Trust Center

Ihr Vertrauen, dokumentiert.

Alles, was Ihr Rechts-, Sicherheits- und Einkaufsteam benötigt — an einem Ort, ohne Formulare.

Auf einen Blick

  • DSGVO-konform by Design — AVV in jedem Tarif enthalten
  • Ausschließlich EU-Hosting: Frankfurt (Supabase) + Amsterdam (TransIP)
  • AES-256 im Ruhezustand, TLS 1.2+ in der Übertragung
  • AES-256-GCM für Kunden-API-Schlüssel (BYOK)
  • Multi-Tenant-Isolation über Supabase Row Level Security
  • Kein KI-Training mit Kundendaten
  • Meldeverpflichtung innerhalb von 48 Stunden bei Sicherheitsvorfällen
  • Nur B2B — keine Verarbeitung von Verbraucherdaten

Auftragsverarbeitungsvertrag (AVV)

Unser DSGVO-Artikel-28-Auftragsverarbeitungsvertrag ist in jedem Tarif enthalten und wird bei Unterzeichnung unserer AGB vorab akzeptiert. Laden Sie die aktuelle Version für Ihr Rechtsteam herunter.

AVV ansehenVersion 1.1 · Zuletzt aktualisiert am 23. April 2026

Unterauftragsverarbeiter

SupabaseDatenbank, Authentifizierung, DateispeicherFrankfurt, DE
TransIP B.V.VPS für LiteLLM-ProxyAmsterdam, NL
Vercel, Inc.Frontend + Edge ComputeEU edge
LettermintTransaktionale E-MailsEU
Stripe Payments EuropeZahlungen + Stripe TaxDublin, IE

Wir informieren alle Kunden mindestens 30 Tage im Voraus, bevor ein Unterauftragsverarbeiter hinzugefügt oder ersetzt wird.

Vollständige Liste mit Vertragsbedingungen →

Infrastruktur

Anwendungs-HostingVercel EU Edge-Netzwerk
Datenbank + Authentifizierung + SpeicherSupabase — Frankfurt, Deutschland (EU)
LLM-Proxy + BudgetkontrolleLiteLLM auf TransIP VPS — Amsterdam, Niederlande (EU)
E-Mail-ZustellungLettermint (EU)
ZahlungenStripe + Stripe Tax — Dublin, Irland (EU)
DatenspeicherortKeine Kundendaten verlassen den EWR unter keinen Umständen

Sicherheitsmaßnahmen

Verschlüsselung im RuhezustandAES-256 (Daten), AES-256-GCM (API-Schlüssel)
Verschlüsselung in der ÜbertragungTLS 1.2+ auf allen Verbindungen
AuthentifizierungE-Mail + TOTP MFA (verpflichtend)
ZugangskontrolleLeast-Privilege, rollenbasiert, Multi-Tenant-RLS
BackupsTäglich verschlüsselt, Point-in-Time-Recovery, 30 Tage Aufbewahrung
MonitoringVercel Observability
SchwachstellenscanningDependabot, CodeQL
Ziel-RTO4 Stunden
Ziel-RPO24 Stunden

BYOK & LLM-Anbieter

Im Rahmen unseres Bring Your Own Key-Modells unterhalten Kunden eine direkte Beziehung zu jedem LLM-Anbieter (OpenAI, Anthropic, Google, Mistral) über ihre eigenen API-Schlüssel. LLM-Anbieter sind keine Unterauftragsverarbeiter von Custos.

API-Schlüssel von Kunden werden mit AES-256-GCM verschlüsselt und nur im Arbeitsspeicher zum Zeitpunkt der Nutzung entschlüsselt — nie protokolliert, nie für Custos-Mitarbeiter sichtbar.

Reaktion auf Sicherheitsvorfälle

Wir verpflichten uns, betroffene Kunden innerhalb von 48 Stunden nach Bekanntwerden eines Sicherheitsvorfalls mit ihren personenbezogenen Daten zu informieren, wie von Artikel 33 DSGVO gefordert.

Vorfallsprotokoll

Bisher keine Vorfälle gemeldet. Dieser Bereich wird transparent aktualisiert, sobald ein Vorfall eintritt, gemäß der in unserem AVV festgelegten Zeitlinie.

Sicherheitsforscher können Schwachstellen an melden. Wir antworten innerhalb von 48 Stunden und würdigen verantwortungsvolle Offenlegungen in unserem Changelog.

Kontakt & Rechtliches

Rechtliches + AVV-Anfragen
Datenschutzanfragen
Sicherheitsmeldungen
UnternehmenAlpha Digital B.V. · KvK 72313129 · Stationsplein 26, 6512 AB Nijmegen, NL
DatenschutzrichtlinieNutzungsbedingungenAVVCookie-RichtlinieSicherheit