Vertrauen ist kein Marketing-Wort.
Es ist Architektur.
Hier findest du alles, was Compliance-, Security- und Legal-Teams für ihre Vendor-Assessment brauchen. Ohne NDA, ohne Sales-Call, ohne „darüber sprechen wir später".
Zürich · Frankfurt · EU
Storage CH, Compute DE, E-Mail EU
Status-Monitoring
Externe Probes alle 60 Sek. — Vercel-Edge in 5 Regionen
Zürich · Frankfurt · EU
Storage CH, Compute DE, E-Mail EU
Compliance & Zertifizierungen
Was wir liefern – und was im Plan ist.
Wir verstecken nichts. Wenn etwas noch nicht da ist, sagen wir es – mit Datum.
DSGVO + revDSG
Schweizer DSG (revDSG) und EU DSGVO Compliance aus Werk – nicht als Add-on.
AVV nach Art. 28 DSGVO
Auftragsverarbeitungs-Vereinbarung inklusive – auch im Free-Plan. Download im Klartext-PDF.
Datenresidenz Schweiz
Alle Inhalte werden Standard in Zürich (Supabase eu-central-2) gespeichert.
Multi-Factor Authentication
TOTP-basierte 2FA (Google Authenticator, 1Password, Authy) für alle Pläne kostenlos.
SAML 2.0 SSO
Single Sign-On via SAML für Business-Pläne (Microsoft Entra, Okta, Google Workspace).
Audit-Trail
Vollständige Activity-Log mit Workspace-Filter und CSV-Export.
Penetration-Test (Drittpartei)
Geplanter Pen-Test im Q4/2026 durch zertifiziertes CH-Security-Lab. Ergebnis-Summary öffentlich.
ISO 27001 (Roadmap)
Zertifizierung in Vorbereitung. Kontrollen werden bereits umgesetzt.
Sub-Processors · Art. 28 DSGVO
Wer deine Daten technisch verarbeitet.
Vollständige, aktuelle Liste der Auftragsverarbeiter mit Standort und jeweiligem DPA-Link.
| Sub-Processor | Zweck | Standort | DPA |
|---|---|---|---|
| Supabase Inc. | Datenbank + Auth | Zürich (eu-central-2) · CH | AGB + DPA |
| Vercel Inc. | Hosting + Compute | Frankfurt (fra1) · DE | AGB + DPA |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung | Dublin · IE | AGB + DPA |
| Resend Inc. | Transaktionale E-Mails | EU-Region | AGB + DPA |
| PostHog Inc. | Produkt-Analytik (EU-Cluster) | Frankfurt · DE | AGB + DPA |
| Anthropic PBC | KI-Inferenz (nur opt-in pro Workspace) | AWS eu-west · IE/DE | AGB + DPA |
Änderungen an dieser Liste werden 30 Tage im Voraus per E-Mail an die Workspace-Owner kommuniziert. Widerspruchsrecht nach Art. 28 Abs. 2 DSGVO bleibt bestehen.
Security Practices
Was unter der Haube läuft.
Verschlüsselung
- TLS 1.3 im Transit zwischen Browser und Server
- AES-256 im Ruhezustand (Datenbank + Storage)
- Passwort-Hashes via bcrypt + Salt
- Geheimnisse via Vercel Environment Variables, niemals im Code
Zugriffskontrolle
- Row Level Security (RLS) auf Postgres-Ebene für jede Tabelle
- Workspace-Isolation: kein User kann Daten anderer Workspaces lesen
- Service-Role-Key nur in Server-Side-Code, nie im Browser
- Optional 2FA per TOTP, optional SAML SSO im Business-Plan
Infrastruktur
- Hosting Storage: Supabase, Zürich (eu-central-2), CH
- Hosting Compute: Vercel, Frankfurt (fra1), DE
- Backups: täglich verschlüsselt, 30 Tage Aufbewahrung
- Disaster-Recovery RPO ≤ 24h, RTO ≤ 4h
Incident-Response
- Meldepflicht 24h gemäß Art. 33 DSGVO an Workspace-Admins
- Security-Incidents in PostHog Audit-Trail vollständig erfasst
- Public Post-Mortems bei Major-Incidents auf der Status-Page
- Bug Bounty: security@flenio.ch · verantwortungsvolle Offenlegung, faire Behandlung garantiert
Compliance-Team-Fragen?
Wir antworten in der Regel innerhalb von 24h. Auch auf englisch. Vendor-Fragebögen (CAIQ, VSA, SIG-Lite) füllen wir gerne aus.