Skip to content

Logging Privacy

Diese Leitlinie beschreibt die minimalen Guardrails fuer Backend-Logs und Client-Logs in TargetShot.

Ziel

  • Logs sollen betriebliche Fehlerdiagnose ermoeglichen.
  • Logs sollen keine unnötigen personenbezogenen Daten oder Secrets transportieren.
  • Client-Logs sind ein Admin-Werkzeug und kein frei lesbarer Debug-Stream.

Verbotene Inhalte

Folgende Inhalte duerfen nicht unkontrolliert in Logs oder Client-Log-Payloads landen:

  • Access-Tokens, Refresh-Tokens, JWTs, Passwoerter, Secrets und Authorization-Header
  • rohe Request-Bodies aus Mitglieder-, Auth- oder Admin-Pfaden
  • vollstaendige Mitgliederobjekte oder Beispiel-Responses
  • direkte E-Mail-Adressen, sofern eine maskierte Form fuer den Betriebsfall ausreicht
  • hochaufloesende Browser-Fingerprints oder client-seitig gesetzte Rollenfelder

Client-Logs

  • GET /api/client-logs ist nur fuer Admins vorgesehen.
  • Client-Logs speichern nur reduzierte Betriebsmetadaten:
  • level / type
  • redacted message
  • route
  • status
  • method
  • latencyMs
  • online
  • grob zusammengefasster userAgent
  • stack, rohe url und client-seitige Rollenwerte werden nicht persistiert.
  • Low-signal console.log- und console.info-Rauschen wird nicht an den Server weitergereicht.

Retention und Rate

  • Lokale Browser-Logs werden derzeit fuer maximal 7 Tage im Local Storage gehalten.
  • Persistierte Backend-Client-Logs werden auf eine operative Retention von 30 Tagen begrenzt.
  • Ingest-Payloads werden pro Request hart begrenzt und auf allowlist-basierte Typen reduziert.

Members- und Admin-nahe Server-Logs

  • Member-Fehlerpfade loggen keine kompletten Sample-Responses.
  • Reconcile-/Sync-Fehler loggen keine rohen Bodies.
  • Direkte Kontaktinformationen werden fuer Logs wenn moeglich maskiert.
  • Club-Kontext soll in Logs bevorzugt als Count oder Scope-Meta statt als volle Liste auftauchen.

Review-Regel

Bei neuen Logging-Pfaden gilt:

  1. Nur loggen, was fuer Betrieb oder Fehlerdiagnose wirklich noetig ist.
  2. Freie Textfelder zuerst redigieren oder auf reduzierte Meta-Informationen abbilden.
  3. Admin-/Support-Lesepfade explizit absichern.
  4. Neue Client-Log-Felder nur einfuehren, wenn ihr Betriebsnutzen und Datenschutzbedarf zusammen dokumentiert sind.