NeuKonformitätspaket zur Batterieverordnung 2027 ist verfügbar.Lesen
DPP Automate LogoDPP Automate
Rechtliches

Vertrauen, by design. Auditiert von Anfang an.

In der EU gehostet, kryptografisch signiert, gebaut für Regulatoren, die wirklich hinschauen. Kontrollen lesen, Berichte anfordern.

  • EU-Datenresidenz
  • Kryptografische Signaturen
  • DSGVO-konform
Berichte anfordernSicherheitslücke melden
Zertifizierungen

Was wir haben, woran wir arbeiten, was als Nächstes kommt.

SOC 2 Type II

In Bearbeitung

Unabhängiges Audit unserer Sicherheits-, Verfügbarkeits- und Vertraulichkeitskontrollen. Mit unserem Auditor laufend.

Status anfragen

ISO 27001

In Bearbeitung

Informationssicherheits-Managementsystem nach ISO/IEC 27001. Vorbereitung Stage 1 läuft.

Status anfragen

TISAX

Roadmap

Lieferketten-Assessment für die Automobilindustrie. Für den nächsten Compliance-Zyklus eingeplant.

Status anfragen

DSGVO-konform

Bestanden

EU-Datenresidenz, AVV nach Art. 28, SCC Modul 2, 30-Tage-Löschfristen. Konform per Default.

Status anfragen

EU-Datenresidenz

Bestanden

Kundendaten werden ausschliesslich in der EU verarbeitet und gespeichert — Frankfurt primär, Amsterdam Failover.

Status anfragen

Jährlicher Penetrationstest

In Bearbeitung

Offensiver Sicherheitstest der Produktiv-App durch Dritte. Zusammenfassung nach jedem Zyklus auf Anfrage.

Status anfragen
Versprechen

Vier Zusagen auf jedem Passport.

01 · Sicherheit

Schutz auf jeder Ebene.

Verschlüsselung in Transit und at rest, mTLS plus OAuth 2 zwischen Services und ein kryptografisch signierter Audit-Trail für jedes Passport-Ereignis.

02 · Datenschutz

Europäische Daten, europäische Regeln.

DSGVO-konforme Verarbeitung, EU-Residenz und kundenverwaltete Verschlüsselungsschlüssel (BYOK) im Enterprise-Plan.

03 · Verfügbarkeit

Gebaut, um zu laufen.

99,95 % SLA auf Operator, 99,99 % auf Enterprise. Active-Active zwischen Frankfurt und Amsterdam. Statusseite in Echtzeit.

04 · Transparenz

Keine Überraschungen.

Öffentlicher AVV und dieses Trust Center. Änderungen bei Unterauftragsverarbeitern werden 30 Tage im Voraus angekündigt. Jeder Vorfall wird innert fünf Werktagen veröffentlicht.

Architektur

Die Kontrollen hinter den Aussagen.

Verschlüsselung in Transit

TLS 1.2+ an jedem öffentlichen Endpunkt. mTLS zwischen internen Services mit kurzlebigen Zertifikaten.

Verschlüsselung at rest

AES-256 für Datenbanken, Blob-Storage und Backups. Tenant-spezifische Schlüssel mit dokumentierter Rotation.

Identität & Zugriff

Clerk-basierte Identität, OAuth 2 / OpenID Connect, SSO und SCIM im Enterprise-Plan.

Netzwerk-Isolation

Pro Umgebung eigene VPCs, keine öffentlichen Datenbank-Endpoints. Egress-Allowlist, Ingress am Edge gefiltert.

Audit-Logging

Kryptografisch signierter, append-only Audit-Trail. Unveränderliche Revisionshistorie für jeden Passport.

Kundenverwaltete Schlüssel

Enterprise-Kunden können BYOK (eigene Schlüssel) für die Verschlüsselung at rest nutzen und rotieren sie nach eigenem Plan.

Datenresidenz

Deine Daten bleiben in Europa.

Kundendaten werden ausschliesslich innerhalb der Europäischen Union verarbeitet und gespeichert. Keine Kopien, Repliken oder Backups verlassen die Region — weder für Analytik noch für Support oder Failover.

Hauptsitz Schweiz, Hosting in der EU: die Kombination, die europäische Beschaffungsteams am häufigsten verlangen. Grenzüberschreitende Übermittlungen nach Art. 44 ff. DSGVO werden über die EU-Standardvertragsklauseln (2021/914), Modul 2, mit unserem Standard-AVV geregelt.

Schweizer HQ · EU gehostet
Primärregion
Frankfurt
Deutschland

Primäre Produktionsregion für Compute, Storage und Audit-Logs. Bedient standardmässig den gesamten Kundenverkehr.

Active-Active
Failover-Region
Amsterdam
Niederlande

Hot-Standby-Region für synchrone Replikation und automatisches Failover innerhalb des EU-Footprints.

Active-Active
Berichte & Dokumente

Alles, was Beschaffung und Security verlangen.

  • SOC 2 Type II Bericht
    In Bearbeitung
    Zuletzt aktualisiert
    In Bearbeitung
    Status anfragen
  • ISO 27001 Zertifikat
    In Bearbeitung
    Zuletzt aktualisiert
    In Bearbeitung
    Status anfragen
  • Penetrationstest-Zusammenfassung
    Auf Anfrage
    Zuletzt aktualisiert
    NDA erforderlich
    Anfordern
  • Liste der Unterauftragsverarbeiter
    Öffentlich
    Zuletzt aktualisiert
    Laufend gepflegt
    Auf /dpa ansehen
  • Auftragsverarbeitungsvertrag (AVV)
    Öffentlich
    Zuletzt aktualisiert
    Mai 2026
    Auf /dpa ansehen
  • Datenschutzerklärung
    Öffentlich
    Zuletzt aktualisiert
    Mai 2026
    Datenschutz ansehen
  • Architektur-Whitepaper
    Auf Anfrage
    Zuletzt aktualisiert
    NDA erforderlich
    Anfordern

Dokumente mit Status „In Bearbeitung“ werden gemeinsam mit unserem Auditor vorbereitet. NDA-geschützte Unterlagen senden wir innert zwei Werktagen nach einer schriftlichen Anfrage einer benannten Beschaffungs- oder Security-Kontaktperson.

Responsible Disclosure

Sicherheitslücke gefunden? Sag es uns zuerst.

Im Scope: die produktive Anwendung, Kundendaten und unsere öffentlichen APIs. Out of Scope: Drittservices, von denen wir abhängen (Clerk, Convex, Google) — diese bitte direkt beim Anbieter melden.

Meldungen per E-Mail an die untenstehende Adresse. PGP-verschlüsselte Einreichungen sind willkommen — den öffentlichen Schlüssel in der ersten Nachricht anfragen.

Jede Meldung bestätigen wir innert 72 Stunden, triagieren innert fünf Werktagen und streben für kritische Befunde einen Fix innert vierzehn Tagen an.

Safe Harbour: gegen Forschende, die diese Richtlinie befolgen und Datenschutzverletzungen, Service-Unterbrechungen oder Datenabfluss vermeiden, ergreifen wir keine rechtlichen Schritte.

info@dppautomate.comStichwort „security“ in der Betreffzeile für schnellstes Triage.
Hall of Fame
Sei die Erste.

Bisher keine öffentlichen Meldungen. Forschende, die einen validen Befund melden, werden hier — mit Zustimmung — genannt.

Bug Bounty · Roadmap
Vorfälle

Betriebshistorie, ohne Schönfärberei.

Meldepflichtige Vorfälle
0
Bis heute null meldepflichtige Vorfälle.

Gezählt seit dem Start im Jahr 2024 bis heute. Jeder meldepflichtige Vorfall wird innert fünf Werktagen veröffentlicht.

Alles ruhig

Wie wir Vorfälle veröffentlichen.

Ein meldepflichtiger Vorfall ist jedes ungeplante Ereignis, das Vertraulichkeit, Integrität oder Verfügbarkeit von Kundendaten betrifft. Wir veröffentlichen ein öffentliches Post-Mortem mit Root Cause, Kundenauswirkung und Massnahmen innert fünf Werktagen. Status-Updates über die Seite unten abonnieren.

status.dppautomate.com
Security-Kontakt

Erreiche das Security-Team.

Für Lieferanten-Due-Diligence, Sicherheitsfragebögen oder Compliance-Eskalationen schreib an die untenstehende Adresse — unser Security-Lead antwortet.

Security-E-Mail
info@dppautomate.com

Stichwort „security“ in der Betreffzeile für schnellstes Triage.

Betreibergesellschaft
DPP Automate
Schlosstalstrasse 202
8408 Winterthur
Switzerland

Seien Sie die Marke,
die bereit ist.

Kostenlos starten30-Min.-Briefing buchen