Wir behandeln deine Daten so, wie wir unsere eigenen wollen.
Datenhaltung in Zürich auf jedem Plan, Verarbeitung in der Schweiz und der EU. Nach DSGVO- und revDSG-Standards entwickelt. AVV-PDF in zwei Klicks runtergeladen. Transparente Liste aller Sub-Prozessoren. Was bei anderen Enterprise-Aufschlag kostet, ist bei uns selbstverständlich.
Die vier Säulen
Sicherheit ist kein Feature. Sie ist Architektur.
Daten in der Schweiz
- Supabase-Region eu-central-2 in Zürich
- Backups verbleiben in der EU
- Kein Daten-Transfer in die USA für deine Inhalte
- Daten-Residenz fix verkettbar pro Workspace (Business)
Verschlüsselung
- TLS 1.3 für jede Verbindung
- AES-256 für Daten in Ruhe
- Verschlüsselte Backups
- Session-Tokens rotiert + HTTPS-only Cookies
Identitäts-Management
- Bcrypt-gehashte Passwörter (12 Runden)
- Multi-Faktor-Authentifizierung via TOTP
- Single Sign-On via SAML 2.0 (Business)
- Granulare Rollen Owner, Admin, Member, Gast
Auditierbarkeit
- Vollständiges Activity-Log pro Workspace
- 30 Tage Retention auf Team, unbegrenzt auf Business
- Export als CSV oder JSON
- Login-Versuche und API-Calls protokolliert
Compliance-Matrix
Standards die wir erfüllen — ohne Sternchen.
Vollständige Transparenz über aktuellen Status. Was nicht zertifiziert ist, sagen wir auch.
| Standard | Region | Status | Details |
|---|---|---|---|
| DSGVO | EU | Ausgerichtet | Entwickelt nach DSGVO-Vorgaben: AVV nach Art. 28 verfügbar, Daten-Export nach Art. 20, Löschkonzept nach Art. 17. Keine externe Zertifizierung — Status transparent. |
| revDSG | Schweiz | Ausgerichtet | Entwickelt nach den Vorgaben des revidierten Schweizer Datenschutzgesetzes (in Kraft seit 1. September 2023): Datenhaltung Schweiz, Auskunfts- und Löschrechte umgesetzt. |
| GDPR (UK) | Vereinigtes Königreich | Ausgerichtet | UK GDPR ist DSGVO-äquivalent; die DSGVO-Massnahmen greifen entsprechend. International Data Transfer Agreement (IDTA) auf Anfrage. |
| ISO 27001 | International | In Vorbereitung | Audit-Vorbereitung läuft. Geplant für Q4/2026. Subprocessor Supabase ist bereits ISO 27001 zertifiziert. |
| SOC 2 Type II | USA | In Vorbereitung | Vorbereitende Audits Q2/2026. Geplante Zertifizierung Q1/2027. |
| C5 Testat | Deutschland | Roadmap | Cloud Computing Compliance Criteria Catalogue. Roadmap 2027 für Behördenkunden. |
Sub-Prozessoren
Wer welche Daten verarbeitet — vollständig aufgelistet.
Wir verstecken nichts in Fussnoten — hier steht jeder Dienstleister, dessen Server unsere Daten berühren, mit Zweck und Standort.
Frontend ≠ Datenhaltung — kurz erklärt
Ein IP-Lookup von flenio.ch zeigt unser Frontend — also die Website-Auslieferung über Vercel (Compute in Frankfurt, EU). Vercels Edge-Netzwerk ist bei AWS registriert, daher taucht dort eine AWS-/Amazon-Kennung auf. Das ist nicht der Ort, an dem deine Daten liegen.
Deine Daten — Datenbank und Datei-Speicher — liegen bei Supabase in der Region eu-central-2 (Zürich). Nachprüfbar am Datenbank-Host db.<projekt>.supabase.co. Datenresidenz bezieht sich auf diese Datenhaltung, nicht auf die Website-Auslieferung.
Supabase
PostgreSQL-Datenbank, Auth, Storage, Realtime
eu-central-2 (Zürich, Schweiz)
Vercel
Hosting des Frontend, Edge-Network
Frankfurt, Deutschland (fra1)
Stripe
Zahlungsabwicklung (nur wenn kostenpflichtiger Plan)
Irland (EU)
Resend
Transaktions-E-Mails inkl. Auth-Mails (Registrierung, Einladungen, Benachrichtigungen)
EU eu-west-1 (Irland)
Anthropic
KI-Funktionen (FlenioAI) — nur bei aktiver Nutzung, pro Workspace deaktivierbar, kein Training mit Kundendaten
USA (AVV inkl. Standard Contractual Clauses)
Die vollständige aktuelle Liste mit Kontakt-Details und letztem Audit findest du im Trust Center.
Vulnerability Disclosure
Sicherheitslücke gefunden? Sag uns Bescheid.
Wir glauben an Responsible Disclosure. Sicherheitsforscher die Lücken verantwortungsvoll melden, listen wir mit Einverständnis im Hall-of-Fame und bedanken uns mit einem CHF 100 Bug-Bounty (oder einem Jahr Team gratis).
Security-Kontakt
E-Mail uns auf security@flenio.ch. PGP-Key auf Anfrage. Antwort innerhalb 24h Werktag.
Was nicht gilt
Theoretische Schwachstellen ohne Proof-of-Concept, Volumetric DDoS, Self-XSS via Browser-Erweiterungen, sowie alles was unter Social Engineering fällt.
Fragen zur Architektur oder zum AVV?
Wenn deine Compliance-Abteilung detaillierte Antworten braucht, schreib uns. Für Banken-, Treuhand- oder Behörden-Audits bereiten wir gerne ein technisches Briefing vor.