Vertrauen & Datenschutz
Compliance Concierge ist für B2B-Lieferantenrisikoprüfungen gebaut. Dieselbe Sorgfalt, bei deren Nachweis geholfen wird, gilt auch hier.
Hosting-Region
Alle Kundendaten liegen auf eigener Infrastruktur in Frankfurt am Main (Hostinger-Rechenzentrum, self-hosted Supabase-Stack). Daten werden nie stillschweigend verlagert.
Mandantentrennung
Jede Tabelle in der Datenbank besitzt Postgres-Row-Level-Security-Richtlinien, die sicherstellen, dass nur eigene Zeilen gelesen und geschrieben werden können. Die Vektor-Ähnlichkeitssuche wird zusätzlich zur Laufzeit nach Nutzer-ID gefiltert — Verteidigung in der Tiefe.
Subunternehmer
- Hostinger (Server-Hosting für selbst betriebene Datenbank, Auth und Dateispeicher) — Frankfurt am Main.
- Mistral AI (Belegsuche, Entwurfsunterstützung & Embeddings) — ein EU-Unternehmen (Paris, Frankreich) mit EU-gehosteter Inferenz
api.mistral.ai. Mistral nutzt API-Kundendaten nicht für das Training eigener Modelle; es wird nur der minimal nötige Kontext gesendet. - Vercel (Web-Hosting) — Functions in der Deployment-Konfiguration fest auf Frankfurt (
fra1) eingestellt. - Stripe (Zahlungsabwicklung) — übernimmt ausschließlich die Abo-Abrechnung. Stripe erhält nie Dokument- oder Fragebogendaten.
Datenminimierung
Verarbeitet wird nur, was hochgeladen wird: PDFs (Richtlinien/Belege) und Excel-Dateien (der Fragebogen der Kundschaft). Dokumente werden im Ruhezustand verschlüsselt. Beim Löschen eines Dokuments werden die Quelldatei und alle eingebetteten Abschnitte per Kaskadenlöschung entfernt.
KI-Sicherheit
KI-Ausgaben gelten als Prüfentwurf, nicht als finale Compliance-Antwort. Nichts wird ohne ausdrückliche menschliche Prüfung exportiert. Reicht der Beleg in den hochgeladenen Dokumenten nicht aus, wird die Antwort als belegbedürftig markiert, sodass sie manuell bearbeitet oder besseres Quellmaterial hochgeladen werden muss.
Kontakt
Für eine Auftragsverarbeitungsvereinbarung oder einen eigenen Sicherheitsfragebogen genügt eine E-Mail an kristian.hoffmann@me.com.