn City. Alle Marken gehören ihren jeweiligen Inhabern.