Wo werden die Certyneo-Daten gehostet?

Alle Daten werden ausschließlich in Deutschland (IONOS SE, Frankfurt) in der Europäischen Union gehostet. Es erfolgt keine Replikation oder Weitergabe an Server außerhalb der EU.

Unterliegt Certyneo dem US Cloud Act?

Nein. Certyneo ist eine französische Kapitalgesellschaft (SAS französischen Rechts) und unterliegt nicht der Extraterritorialität des amerikanischen Cloud Act. Im Gegensatz zu DocuSign, Adobe Sign oder Dropbox Sign (amerikanische Unternehmen) können amerikanische Behörden Certyneo nicht zwingen, Ihre Daten offenzulegen.

Ist Certyneo DSGVO-konform?

Ja. Certyneo ist DSGVO-konform: Hosting in der EU, TLS-1.3-Verschlüsselung bei der Übertragung und AES-256 im Ruhezustand, verfügbare DPA (Artikel 28 DSGVO), dokumentierte und begrenzte Aufbewahrungsdauer, Zugriffs- und Löschrechte werden beachtet.

Wie sind unterzeichnete Dokumente vor Fälschung geschützt?

Jedes unterzeichnete Dokument ist durch ein kryptographisches Siegel (SHA-256-Hash) geschützt, das in einem Audit-Trail mit Zeitstempel eingetragen ist. Jede Änderung des Dokuments nach der Unterzeichnung macht das Siegel ungültig und wird sofort erkannt. Das Audit-Trail wird 10 Jahre lang aufbewahrt.

Verfügt Certyneo über einen DPA (Datenverarbeitungsvertrag)?

Ja. Certyneo bietet einen Datenverarbeitungsvertrag, der Artikel 28 DSGVO entspricht und direkt über Ihr Dashboard verfügbar und elektronisch unterzeichnet werden kann oder auf Anfrage erhältlich ist. Er enthält Informationen über Unterauftragnehmer, technische und organisatorische Maßnahmen (TOMs) sowie die Rechte betroffener Personen.

Sicherheit und Compliance

Vertrauen ist der Kern von Certyneo. Diese Seite beschreibt genau, was heute in unserer Infrastruktur und unserer Anwendung umgesetzt ist.

Zuletzt aktualisiert am 17. April 2026.

Certyneo-Sicherheit — Infrastruktur und Verschlüsselung

eIDAS-konform

Unsere einfachen (SES) und fortgeschrittenen (AES mit OTP E-Mail + SMS) Signaturen erfüllen die eIDAS-Verordnung der Europäischen Union.

TLS-1.3-Verschlüsselung

Die gesamte Kommunikation zwischen Client und Server wird über unseren Reverse-Proxy per TLS 1.3 geschützt (automatisch erneuerte Let's-Encrypt-Zertifikate).

Hosting in Frankreich

Die Anwendung, die PostgreSQL-Datenbank und der Objektspeicher laufen auf unserer eigenen Infrastruktur in Frankreich (IONOS).

Audit-Trail der Signaturen

Jede Aktion (Öffnen, OTP, Signatur, Ablehnung, Ablauf) wird mit Zeitstempel gespeichert. Ein Audit-Footer ist in das signierte PDF eingebettet.

Authentifizierung des Unterzeichners

Für die fortgeschrittene Stufe (AES): doppeltes OTP per E-Mail + SMS (OTP SMS). Für die Anmeldung des Absenders: E-Mail + Passwort, Google, Microsoft Entra.

DSGVO

Konformität mit der Datenschutz-Grundverordnung: Auskunftsrecht, Recht auf Berichtigung und Löschung, Verzeichnis der Verarbeitungstätigkeiten.

Regulatorische Konformität

Certyneo erfüllt die europäischen Verordnungen, die für elektronische Signaturen und den Schutz personenbezogener Daten gelten.

eIDAS

SES- und AES-Signaturen

Standardmäßig einfache elektronische Signatur (SES). Fortgeschrittene elektronische Signatur (AES) mit OTP E-Mail + SMS für eine höhere Beweiskraft im Sinne der Verordnung (EU) Nr. 910/2014.

DSGVO

Schutz personenbezogener Daten

Konformität mit der Verordnung (EU) 2016/679. Daten in der Europäischen Union gehostet, dokumentierte Aufbewahrungsfristen, Verzeichnis der Verarbeitungstätigkeiten und AV-Vertrag auf Anfrage verfügbar.

Unsere Sicherheitspraktiken

Dies sind die konkreten Maßnahmen, die im Betrieb eingesetzt werden.

TLS-1.3-Verschlüsselung für die gesamte HTTP-Kommunikation (Caddy 2, Let's Encrypt)
Scrypt-Hashing (mit Salt und Timing-safe-Vergleich) für Benutzerpasswörter
Einmalige E-Mail-Verifizierungs- und Passwort-Reset-Tokens, Ablauf nach 1 Stunde
OTP (OTP SMS) für die fortgeschrittene Signatur, kurze Gültigkeit, Einmalgebrauch
Anwendungsseitiges Rate-Limiting (Redis) pro Tarif auf sensiblen Endpunkten
S3-kompatibler Objektspeicher mit aktivierter Versionierung für Dokumente
Zeitgestempeltes Audit-Log für jeden Schritt des Lebenszyklus eines Umschlags
Audit-Protokoll mit Zeitstempel für jeden Schritt des Enveloppen-Lebenszyklus

Bereit, sicher zu signieren?

5 kostenlose Umschläge pro Monat, ohne Kreditkarte. eIDAS- und GDPR-Konformität inbegriffen.

Kostenlos starten Demo anfordern

Security roadmap

Our upcoming milestones to strengthen trust and compliance.

Q4 2026
ISO 27001 audit
Geplant
ISO 27001 certification audit planned with an accredited body.
2027
SOC 2 Type II
Geplant
SOC 2 Type II report covering security, availability and confidentiality.

Responsible disclosure

Found a vulnerability? Please contact us responsibly before any public disclosure. We acknowledge receipt within 48 business hours.

security@certyneo.com

Data Processing Agreement

Our DPA details Certyneo's obligations as a data processor under the GDPR, including technical and organisational measures.

Download DPA (PDF)

Häufig gestellte Fragen zur Sicherheit von Certyneo

Wo werden die Certyneo-Daten gehostet?: Alle Daten werden ausschließlich in Deutschland (IONOS SE, Frankfurt) in der Europäischen Union gehostet. Es erfolgt keine Replikation oder Weitergabe an Server außerhalb der EU.
Unterliegt Certyneo dem US Cloud Act?: Nein. Certyneo ist eine französische Kapitalgesellschaft (SAS französischen Rechts) und unterliegt nicht der Extraterritorialität des amerikanischen Cloud Act. Im Gegensatz zu DocuSign, Adobe Sign oder Dropbox Sign (amerikanische Unternehmen) können amerikanische Behörden Certyneo nicht zwingen, Ihre Daten offenzulegen.
Ist Certyneo DSGVO-konform?: Ja. Certyneo ist DSGVO-konform: Hosting in der EU, TLS-1.3-Verschlüsselung bei der Übertragung und AES-256 im Ruhezustand, verfügbare DPA (Artikel 28 DSGVO), dokumentierte und begrenzte Aufbewahrungsdauer, Zugriffs- und Löschrechte werden beachtet.
Wie sind unterzeichnete Dokumente vor Fälschung geschützt?: Jedes unterzeichnete Dokument ist durch ein kryptographisches Siegel (SHA-256-Hash) geschützt, das in einem Audit-Trail mit Zeitstempel eingetragen ist. Jede Änderung des Dokuments nach der Unterzeichnung macht das Siegel ungültig und wird sofort erkannt. Das Audit-Trail wird 10 Jahre lang aufbewahrt.
Verfügt Certyneo über einen DPA (Datenverarbeitungsvertrag)?: Ja. Certyneo bietet einen Datenverarbeitungsvertrag, der Artikel 28 DSGVO entspricht und direkt über Ihr Dashboard verfügbar und elektronisch unterzeichnet werden kann oder auf Anfrage erhältlich ist. Er enthält Informationen über Unterauftragnehmer, technische und organisatorische Maßnahmen (TOMs) sowie die Rechte betroffener Personen.

Mehr erfahren

Vertiefen Sie Ihr Verständnis der Regulierung und der Signaturstufen.