FlenioFlenio
Sicherheit + Compliance

Wir behandeln deine Daten so, wie wir unsere eigenen wollen.

Datenhaltung in Zürich auf jedem Plan, Verarbeitung in der Schweiz und der EU. Nach DSGVO- und revDSG-Standards entwickelt. AVV-PDF in zwei Klicks runtergeladen. Transparente Liste aller Sub-Prozessoren. Was bei anderen Enterprise-Aufschlag kostet, ist bei uns selbstverständlich.

Die vier Säulen

Sicherheit ist kein Feature. Sie ist Architektur.

Daten in der Schweiz

  • Supabase-Region eu-central-2 in Zürich
  • Backups verbleiben in der EU
  • Kein Daten-Transfer in die USA für deine Inhalte
  • Daten-Residenz fix verkettbar pro Workspace (Business)

Verschlüsselung

  • TLS 1.3 für jede Verbindung
  • AES-256 für Daten in Ruhe
  • Verschlüsselte Backups
  • Session-Tokens rotiert + HTTPS-only Cookies

Identitäts-Management

  • Bcrypt-gehashte Passwörter (12 Runden)
  • Multi-Faktor-Authentifizierung via TOTP
  • Single Sign-On via SAML 2.0 (Business)
  • Granulare Rollen Owner, Admin, Member, Gast

Auditierbarkeit

  • Vollständiges Activity-Log pro Workspace
  • 30 Tage Retention auf Team, unbegrenzt auf Business
  • Export als CSV oder JSON
  • Login-Versuche und API-Calls protokolliert

Compliance-Matrix

Standards die wir erfüllen — ohne Sternchen.

Vollständige Transparenz über aktuellen Status. Was nicht zertifiziert ist, sagen wir auch.

StandardRegionStatusDetails
DSGVOEUAusgerichtetEntwickelt nach DSGVO-Vorgaben: AVV nach Art. 28 verfügbar, Daten-Export nach Art. 20, Löschkonzept nach Art. 17. Keine externe Zertifizierung — Status transparent.
revDSGSchweizAusgerichtetEntwickelt nach den Vorgaben des revidierten Schweizer Datenschutzgesetzes (in Kraft seit 1. September 2023): Datenhaltung Schweiz, Auskunfts- und Löschrechte umgesetzt.
GDPR (UK)Vereinigtes KönigreichAusgerichtetUK GDPR ist DSGVO-äquivalent; die DSGVO-Massnahmen greifen entsprechend. International Data Transfer Agreement (IDTA) auf Anfrage.
ISO 27001InternationalIn VorbereitungAudit-Vorbereitung läuft. Geplant für Q4/2026. Subprocessor Supabase ist bereits ISO 27001 zertifiziert.
SOC 2 Type IIUSAIn VorbereitungVorbereitende Audits Q2/2026. Geplante Zertifizierung Q1/2027.
C5 TestatDeutschlandRoadmapCloud Computing Compliance Criteria Catalogue. Roadmap 2027 für Behördenkunden.

Sub-Prozessoren

Wer welche Daten verarbeitet — vollständig aufgelistet.

Wir verstecken nichts in Fussnoten — hier steht jeder Dienstleister, dessen Server unsere Daten berühren, mit Zweck und Standort.

Frontend ≠ Datenhaltung — kurz erklärt

Ein IP-Lookup von flenio.ch zeigt unser Frontend — also die Website-Auslieferung über Vercel (Compute in Frankfurt, EU). Vercels Edge-Netzwerk ist bei AWS registriert, daher taucht dort eine AWS-/Amazon-Kennung auf. Das ist nicht der Ort, an dem deine Daten liegen.

Deine Daten — Datenbank und Datei-Speicher — liegen bei Supabase in der Region eu-central-2 (Zürich). Nachprüfbar am Datenbank-Host db.<projekt>.supabase.co. Datenresidenz bezieht sich auf diese Datenhaltung, nicht auf die Website-Auslieferung.

Supabase

PostgreSQL-Datenbank, Auth, Storage, Realtime

eu-central-2 (Zürich, Schweiz)

SOC 2HIPAAISO 27001

Vercel

Hosting des Frontend, Edge-Network

Frankfurt, Deutschland (fra1)

SOC 2PCI DSS

Stripe

Zahlungsabwicklung (nur wenn kostenpflichtiger Plan)

Irland (EU)

PCI DSS Level 1SOC 1+2

Resend

Transaktions-E-Mails inkl. Auth-Mails (Registrierung, Einladungen, Benachrichtigungen)

EU eu-west-1 (Irland)

SOC 2

Anthropic

KI-Funktionen (FlenioAI) — nur bei aktiver Nutzung, pro Workspace deaktivierbar, kein Training mit Kundendaten

USA (AVV inkl. Standard Contractual Clauses)

SOC 2

Die vollständige aktuelle Liste mit Kontakt-Details und letztem Audit findest du im Trust Center.

Vulnerability Disclosure

Sicherheitslücke gefunden? Sag uns Bescheid.

Wir glauben an Responsible Disclosure. Sicherheitsforscher die Lücken verantwortungsvoll melden, listen wir mit Einverständnis im Hall-of-Fame und bedanken uns mit einem CHF 100 Bug-Bounty (oder einem Jahr Team gratis).

Security-Kontakt

E-Mail uns auf security@flenio.ch. PGP-Key auf Anfrage. Antwort innerhalb 24h Werktag.

Was nicht gilt

Theoretische Schwachstellen ohne Proof-of-Concept, Volumetric DDoS, Self-XSS via Browser-Erweiterungen, sowie alles was unter Social Engineering fällt.

Fragen zur Architektur oder zum AVV?

Wenn deine Compliance-Abteilung detaillierte Antworten braucht, schreib uns. Für Banken-, Treuhand- oder Behörden-Audits bereiten wir gerne ein technisches Briefing vor.