Hennadii Shvedko

Zweiteiliger Auftrag an einer Multi-Tenant-SaaS (Laravel 12 / PHP 8.4) für Schweizer Sportvereine mit Daten Minderjähriger: zuerst Architektur-Design, dann unabhängige Abnahme des von einem KI-Team gebauten Schritts.

Teil A, Struktur-Design: Spezifikation einer Mitgliedschafts-Ebene für «eine Person, mehrere Clubs» (eine Identität, pro Club eigene Rolle und Sicht), inkl. Schema, Migrationen und Pflicht-Tests, aus denen das KI-Team gebaut hat, plus die DB-seitige Schliessung zweier Tenant-Isolations-Befunde.

Teil B, adversariale Abnahme: den fertigen Bau (Mitgliedschaften, Anonymisierung nach revDSG, Routen-Gating) mit eigenen Angriffstests beschossen, jeder Befund mit Fundstelle (Datei:Zeile) und belegendem Test, am Ende ein klares Go/No-Go. Gegen eine echte MySQL-8.4-Instanz geprüft, wo ich einen Deploy-Blocker fand, den die rein SQLite-grüne Testsuite nicht zeigte. Die wenigen offenen Auflagen habe ich anschliessend selbst sauber umgesetzt und verifiziert.

Arbeitsweise: unabhängig und evidenzbasiert, mehrstufige adversariale Prüfung, ehrliche Experteneinschätzung statt generischer Checkliste, Berichte und Übergabe auf Deutsch.

Unabhängiges Security- & Architektur-Review plus adversariale Abnahme des Berechtigungs- und Kinder-Datenmodells einer Multi-Tenant-SaaS (Laravel 12 / PHP 8.4) für Schweizer Sportvereine — also Daten von Minderjährigen, mit entsprechend hohem Datenschutz-Anspruch.

Schwerpunkte:

• Datenstruktur-Design für «eine Person, mehrere Clubs» (Membership-Edge): eine Identität, pro Club eigene Rolle und Sicht — inkl. Schema, Migrationen und Pflicht-Tests, aus denen das KI-Team gebaut hat.

• Adversariale Abnahme des fertigen Baus: ich habe Mandantengrenze, Session-Manipulation, 2FA und das Kinder-Routing mit eigenen Angriffstests beschossen — jeder Befund mit Fundstelle (Datei:Zeile) und einem belegenden Test, dazu ein klares Go/No-Go.

• Anonymisierung statt Löschen (revDSG) inkl. zweistufiger Logik für Kontakt-Eltern; den Kern habe ich so abgesichert, dass die Regel auf keinem Pfad mehr umgangen werden kann.

• DB-seitige Mandanten-Isolation über Composite-Fremdschlüssel — gegen eine echte MySQL-8.4-Instanz geprüft, wo ich einen Deploy-Blocker fand, den die rein SQLite-grüne Testsuite nicht zeigte.

Arbeitsweise: unabhängig und evidenzbasiert (kein Befund ohne Beleg), mehrstufige adversariale Prüfung, ehrliche Experteneinschätzung statt generischer Checklisten — Berichte und Übergabe auf Deutsch.

Unabhängiges Security- & Architektur-Review plus Aufbau der Betriebsschicht für eine Multi-Tenant-SaaS (Laravel 12 / PHP 8.4) für Schweizer Sportvereine — mit besonders heiklen Daten (Minderjährige, Datenschutz).

Schwerpunkte:

• Evidenzbasiertes Security-Review der Mandanten-Isolation, von 2FA/RBAC und des Berechtigungs- & Kinder-Datenmodells — jedes Finding mit Datei:Zeile und einem belegenden Test, dazu eigene adversariale Angriffstests und ein klares Go/No-Go.

• Laravel 11→12-Upgrade mit striktem CI-Gate (larastan Level max, deprecation-strenge Tests, composer audit) auf GitLab CI/CD.

• Betrieb: ausfallfreie Deployment-Pipeline (atomare Releases, Health-Check + automatischer Rollback), tägliche Backups mit getestetem Restore-Drill, Off-site-Sicherung und Produktions-Härtung.

Arbeitsweise: unabhängig, evidenzbasiert, ehrliche Experteneinschätzung statt generischer Checklisten — Berichte und Übergabe-Doku auf Deutsch.