Wir behandeln deine Daten so, wie wir unsere eigenen wollen.
Hosting in Zürich auf jedem Plan. Kein US-CLOUD-Act. DSGVO + revDSG aus Werk. AVV-PDF in zwei Klicks runtergeladen. Transparente Liste aller Sub-Prozessoren. Was bei anderen Enterprise-Aufschlag kostet, ist bei uns selbstverständlich.
Die vier Säulen
Sicherheit ist kein Feature. Sie ist Architektur.
Daten in der Schweiz
- Supabase-Region eu-central-2 in Zürich
- Backups verbleiben in der EU
- Kein Daten-Transfer in die USA für deine Inhalte
- Daten-Residenz fix verkettbar pro Workspace (Business)
Verschlüsselung
- TLS 1.3 für jede Verbindung
- AES-256 für Daten in Ruhe
- Verschlüsselte Backups
- Session-Tokens rotiert + HTTPS-only Cookies
Identitäts-Management
- Bcrypt-gehashte Passwörter (12 Runden)
- Multi-Faktor-Authentifizierung via TOTP
- Single Sign-On via SAML 2.0 (Business)
- Granulare Rollen Owner, Admin, Member, Gast
Auditierbarkeit
- Vollständiges Activity-Log pro Workspace
- 30 Tage Retention auf Team, unbegrenzt auf Business
- Export als CSV oder JSON
- Login-Versuche und API-Calls protokolliert
Compliance-Matrix
Standards die wir erfüllen — ohne Sternchen.
Vollständige Transparenz über aktuellen Status. Was nicht zertifiziert ist, sagen wir auch.
| Standard | Region | Status | Details |
|---|---|---|---|
| DSGVO | EU | Konform | Vollumfänglich nach DSGVO Art. 28. AVV-PDF im Admin-Bereich. Daten-Export Art. 20. |
| revDSG | Schweiz | Konform | Revidiertes Schweizer Datenschutzgesetz, in Kraft seit 1. September 2023. Alle Pflichten abgedeckt. |
| GDPR (UK) | Vereinigtes Königreich | Konform | UK GDPR ist DSGVO-äquivalent. International Data Transfer Agreement (IDTA) bereit. |
| ISO 27001 | International | In Vorbereitung | Audit-Vorbereitung läuft. Geplant für Q4/2026. Subprocessor Supabase ist bereits ISO 27001 zertifiziert. |
| SOC 2 Type II | USA | In Vorbereitung | Vorbereitende Audits Q2/2026. Geplante Zertifizierung Q1/2027. |
| C5 Testat | Deutschland | Roadmap | Cloud Computing Compliance Criteria Catalogue. Roadmap 2027 für Behördenkunden. |
Sub-Prozessoren
Wer welche Daten verarbeitet — vollständig aufgelistet.
Wir versteckten nichts in Footnotes. Jeder Dienstleister, dessen Server unsere Daten anfassen.
Supabase
PostgreSQL-Datenbank, Auth, Storage, Realtime
eu-central-2 (Zürich, Schweiz)
Vercel
Hosting des Frontend, Edge-Network
Frankfurt, Deutschland (fra1)
Stripe
Zahlungsabwicklung (nur wenn kostenpflichtiger Plan)
Irland (EU)
Resend
Transaktions-E-Mails (Einladungen, Benachrichtigungen)
EU-Region (Amazon SES)
PostHog
Anonymisiertes Produkt-Analytics (opt-out via Cookie-Banner)
eu.posthog.com (Frankfurt)
Anthropic
KI-Subtask-Generierung (nur bei Pro+)
USA (Standard Contractual Clauses)
Die vollständige aktuelle Liste mit Kontakt-Details und letztem Audit findest du im Trust Center.
Vulnerability Disclosure
Sicherheitslücke gefunden? Sag uns Bescheid.
Wir glauben an Responsible Disclosure. Sicherheitsforscher die Lücken verantwortungsvoll melden, listen wir mit Einverständnis im Hall-of-Fame und bedanken uns mit einem CHF 100 Bug-Bounty (oder einem Jahr Team gratis).
Security-Kontakt
E-Mail uns auf security@flenio.ch. PGP-Key auf Anfrage. Antwort innerhalb 24h Werktag.
Was nicht gilt
Theoretische Schwachstellen ohne Proof-of-Concept, Volumetric DDoS, Self-XSS via Browser-Erweiterungen, sowie alles was unter Social Engineering fällt.
Fragen zur Architektur oder zum AVV?
Wenn deine Compliance-Abteilung detaillierte Antworten braucht, schreib uns. Für Banken-, Treuhand- oder Behörden-Audits bereiten wir gerne ein technisches Briefing vor.