Trust Center
Sicherheit und Datenschutz nach Schweizer Standards
Sicherheitskontrollen
Compliance
revDSG-konforme Auftragsbearbeitung
Auftragsbearbeitungsvertrag (DPA) mit jeder Kanzlei, Verarbeitung nur auf dokumentierte Weisung
Schweizer Mandatsgeheimnis im Fokus
Produkt explizit für Anwälte konzipiert, Architektur auf Schutz von Berufsgeheimnissen ausgelegt
B2B-Only
Dienst richtet sich ausschliesslich an Geschäftskunden, keine Consumer-Accounts
Data & AI Governance
Keine Trainingsnutzung Ihrer Daten
Claude Opus 4.6 via AWS Bedrock EU konfiguriert, dass Ein-/Ausgaben nicht zum Training verwendet werden
Strikte Mandantentrennung
Pro Organisation getrennte Datenräume, Row Level Security (RLS) auf Datenbankebene
Verschlüsselte Chats & Dokumente
TLS in Transit, Verschlüsselung at rest in Supabase (inkl. Chat-Titel, Nachrichten, Dokumente)
Auftragsbearbeitungsvertrag (DPA)
Standard-DPA nach revDSG; regelt Zwecke, TOMs, Sub-Prozessoren, Löschung
Infrastructure Security
Hosting in der Schweiz & EU
Compute, Logs in AWS Zürich (eu-central-2), KI via EU Cross-Region Inference (nur EU-Regionen), Supabase im Schweizer Rechenzentrum
Netzwerk-Sicherheit & TLS
Alle Verbindungen zur App und zu DBs per TLS, Zugriff auf Admin-Interfaces nur über gesicherte Accounts
Secret-Management
API-Keys, DB-Passwörter etc. in AWS Secrets Manager, nicht im Repository
Logging & Monitoring
Technische Logs via AWS CloudWatch, Fehler-Monitoring der Kernservices
Application Security
Rollenbasierte Zugriffskontrolle
Rollen (Admin/Member) pro Organisation, Zugriff abhängig von Rolle und Org-Scope
Strikte Mandats-Scopes
Fälle, Dokumente und Chats sind je Mandat/Fall isoliert, kein Zugriff auf fremde Organisationen
Sichere Authentifizierung mit Clerk
Moderne Passwort-Hashing-Verfahren, Session-Management durch spezialisierten Auth-Provider
Organizational Security
Need-to-know-Zugriff auf Produktionssysteme
Nur wenige berechtigte Personen mit Zugang, primär für Betrieb, Support & Fehleranalyse
Vertraulichkeitsverpflichtung
Interne Personen mit Datenzugriff sind zur Geheimhaltung verpflichtet
Prozess für Sicherheitsvorfälle
Interner Ablauf zur Erkennung, Bewertung und Meldung von Incidents
Business Continuity
Regelmässige Backups
Datenbank-Backups in definierten Intervallen, Aufbewahrung max. 180 Tage
Wiederherstellungsfähigkeit
Möglichkeit zur Wiederherstellung aus Backups bei grösseren Incidents
Lösch- und Aufbewahrungskonzept
Logs & Backups max. 180 Tage, Datenlöschung nach Vertragsende innerhalb von 180 Tagen
Subprozessoren
Wir arbeiten nur mit Anbietern zusammen, die ein angemessenes Datenschutzniveau gewährleisten (CH/EU oder SCC).
| Anbieter | Zweck | Standort |
|---|---|---|
| AWS Zürich | Infrastruktur, Compute, Datenspeicherung, Logging | CH |
| Supabase | Datenbank & Storage | CH |
| Hostpoint | E-Mail-Versand & -Empfang | CH |
| AWS EU | KI-Modellverarbeitung (Bedrock EU Cross-Region Inference) | EU |
| Clerk | Authentifizierung & Organisationsverwaltung | EU |
| Stripe | Zahlungsabwicklung | EU/US (SCC) |
Alle Subprozessoren sind vertraglich zur Einhaltung unserer Datenschutzstandards verpflichtet.
Auftragsbearbeitungsvertrag (DPA) anfordern
Auf Wunsch schliessen wir einen Auftragsbearbeitungsvertrag (DPA) nach revDSG ab. Dieser regelt die Verarbeitung personenbezogener Daten, technische und organisatorische Massnahmen sowie den Umgang mit Subprozessoren.
DPA einsehen