NeuKonformitätspaket zur Batterieverordnung 2027 ist verfügbar.Lesen
DPP Automate LogoDPP Automate
Audit

Auditfähig — von Anfang an. Nicht erst zum Sprintende.

Kryptografisch signierte Export-Pakete für benannte Stellen und mitgliedstaatliche Behörden. In Sekunden erzeugt, per Token gescoped, nach Plan abgelaufen.

LoslegenMit Compliance sprechen
  • Kryptografische Signaturen
  • SOC 2 + ISO 27001 attestiert
  • EU-Hosting (Frankfurt + Amsterdam)
Der Audit Room

Eine Read-only-Umgebung, gebaut für Aufsichtsbehörden.

Kein Screenshare. Kein gezippter PDF-Ordner. Eine gescopte, signierte, zeitlich begrenzte Umgebung, die Ihr Prüfer öffnet, liest und verifiziert — ohne je Ihre Konsole zu berühren.

audit.dppautomate.eu / pack / VOLTA-9821
Signatur verifiziert
EU 2023/1542 · 184 SKUs · Erstellt 03.03.2027
Export-Paket · VOLTA-9821
Signiert von
console.dppautomate.eu · Key 8F4B…E217
Zugang läuft ab
in 47 Tagen · 12.05.2027 23:59 UTC
Empfänger
auditor@tuvsud.com
  • Batterie-Erklärung · PDF
    PDF2.4 MB
  • Stoffzusammensetzung · JSON
    JSON184 KB
  • Lieferkettennachweis · XBRL
    XBRL612 KB
  • Signaturkette · JSON
    JSON14 KB
Warum es hält

Vier Eigenschaften, die ein Prüfer selbst verifizieren kann.

01 · Signiert

Signiert by default.

Jeder Export ist kryptografisch signiert — mit einem Schlüssel, den die Behörde gegen unsere öffentliche Kette prüfen kann. Manipulationssicher von der Erzeugung bis zum Abruf.

02 · Gescoped

Gescopter Zugang.

Prüfer erhalten nur die SKUs, Verordnungen und Datenfelder, für die sie freigegeben sind. Nichts darüber hinaus verlässt die Grenze.

03 · Befristet

Zeitlich begrenzt.

Zugangslinks laufen zu einem von Ihnen festgelegten Datum automatisch ab — typisch 14 bis 90 Tage. Danach liefert die URL eine signierte, öffentliche Widerrufsquittung.

04 · Widerrufbar

Widerruf mit einem Klick.

Zugang für jeden Prüfer sofort entziehen. Keine Neuberechnung des Pakets, keine zweite Signaturzeremonie, kein Support-Ticket.

So funktioniert es

Drei Schritte vom Antrag bis zur Verifikation.

  1. 01Step

    Erzeugen.

    SKUs und Verordnungs-Scope wählen. Das Paket wird in unter dreißig Sekunden gebaut, signiert und indiziert.

  2. 02Step

    Teilen.

    Einen einzigen, zeitlich begrenzten Link an die Prüfer oder benannte Stelle senden. Keine Accounts, kein Provisioning pro Person.

  3. 03Step

    Behörde verifiziert.

    Ein Read-only-Portal liefert PDF-, JSON- und XBRL-Exporte — jedes Artefakt signiert, jede Signatur unabhängig prüfbar.

Exportformate

Drei Formate. Eine Signaturzeremonie.

PDF

Druckfähiges Compliance-Dossier mit verifizierbarer Signaturseite. Das Format, das die meisten benannten Stellen immer noch per Hand ablegen.

Für benannte Stellen
JSON

Strukturierter, schema-versionierter Export für nachgelagerte Pipelines. Programmatische Verifikation ohne PDF-Parsing.

Programmatisch
XBRL

Aufsichtstaugliche Taxonomie, die mitgliedstaatliche Behörden für grenzüberschreitendes Reporting verwenden. Dieselben Quelldaten, keine zweite Extraktion.

Aufsichtsstandard
Compliance-Lage

Gebaut für den Raum, den Sie mit einem Regulator betreten.

SOC 2

Type-II-Attestierung, jährlich erneuert. Bericht unter NDA verfügbar.

ISO 27001

Zertifiziertes Informationssicherheits-Management. Statement of Applicability auf Anfrage.

EU-Residenz

Primär in Frankfurt, Replik in Amsterdam. Kein Transit von Kundendaten außerhalb der EU.

Kryptografische Signaturen

Jeder Export und jede Pass-Revision wird signiert. Öffentliche Kette für unabhängige Verifikation.

mTLS + OAuth 2

Prüfer-seitige Authentifizierung über Mutual TLS oder OAuth 2 mit kurzlebigen Tokens. Keine geteilten Passwörter.

Kundeneigene Schlüssel

Enterprise-Tier: bring your own KMS. Wir sehen das unverpackte Schlüsselmaterial nie.

Programmatisch

Audit Rooms aus den Systemen auslösen, die Sie ohnehin betreiben.

Ein signiertes, gescoptes, zeitlich begrenztes Audit-Paket aus einem Workflow-Tool, einem CI-Job oder einem Procurement-Ticket aufsetzen. Das Paket ist gebaut und der Empfänger benachrichtigt, bevor der Request zurückkehrt.

cURLPOST /v1/audit-packs
curl -X POST https://api.dppautomate.eu/v1/audit-packs \
  -H "Authorization: Bearer $DPP_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "sku_filter": ["VOLTA-9821-*"],
    "regulation": "EU 2023/1542",
    "formats": ["pdf", "json", "xbrl"],
    "expires_at": "2027-03-01T00:00:00Z",
    "recipient_email": "auditor@tuvsud.com"
  }'
201 Createdpack_id: pk_8f4be21703a6signed & ready in 18.4s
api.dppautomate.eu / v1 / audit-packsReference docs
Audit Room FAQ

Die Fragen,
die Compliance-Verantwortliche wirklich stellen.

Sechs wiederkehrende Fragen von benannten Stellen, mitgliedstaatlichen Behörden und den Beschaffungsteams, die sie briefen müssen. Wenn Ihre nicht dabei ist, geht das Formular an einen Menschen.

Compliance-Briefing buchen
Wie verifizieren Aufsichtsbehörden die kryptografische Signatur?+

Jedes Paket wird mit einer abgetrennten Signatur und einem Public-Key-Fingerprint ausgeliefert. Der Prüfer (oder sein Tooling) holt den passenden Public Key aus unserer veröffentlichten Kette unter trust.dppautomate.eu, berechnet den Digest neu und prüft ihn gegen die Signatur. Die Verifikation funktioniert offline — kein Rückruf zu unserer Infrastruktur nötig.

Kann ich den Zugang eines Prüfers mitten im Verfahren widerrufen?+

Ja, sofort. Der Widerruf ist ein einziger API-Call (oder ein Klick in der Konsole). Das Paket selbst wird nicht neu berechnet und die Signatur bleibt gültig — was sich ändert: der Zugangs-Endpoint liefert in dem Moment, in dem der Prüfer lädt, eine signierte Widerrufsquittung. Die Quittung selbst ist auditierbar.

Mit welchen benannten Stellen haben Sie gearbeitet?+

Wir haben Audit-Pakete an Mandate bei TÜV SÜD, TÜV Rheinland, DEKRA und Bureau Veritas geliefert, vorrangig für Batterie- und Elektronik-Scopes. Die konkrete Referenzliste ist unter NDA verfügbar — die meisten dieser Mandate wurden vor der öffentlichen Nennung des Kunden geführt.

Wie lange werden Audit-Room-Exporte gespeichert?+

Standardretention ist das Maximum aus: neunzig Tage über das von Ihnen gesetzte Ablaufdatum hinaus oder die gesetzliche Aufbewahrungsfrist der einschlägigen Verordnung. Für ESPR Batterie sind das aktuell zehn Jahre ab Ende des Kalenderjahrs des Inverkehrbringens. Kundendefinierte Retention-Overrides sind im Enterprise-Tier verfügbar.

Unterstützen Sie On-Prem-Audit-Room (air-gapped)?+

Ja, für Enterprise-Kunden in Scopes, in denen Aufsicht oder das ISMS des Kunden eine air-gapped Auslieferung verlangen. Wir liefern eine gehärtete Single-Node-Appliance, die dieselben signierten Pakete gegen dieselbe öffentliche Schlüsselkette erzeugt. Inklusive schriftlicher Verifikationsprozedur, der die Aufsicht folgen kann.

Was passiert mit abgelaufenen Paketen — bleiben die kryptografischen Nachweise?+

Ja. Der Ablauf widerruft den Zugriff auf die zugrundeliegenden Daten, aber die Signatur, der Public Key, der Digest und die Widerrufsquittung werden über die volle gesetzliche Frist aufbewahrt. Ein Regulator kann ein Jahr später verifizieren, dass ein bestimmtes Paket existierte, von einem bestimmten Schlüssel signiert und in einem bestimmten Moment widerrufen wurde — ohne das Paket selbst laden zu müssen.

Seien Sie die Marke,
die bereit ist.

Kostenlos starten30-Min.-Briefing buchen