ereefy
AnmeldenKostenlos testen
vereefy.aiSecurity
Security & Trust Center

Sicherheit ist kein Feature
— sie ist die Grundlage

Vereefy wurde von Grund auf für regulierte Unternehmen gebaut. Verschlüsselung, Mandantenisolierung, kryptographisch gesicherte Audit-Trails und DSGVO-konformes EU-Hosting sind keine Extras — sie sind Standard.

EU-Hosting

Supabase + Hetzner

DSGVO-konform

AVV · Art. 28

SHA-256 Hash-Chain

Öffentlich verifizierbar

Append-only Logs

Manipulationsschutz

Sicherheitsarchitektur

Technische und organisatorische Massnahmen (TOM) im Überblick.

Verschlüsselung

  • TLS 1.2 / 1.3 für alle Datenübertragungen
  • AES-256 Verschlüsselung ruhender Daten (Supabase / Hetzner)
  • Verschlüsselte Datenbankverbindungen (SSL required)
  • HTTPS-only — HTTP wird auf HTTPS umgeleitet

Datenisolierung

  • Row Level Security (RLS) auf Datenbankebene
  • Mehrschichtige Mandantenisolierung (App + DB)
  • Separate API-Keys und Zugangsdaten pro Tenant
  • Kein Cross-Tenant-Zugriff möglich (technisch erzwungen)

Audit-Integrität

  • SHA-256 Hash-Chain über alle Klassifikationsereignisse
  • Append-only Audit-Log (keine Änderungen, keine Löschungen)
  • Deterministischer Klassifikations-Hash (reproduzierbar)
  • Öffentliche Hash-Verifikation via /verify/{hash}

Zugriffskontrolle

  • Rollenbasiertes Berechtigungsmodell (RBAC)
  • Supabase Auth mit sicheren JWT-Sessions
  • Rate Limiting auf allen öffentlichen Endpunkten
  • API-Keys mit widerrufbaren Berechtigungen

Monitoring

  • Sentry (EU-Region Frankfurt) für Fehlererfassung
  • PII-Filterung vor Fehlerübermittlung
  • Echtzeit-Alerts bei kritischen Fehlern
  • Audit-Log für alle sensitiven Operationen

Datenschutz by Design

  • 90-Tage Log-Retention (DSGVO Art. 5 Abs. 1 lit. e)
  • Konfigurierbare Aufbewahrungsfristen pro Tenant
  • Löschung auf Anfrage innerhalb von 30 Tagen
  • Datenexport-Funktion (Portabilität)

Infrastruktur & Standorte

Alle Kundendaten werden in der EU verarbeitet und gespeichert. Vollständige Subprozessor-Liste →

SupabaseDatenbank & Auth

EU — Irland (AWS eu-west-1)

Kundendaten verlassen die EU nicht

Hetzner Online GmbHObjekt-Storage

DE — Nürnberg

Deutsches Rechenzentrum, DSGVO-konform

VercelWeb-Dashboard

EU-Edge (Frankfurt)

Edge-Verarbeitung primär in Frankfurt

SentryError Monitoring

EU — Frankfurt

EU Data Residency, PII-gefiltert

Kryptographische Verifikation

Jede Klassifikation erhält einen deterministischen SHA-256 Hash. Dieser Hash kann jederzeit öffentlich verifiziert werden — ohne Login, ohne API-Key.

01

Klassifikation

KI-System wird analysiert und einem Risikolevel zugewiesen

02

Hash-Generierung

SHA-256 Hash über Risikolevel, Regelwerk, Begründung und Rechtsgrundlage

03

Verifikation

Hash via /verify/{hash} öffentlich verifizierbar — jederzeit, ohne Konto

GET https://app.vereefy.ai/api/v1/verify/{classification_hash}

Compliance Readiness

Aktueller Stand unserer Sicherheits- und Compliance-Massnahmen.

DSGVO Art. 28 AVV
TOM dokumentiert
EU-Hosting für Kundendaten
SHA-256 Audit Hash-Chain
Append-only Audit-Log
Subprozessor-Liste veröffentlicht
Rate Limiting (alle Endpunkte)
Sentry EU Error Monitoring
SOC 2 Type II (in Vorbereitung)geplant
Penetrationstestgeplant
ISO 27001 Zertifizierunggeplant
FINMA-Dokumentationgeplant

Responsible Disclosure

Wir nehmen Sicherheitsmeldungen ernst. Wenn du eine Schwachstelle in Vereefy gefunden hast, melde sie bitte vertraulich an unser Sicherheitsteam. Wir verpflichten uns zu einer ersten Rückmeldung innerhalb von 48 Stunden.

  • Bitte keine öffentliche Offenlegung vor Behebung
  • Keine rechtlichen Schritte bei verantwortungsvoller Meldung
  • Acknowledgement in unserer Hall of Fame (optional)
security@vereefy.aiDatenschutzerklärung

Fragen zur Sicherheitsarchitektur, TOM-Dokumentation oder Enterprise-Audits?

security@vereefy.aiAVV anfordern →