Enterprise
Eine digitale Belegschaft, die durch die Beschaffung kommt.
SSO und SCIM, 2FA, Row-Level Security, unveränderliches Audit-Log, DPA, EU-Datenresidenz und dedizierter Support — die Kontrollen, die regulierte Umgebungen verlangen, sind eingebaut, nicht nachgerüstet.
72 Std.
Breach-Notification
Enterprise-Kontrollen im Detail
Identität & Zugriff
Zentrale Provisionierung und Anmeldung über Ihren bestehenden Identity-Provider.
- Supabase Auth (email + password, magic link, OAuth, SAML, SCIM)
- TOTP 2FA (RFC 6238) required for owner/admin roles
- SAML 2.0 via @node-saml/node-saml — XML signature-wrapping protected
- SCIM 2.0 for Enterprise just-in-time provisioning
Autorisierung & Rollen
Feingranulare Rechte, die an API- und Datenbank-Schicht durchgesetzt werden.
- Seven built-in roles × resource-action policy matrix
- Workspace-scoped permissions enforced at API + DB layer
- Break-glass admin access requires two-person approval
Mandanten-Isolation
Jede Kundenzeile ist workspace-scoped und durch Row-Level Security geschützt.
- Multi-tenant — workspace_id on every customer row
- Row-Level Security on 56+ Postgres tables
- Storage bucket isolation: every object path is prefixed with workspace_id
- Cross-tenant defence-in-depth — code-layer guards + DB policies
Audit & Nachvollziehbarkeit
Jede privilegierte Aktion landet unveränderlich und hash-verkettet im Audit-Log.
- Immutable audit log (append-only, hash-chained) for every privileged action
- Five anomaly detectors: mass-delete, privilege-escalation, geo-anomaly, brute-force, off-hours-admin
- OpenTelemetry → OTLP export to customer-owned SIEM on Enterprise
- Sentry for error tracking, Langfuse for AI tracing
Verschlüsselung
Verschlüsselung at-rest und in-transit, mit Schlüssel-Rotation.
- AES-256-GCM at rest for all OAuth tokens, secrets, and PII columns
- TLS 1.2+ in transit; HSTS preload
- DPA signatures sealed with SHA-256 tamper-evidence hash
- Encryption-key rotation every 90 days
EU-Infrastruktur
Produktionsdaten verlassen die EU nicht — Hosting, Backups und Recovery inklusive.
- Vercel (EU edge) + Supabase (EU region) — production data never leaves the EU
- Daily encrypted DB backups + 7-day point-in-time recovery
- Cloudflare DDoS protection on every public edge
- WAF + per-workspace rate limits
EU-Datenresidenz — verifizierbar, nicht behauptet
Produktionsdaten werden in der EU verarbeitet und gespeichert. Unsere kundendatenverarbeitenden Subprozessoren sind öffentlich gelistet — mit Standort, Zweck und DPA-Status. Aktuell sind 11 davon EU-ansässig; jede Änderung wird 30 Tage im Voraus angekündigt.
Alles, was Ihre Beschaffung braucht
Beantworteter RFP-Fragebogen
Sicherheits- und Datenschutzfragen vorab beantwortet — beschleunigt Ihre Beschaffung.
RFP ansehen →Auftragsverarbeitung (DPA/AVV)
Art.-28-DSGVO-Vertrag, elektronisch signiert bei der ersten Workspace-Provisionierung.
DPA lesen →Service-Level-Agreement
Verfügbarkeits- und Reaktionszusagen für produktive Enterprise-Umgebungen.
SLA ansehen →Trust Center
Compliance-Status, Subprozessoren, Sicherheitsarchitektur und Trust-Pack an einem Ort.
Trust Center öffnen →Dedizierter Support
Enterprise-Kunden erhalten einen benannten Ansprechpartner, priorisierte Reaktionszeiten und Begleitung beim Onboarding Ihrer digitalen Belegschaft — von der SSO-Einrichtung bis zum Rollout der ersten Workflows.
P1-Incidents werden innerhalb von 15 Minuten bestätigt; der Betrieb wird 24/7 über eine Follow-the-Sun-Rotation überwacht.
Bereit für die Enterprise-Bewertung?
Sprechen Sie mit Sales oder fordern Sie unseren beantworteten RFP-Fragebogen an — wir bringen Sie schnell durch die Beschaffung.