Carlusion

Sicherheit & Datenschutz

Ihre Daten gehören
Ihrer Garage.

Schweizer Hosting, revDSG-konform, ZertES-Signatur und Backups in zwei Regionen. Carlusion ist von Grund auf für den Schweizer Markt gebaut — keine US-Cloud, kein EU-Datenfluss.

Hosting in der Schweiz

Alle Kundendaten werden ausschliesslich in zertifizierten Rechenzentren in der Schweiz gespeichert und verarbeitet — keine Übertragung in Drittländer.

revDSG-konform

Aufgesetzt nach dem revidierten Datenschutzgesetz (revDSG) der Schweiz. Auftragsverarbeitungsvertrag (DPA) für Business und Gruppe verfügbar.

ZertES-Signatur (QES)

Qualifizierte elektronische Signaturen über SwissID und Swisscom Sign — rechtsverbindlich nach Schweizer Obligationenrecht.

Tägliche Backups

Inkrementelle Backups, redundant gespiegelt in einem zweiten Schweizer Rechenzentrum. 30 Tage Aufbewahrung, Wiederherstellung auf Anfrage.

Datenstandort

Ihre Daten bleiben in der Schweiz.

Carlusion läuft auf der Public Cloud von Infomaniak — einem unabhängigen Schweizer Anbieter mit Rechenzentren in Genf und Winterthur. Datenbank, Dateispeicher, Backups und Logs verlassen die Schweiz nicht.

Infomaniak betreibt seine Rechenzentren mit 100 % Schweizer Strom und ist nach ISO 27001 zertifiziert. Sie wissen jederzeit, wo Ihre Daten liegen — die vollständige Liste der Sub-Auftragnehmer geben wir auf Anfrage offen.

  • Hosting auf Infomaniak Public Cloud (Schweizer Anbieter)
  • Rechenzentren in Genf und Winterthur
  • Keine Datenübertragung in die EU oder USA

Verschlüsselung

Verschlüsselt im Transit und im Speicher.

Jede Verbindung läuft über TLS 1.3 mit modernen Cipher-Suites. Daten werden im Speicher mit AES-256 verschlüsselt — Datenbanken, Dateien, Backups.

Schlüssel werden in einer Schweizer KMS-Umgebung verwaltet, getrennt vom Anwendungs­zugriff.

  • TLS 1.3, HSTS, moderne Cipher-Suites
  • AES-256 für Datenbanken, Dateien und Backups
  • Schlüsselverwaltung getrennt von der App

Zugriff & Identität

Klare Rollen, harte Audit-Spur.

Jeder Zugriff erfolgt über ein persönliches Konto. Admins müssen Zwei-Faktor-Authentifizierung aktivieren. Verkäufer-Konten können MFA optional nutzen.

Alle wichtigen Aktionen — Vertragsabschluss, Datenexport, Benutzeränderung — werden in einem unveränderlichen Audit-Log mit Zeitstempel und Benutzer protokolliert.

  • Zwei-Faktor-Authentifizierung (TOTP) — Pflicht für Admins
  • Granulare Rollen pro Modul und Standort
  • Audit-Log für sicherheitskritische Aktionen

Elektronische Signatur

Rechtsverbindlich signieren — ohne Ausdruck.

Kaufverträge, Übergabeprotokolle und Garantieurkunden werden direkt in Carlusion erzeugt und über qualifizierte elektronische Signatur (QES) nach ZertES unterschrieben.

Wir nutzen SwissID und Swisscom Sign als Signaturanbieter. Beide sind in der Schweiz zugelassene Vertrauensdienste.

  • QES nach ZertES — gleichwertig zur handschriftlichen Unterschrift
  • Signatur via SwissID oder Swisscom Sign
  • Unbegrenzte Signaturen ab Pro-Tarif inklusive

Backup & Wiederherstellung

Wenn etwas schiefgeht, gibt es einen Weg zurück.

Inkrementelle Backups laufen alle vier Stunden, ein vollständiger Snapshot pro Nacht. Backups werden in einem zweiten Schweizer Rechenzentrum von Infomaniak gespiegelt und 30 Tage aufbewahrt.

Bei Bedarf — etwa nach versehentlichem Löschen — stellen wir einzelne Datensätze oder den ganzen Stand auf Anfrage wieder her.

  • Inkrementell alle 4 Stunden, voll täglich
  • Geo-redundant zwischen Genf und Winterthur
  • 30 Tage Retention, Restore auf Anfrage

Compliance & Verträge

Verträge, die Ihrem Treuhänder reichen.

Auftragsverarbeitungsvertrag (DPA) auf Anfrage — Standard im Business- und Gruppen-Tarif. Datenschutz-Folgenabschätzung (DSFA) unterstützen wir mit unseren Architektur-Dokumenten.

Wir veröffentlichen unsere Sicherheits- und Datenschutzpraktiken in einer separaten Dokumentation, die Sie auch Ihrem Datenschutzbeauftragten geben können.

  • DPA auf Anfrage, Standard ab Business
  • Datenexport in CSV und PDF — jederzeit
  • Löschung nach Vertragsende: 30 Tage, dann unwiderruflich

Sicherheitslücke gefunden?

Wir sind dankbar für jede verantwortungsvolle Meldung. Schreiben Sie an security@carlusion.com mit einer kurzen Beschreibung. Wir bestätigen den Eingang innerhalb eines Arbeitstages und halten Sie über die Bearbeitung auf dem Laufenden.

Bitte keine automatisierten Scans gegen produktive Systeme. Für koordinierte Tests vereinbaren wir gerne ein Zeitfenster.

E-Mail an Security-TeamDatenschutzerklärung

Sehen Sie selbst — 7 Tage kostenlos.

Im 7-Tage-Test sehen Sie Hosting, Backups und Signatur an Ihren echten Daten — kein Marketing, sondern System.

7 Tage testen