Sicherheit ist kein Versprechen, sondern eine Architektur.
Ihre Dokumente enthalten das Sensibelste, was Ihr Unternehmen hat. Deshalb trennen wir klar zwischen dem, was heute nachweisbar im Produkt ist, und dem, was wir als Nächstes zertifizieren lassen.
Heute im Produkt
Verschlüsselung auf Dokumentebene
Jede Datei wird mit einem eigenen Schlüssel verschlüsselt; die Schlüssel selbst liegen geschützt in einem dedizierten Schlüsselspeicher (Envelope-Verschlüsselung).
Betrieb, wo Ihre Daten liegen dürfen
In Ihrer Cloud, vollständig on-premises oder in einer souveränen deutschen Cloud. Der Self-Hosting-Betrieb ist keine Ankündigung, sondern gelebte Praxis.
DSGVO-Funktionen ausgeliefert
Lösch- und Datenexport-Funktionen (Art. 17 / Art. 20) sind im Produkt — nicht auf der Roadmap.
Audit-Trail
Jede Schwärzungsentscheidung — Vorschlag, Anpassung, Export — ist lückenlos nachvollziehbar.
Mensch entscheidet
Kein Dokument verlässt das System ohne visuelle Prüfung durch Ihr Team.
Der Zertifizierungsweg
Zertifikate ersetzen keine Architektur — aber sie machen sie prüfbar. Diesen Weg gehen wir offen sichtbar und in dieser Reihenfolge:
- ISO 27001in Vorbereitung
- BSI C5geplant
- NIS2-Konformitätgeplant
- Cyber Resilience Actgeplant
- STACKIT — souveräne deutsche Cloudgeplant
- ISO 27001 — Aufbau des Informationssicherheits-Managementsystems läuft; Zertifizierung in Vorbereitung.
- BSI C5 — Testat für Cloud-Dienste, geplant im Anschluss an ISO 27001; für den öffentlichen Sektor häufig Beschaffungsvoraussetzung.
- NIS2-Konformität — Ausrichtung an den Anforderungen für kritische und wichtige Einrichtungen, geplant.
- Cyber Resilience Act — sichere Produktentwicklung nach den Herstellerpflichten des CRA (Schwachstellen-Management, Update-Versorgung, Meldeprozesse), geplant. Die Meldepflichten greifen ab September 2026, die vollen Herstellerpflichten ab Ende 2027 — wir richten die Entwicklung frühzeitig daran aus.
- STACKIT — Hosting-Option in der souveränen deutschen Cloud der Schwarz Gruppe, geplant. Deutsche Rechenzentren, deutsches Recht, keine Drittstaaten-Zugriffe.
Stand: Juli 2026 — noch keine der genannten Zertifizierungen ist erteilt.
Fragen zur Sicherheitsarchitektur?
Wir beantworten sie direkt — auch die unbequemen.