Sicherheit

Ihre Daten bleiben Ihre Daten.

Custos AI wurde für Unternehmen entwickelt, die Datensicherheit ernst nehmen. Das bedeutet EU-Server, starke Verschlüsselung, kein KI-Training mit Ihren Daten und DSGVO-Konformität von Grund auf — nicht nachträglich hinzugefügt.

AES-256-Verschlüsselung im Ruhezustand

Alle in unserer Datenbank und im Dateispeicher abgelegten Daten werden mit AES-256 verschlüsselt. API-Schlüssel verwenden AES-256-GCM und werden nur im Arbeitsspeicher entschlüsselt — nie in Protokolle geschrieben.

TLS 1.2+ bei der Übertragung

Alle Daten, die zwischen Ihrem Browser und unseren Servern übertragen werden, sind durch TLS 1.2 oder höher geschützt. Unverschlüsselte Verbindungen werden nicht akzeptiert.

In der EU gehostet — Frankfurt + Amsterdam

Alle Kundendaten werden ausschließlich auf EU-Servern gespeichert: Datenbank und Dateien in Frankfurt (Supabase), LLM-Proxy in Amsterdam (TransIP). Es werden keine Daten außerhalb des EWR übertragen.

Kein KI-Training mit Ihren Daten

Ihre Chat-Nachrichten, hochgeladenen Dateien und die API-Nutzung werden niemals zum Training, Fine-Tuning oder zur Verbesserung eines KI-Modells verwendet — weder von Custos AI noch von einem der angebundenen LLM-Anbieter.

Täglich verschlüsselte Backups

Automatische tägliche Backups mit 30 Tagen Aufbewahrung und monatlichen Wiederherstellungstests. Angestrebte Recovery Time Objective: 4 Stunden.

DSGVO-konform by Design

Vollständiger Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO für alle Tarife verfügbar. Liste der Auftragsverarbeiter veröffentlicht und gepflegt. 48-Stunden-Meldepflicht bei Datenpannen.

Infrastruktur

Anwendung (Next.js)Vercel EU-Edge-Netzwerk

Datenbank + Auth + DateispeicherSupabase (Postgres) — Frankfurt, Deutschland

LLM-Proxy + BudgetkontrolleLiteLLM (Docker) auf TransIP VPS — Amsterdam, Niederlande

E-Mail-VersandLettermint (EU SMTP)

ZahlungsabwicklungStripe + Stripe Tax (EU)

AnalysePlausible Analytics (cookie-frei, EU-gehostet)

Auftragsverarbeiter

SupabaseDatenbank, Auth, Dateispeicher — Frankfurt, DE

VercelFrontend-Hosting und Edge-Computing — EU

TransIPVPS für LiteLLM-Proxy — Amsterdam, NL

LettermintTransaktions-E-Mail — EU

StripeZahlungsabwicklung und Stripe Tax — EU

Note: LLM-Anbieter (OpenAI, Anthropic, Google, Mistral) sind keine Auftragsverarbeiter von Custos AI. Im BYOK-Modell verbinden Kunden ihre eigenen API-Schlüssel und unterhalten eine direkte Vertragsbeziehung mit jedem Anbieter.

Sicherheitslücke melden

Wenn Sie eine Sicherheitslücke in unserer Plattform entdecken, melden Sie diese bitte verantwortungsvoll. Wir bemühen uns, innerhalb von 48 Stunden zu antworten, und danken Sicherheitsforschern in unserem Changelog.