Token‑Policy (Expo/APNs/FCM)
1 Zweck & Geltung
Diese Policy regelt Erhebung, Speicherung, Nutzung, Löschung und Logging von Push‑Tokens in der Hilferuf‑Funktion.
2 Erhebung
- Token werden nur nach OS‑Einwilligung erzeugt und gespeichert.
- Pro App‑Installation wird genau ein Token verwaltet; Wechsel/Neuregistrierung überschreibt alte Tokens.
3 Speicherung & Schutz
- Tokens werden AES‑256‑GCM verschlüsselt gespeichert; Schlüssel liegen im KMS (Key‑Zugriffe werden geloggt).
- Trennung: Token‑Repository getrennt vom Nutzerprofil (nur Referenz‑ID).
- Zugriff: ausschließlich Service‑Accounts (RBAC); kein Zugang für reguläre Nutzer oder 1st‑Level‑Support.
4 Nutzung
- Tokens dürfen ausschließlich für Hilferuf‑Push genutzt werden.
- Empfängerkreis ist auf Rollen „Schulsanitätsdienst“ (und ggf. eskalierend „User“) derselben Schule beschränkt.
5 Aufbewahrung & Löschung
- Löschung bei Logout/Deinstallation sofort (Soft‑Delete + Hard‑Delete im nächtlichen Job).
- Auto‑Purge nach 90 Tagen Inaktivität.
- Invalidierung bei Expo‑Receipt „DeviceNotRegistered“.
6 Logging
- Keine Klar‑Tokens in Logs/Monitoring/Fehlermeldungen; Maskierung per Regex (s. 2.4).
- Audit‑Logs enthalten nur: Auslöser (Rolle), Mandant (School‑ID), Anzahl Empfänger, Expo‑Ticket/Status, Zeitstempel.
7 Vorfälle & Prüfungen
- Bei Verdacht auf Missbrauch/Leak: sofortige Token‑Invalidierung, Incident‑Workflow gemäß IR‑Plan.
- Jährliches Review dieser Policy; Stichproben‑Audit der Token‑Löschjobs und Zugriffslogs.