EU-Datenresidenz
eu-central-1 · Frankfurt
Datenbank, Object Storage, Telemetrie-Hot- und Cold-Path sowie LLM-Inferenz (Mistral La Plateforme / Azure OpenAI Sweden) liegen in der EU. US-Routing nur auf expliziten Per-Call-Opt-in.
Operational Readiness
Wo unsere Daten leben. Wer was sieht. Was wir versprechen.
Diese Seite beschreibt die technische und organisatorische Realität hinter der Plattform — keine Marketing-Aussagen, sondern überprüfbare Eigenschaften unseres Stacks. Auditoren bitten wir aktiv um den Penetrationstest.
Encryption
AES-256 at rest · TLS 1.3 in transit · per-tenant CMK
Postgres-TDE auf Speicher-Ebene. Application-level Field-Encryption für PII via pgcrypto mit per-tenant Keys. Evidence-Vault nutzt Envelope-Encryption: Data-Key pro Record, gewrappt mit Tenant-CMK in KMS.
Immutable Evidence
Hash-Chain · Ed25519 · RFC 3161
Jeder Evidence-Record verlinkt mit SHA-256-Hash zum Vorgänger und ist mit dem Tenant-Schlüssel signiert. High-Stakes-Records bekommen zusätzlich einen RFC-3161-Timestamp von zwei unabhängigen EU-TSAs.
RBAC + ABAC
Owner · Admin · DPO · Developer · Auditor
Fünf Basis-Rollen aus einem Permission-Katalog. Attribute-basierte Zusatz-Bedingungen (z. B. „nur in production environment") gaten kritische Aktionen serverseitig. UI versteckt Controls, vertraut dem Hide aber nicht.
Tenant-Isolation
Row-Level-Security · Service-Plane-Token · Storage-Prefix
Drei Schichten: Postgres-RLS auf jeder Governance-Tabelle, tenant-scoped JWT zwischen Services, Object-Storage IAM auf `tenant/<id>/` Prefix. Cross-Tenant-Reads sind unmöglich, nicht nur „ungewollt".
Audit Log
Append-only · 7y default retention
Jede Mutation schreibt eine Zeile in `governance_admin_log` mit `actor_user_id`, `action`, `target_type`, `target_id`, `payload`, `at`. Unveränderbar nach Insert. UI-Tab in jeder List-View zeigt die letzten 50 Mutationen.
Compliance-Postur
Status der wichtigsten Rahmenwerke. „Self-Assessment" bedeutet: technisch implementiert, externe Zertifizierung in Vorbereitung.
Implemented
GDPR / DSGVO
Art. 30 ROPA, Art. 33 72h-Incident-Flow, Art. 35 DPIA-Generator, DSR-Tracker für Art. 15+17.
Implemented
TTDSG §25
Consent-vor-Tracking Detection in Browser-Extension + Server-SDK.
In Progress
EU AI Act
AI-Usecase-Classifier (Annex III), Obligation-Engine pro Risikoklasse, Annex-IV-Generator.
Self-Assessment
ISO 27001
Control-Mapping in Compliance-Matrix; externe Zertifizierung 2026 Q4.
Self-Assessment
SOC 2 Type II
Trust-Service-Criteria gemappt; Audit-Window 2027 Q1–Q2.
Self-Assessment
NIST AI RMF
Govern/Map/Measure/Manage gemappt auf existierende Controls.
Planned
BSI C5
Kriterienkatalog-Mapping geplant; Voraussetzung für Behörden-Beschaffung.
Planned
NIS2
Control-Set-Mapping geplant (Risiko-, Incident-, Lieferketten-Anforderungen).
SLOs & Operational Metrics
Ziel-Werte aus dem Plattform-Blueprint. Live-Metriken folgen mit der Status-Page in Q3.
| Service | Availability | p99 Latency | Error Rate |
|---|---|---|---|
| Telemetry ingest | 99.95% | <100ms | <0.1% |
| Policy decision (inline) | 99.9% | <50ms | <0.05% |
| Graph query (UI) | 99.9% | <500ms | <0.5% |
| Agent run start | 99.5% | <30s | <2% |
| Evidence seal | 99.99% | <2s | <0.01% |
| Reporting (Annex IV) | 99.5% | <5min | <1% |
Sub-Processors
Vollständige, transparente Liste. Änderungen werden mit 30 Tagen Vorlaufzeit angekündigt.
Supabase
Hosted Postgres, Auth, Edge Functions, Storage
eu-central-1
EU-only
Stripe
Billing — keine Governance-Daten
US (Stripe Inc.)
SCC + DPF
Resend
Transactional E-Mail
EU
EU-only
Cloudflare
CDN, DDoS-Schutz, DNS
EU-only PoPs
EU-only
GitHub
Source-Code-Hosting (kein Kunden-Datenfluss)
US (Microsoft)
SCC + DPF
Responsible Disclosure
Sicherheitslücken bitte vertraulich an security@realsyncdynamicsai.de. Wir antworten binnen 48h, koordinieren mit dem Reporter und veröffentlichen CVE-relevante Fixes mit Credit.