Sicherheit und Compliance
Vertrauen ist das Herzstück von Certyneo. Diese Seite beschreibt im Detail, welche Maßnahmen heute in unserer Infrastruktur und unserer Anwendung implementiert sind.
Aktualisiert am .
eIDAS-konform
Unsere einfachen Signaturen (SES) und erweiterten Signaturen (AES mit OTP per E-Mail + SMS) erfüllen die eIDAS-Verordnung der Europäischen Union.
TLS 1.3-Verschlüsselung
Alle Client-Server-Kommunikation wird durch TLS 1.3 über unseren Reverse Proxy geschützt (Zertifikate von Let's Encrypt mit automatischer Erneuerung).
Hosting in Deutschland (EU)
Die Anwendung, die PostgreSQL-Datenbank und der Objektspeicher sind auf unserer Infrastruktur in Deutschland (IONOS) innerhalb der Europäischen Union gehostet.
Audit Trail von Signaturen
Jede Aktion (Öffnen, OTP, Signatur, Ablehnung, Ablauf) wird mit Zeitstempel versehen und gespeichert. Eine Audit-Fußzeile ist in das signierte PDF integriert.
Authentifizierung des Unterzeichners
Für das erweiterte Niveau (AES): Doppeltes OTP per E-Mail + SMS (unser OTP-SMS-Anbieter). Für die Anmeldung des Absenders: E-Mail + Passwort, Google, Microsoft Entra.
DSGVO
Einhaltung der Datenschutz-Grundverordnung: Recht auf Zugang, Berichtigung und Löschung, Verarbeitungsverzeichnis.
Behördliche Compliance
Certyneo erfüllt die geltenden europäischen Vorschriften für elektronische Signaturen und Datenschutz.
eIDAS
SES- und AES-Signaturen
Einfache elektronische Signatur (SES) als Standard. Erweiterte elektronische Signatur (AES) mit OTP per E-Mail + SMS für erhöhte Beweiskraft gemäß Verordnung (EU) Nr. 910/2014.
DSGVO
Datenschutz
Einhaltung der Verordnung (EU) 2016/679. Daten in der Europäischen Union gehostet, dokumentierte Aufbewahrungsdauer, Verarbeitungsverzeichnis und DPA auf Anfrage verfügbar.
Unsere Sicherheitsmaßnahmen
Hier sind die konkreten Maßnahmen, die in der Produktion implementiert sind.
- TLS 1.3-Verschlüsselung für alle HTTP-Kommunikation (Caddy 2, Let's Encrypt)
- AES-256-Verschlüsselung für ruhende Daten (Dokumente und Datenbank), gehostet in Deutschland
- Scrypt-Hashing (mit Salt und Timing-Safe-Vergleich) für Benutzerkennwörter
- Einmalige Verifizierungs- und Passwort-Zurücksetzen-Token mit 1-Stunden-Ablauf
- OTP (OTP SMS) für erweiterte Signaturen mit kurzer Gültigkeitsdauer und einmaliger Verwendung
- Anwendungs-seitiges Rate Limiting (Redis) pro Plan auf sensiblen Endpoints
- S3-kompatibler Objektspeicher mit aktivierter Versionierung für Dokumente
- Zeitgestempeltes Audit Log für jeden Schritt des Lebenszyklus einer Umschlagdatei
Bereit, sicher zu signieren?
5 kostenlose Umschläge pro Monat, ohne Kreditkarte. eIDAS- und DSGVO-Compliance inklusive.
Sicherheits-Roadmap
Unsere nächsten Schritte zur Stärkung von Vertrauen und Compliance.
- Q4 2026
ISO-27001-Audit
GeplantISO-27001-Zertifizierungsaudit mit einer akkreditierten Stelle geplant.
- 2027
SOC 2 Typ II
GeplantSOC-2-Type-II-Bericht mit Fokus auf Sicherheit, Verfügbarkeit und Vertraulichkeit.
Verantwortungsvolle Meldung
Haben Sie eine Sicherheitslücke entdeckt? Bitte setzen Sie sich verantwortungsvoll mit uns in Kontakt, bevor Sie eine öffentliche Mitteilung machen. Wir bestätigen den Empfang innerhalb von 48 Arbeitsstunden.
security@certyneo.comDatenverarbeitungsvereinbarung
Unsere DPA beschreibt die Verpflichtungen von Certyneo als Auftragsverarbeiter gemäß DSGVO, einschließlich technischer und organisatorischer Maßnahmen.
Télécharger le DPA (PDF)Häufig gestellte Fragen zur Sicherheit von Certyneo
- Wo werden die Certyneo-Daten gehostet?
- Alle Daten werden ausschließlich in Deutschland (IONOS SE, Frankfurt) in der Europäischen Union gehostet. Es erfolgt keine Replikation oder Auslagerung auf Server außerhalb der EU.
- Unterliegt Certyneo dem US-Cloud-Act?
- Nein. Certyneo ist eine französische Körperschaft (SAS nach französischem Recht) und unterliegt nicht der Extraterritorialität des US-Cloud-Act. Im Gegensatz zu DocuSign, Adobe Sign oder Dropbox Sign (US-Unternehmen) können US-Behörden Certyneo nicht zwingen, Ihre Daten offenzulegen.
- Ist Certyneo DSGVO-konform?
- Ja. Certyneo ist DSGVO-konform: EU-Hosting, TLS-1.3-Verschlüsselung in der Übertragung und AES-256-Verschlüsselung im Ruhezustand, verfügbare DPA (Artikel 28 DSGVO), dokumentierte und begrenzte Aufbewahrungsfrist, Zugriffs- und Löschrechte respektiert.
- Wie sind unterzeichnete Dokumente vor Verfälschung geschützt?
- Jedes unterzeichnete Dokument ist durch ein kryptographisches Siegel (SHA-256-Hash) geschützt, das in einem zeitgestempelten Audit Trail eingetragen ist. Jede Änderung des Dokuments nach der Unterzeichnung invalidiert das Siegel und wird sofort erkannt. Der Audit Trail wird 10 Jahre lang gespeichert.
- Verfügt Certyneo über eine DPA (Data Processing Agreement)?
- Ja. Certyneo bietet eine DPA gemäß Artikel 28 DSGVO, die von Ihrem Dashboard aus elektronisch unterzeichnet und verfügbar ist oder auf Anfrage bereitgestellt wird. Sie beschreibt die Auftragsverarbeiter, technische und organisatorische Maßnahmen (TOMs) und die Rechte betroffener Personen.
Weitere Informationen
Vertiefen Sie Ihr Verständnis der Verordnung und der Signatur-Sicherheitsstufen.
- Die eIDAS-Verordnung verstehen — Sicherheitsstufen SES, AES und QES
- Was ist eine elektronische Signatur? Definition und Funktionsweise
- E-Signatur im Unternehmen implementieren: Best Practices
- Glossar: alle Begriffe der elektronischen Signatur
- Elektronische Signatur und DSGVO — Leitfaden für Datenschutzbeauftragte