01 · Security
Swiss-Grade Sicherheit für Ihre Due Diligence.
Bank-Level Encryption · Schweizer Hosting · Vollständiger Audit-Trail. Compliance ist kein Add-On, sondern Plattform-Kern.
- DSG · DSGVO
- AES-256
- Audit-Trail
System-Status
- API Gateway99.97%Status: Operational
- Document Storage99.99%Status: Operational
- AI Workstreams99.95%Status: Operational
- Auth Provider99.98%Status: Operational
Zertifizierungen
- ISO 27001:2022In Arbeit
Target Q4 2026
- SOC 2 Type IIGeplant
Target Q1 2027
Compliance-Dokumente
- Download
DPA-Template (Auftragsverarbeitungsvertrag)
EU-DSGVO Art. 28 + Schweiz DSG Art. 9 konform.
- Download
Sub-Prozessoren-Liste
Aktuelle Liste aller Sub-Prozessoren mit Region.
- Anfragen
Penetrationstest-Report (sanitisiert)
Q1 2026 Test, Ergebnisse + Remediation.
- Download
Security Whitepaper
Architektur, Threat-Model, Encryption-Standards.
Pen-Test (sanitisiert)
Letzter externer Penetrationstest: 02/2026. Sanitisierter Report auf Anfrage.
Compliance-Kontakt
03 · Roadmap
Zertifizierungen in der Pipeline.
Wir kommunizieren nur, was tatsächlich erreicht ist — und was gerade läuft.
DSG / EU-DSGVO
ErreichtSeit 2024
Vollständig konform seit Plattform-Launch. DPA-Template auf Anfrage.
Dokument anfragenPen-Test 2026 Q1
ErreichtSeit 02/2026
Externer Penetrationstest abgeschlossen. Sanitisierter Report on request.
Dokument anfragenISO 27001:2022
In ArbeitTarget Q4 2026
Stage-1-Audit abgeschlossen. Stage-2 in Q3 2026 geplant.
SOC 2 Type II
GeplantTarget Q1 2027
Geplanter Audit-Zeitraum nach ISO-27001-Abschluss.
04 · Data Residency
Daten bleiben in der Schweiz.
Primär- und DR-Region innerhalb der Schweiz. Kein US-Cloud, kein EU-Routing für Storage. Schlüssel-Verwaltung in Schweizer HSM.
- Primär-Region
- Schweiz · Zürich (ZH1)
- DR-Region
- Schweiz · Genf (GE1)
- Backup-Frequenz
- Stündlich · 30-Tage-Retention
- Cross-Border-Transfer
- Keiner — Daten verlassen die Schweiz nicht
ZH1
Zürich
GE1
Genf
05 · Audit-Trail
Jede Aktion. Jeder User. 7 Jahre.
Vier Eigenschaften, die unseren Audit-Trail von typischen Activity-Logs unterscheiden.
Wer · Was · Wann
Jeder Read/Write geloggt mit User-ID, Dokument, Timestamp (UTC), IP. Kein Trail-Bypass — auch Admin-Aktionen sind sichtbar.
7-Jahres-Retention
Audit-Logs werden 7 Jahre WORM-archiviert (Append-only, immutable). Erfüllt FINMA und Schweizer DSG Aufbewahrungspflichten.
Export auf Knopfdruck
Vollständiger Audit-Trail einer DD als signiertes JSON oder PDF exportierbar. Für IC-Reviews, Regulator-Anfragen, Post-Mortems.
Tamper-Evident
Jeder Log-Eintrag ist mit Hash-Chain verkettet. Manipulation sichtbar bei Verifikation. Schlüssel rotiert quartalsweise.
Funding · Open Source · Footprint
Trust by design — auch bei Eigentum, Stack und Footprint
PE-Investment-Directors prüfen nicht nur die DD-Methodik, sondern auch das Tool selbst. Drei Bereiche, in denen Scrutare bewusst transparent ist.
Funding
Family Office, kein VC
Scrutare ist Seed-finanziert von einem Schweizer Family Office; operativer Träger ist die MProfi AG (gegründet 2008). Bewusst kein VC: keine 7-Jahres-Exit-Pressure, Roadmap bleibt kunden-getrieben, Master-Werte (Anti-Vendor-Lock-in) bleiben unverhandelbar.
Open Source First
Stack ohne Lock-in
PostgreSQL, Next.js, NestJS, Schema.org, MJML. Keine proprietären Adapter, keine geschlossenen Formate. Vollständiger Daten-Export jederzeit (CSV/JSON/PDF-A) ist operationale Konsequenz, kein Marketing-Versprechen.
Footprint
Schweizer Hosting + Lean Ops
Hosting nur Zürich + Genf, CH-Strom-Mix > 75 % erneuerbar (CH-Datacenter-Standard), PUE < 1,3. Fokussiertes Founder-Team mit MProfi-AG-Operational-Backup — kein 100-Personen-SaaS-Wuchs hinter einem Unicorn-Versprechen.
Brand-vs.-Legal-Entity: «Scrutare» ist die Marke der MProfi AG (operativer Träger), die zur Beherzig Group gehört. Diese Trennung ist im Impressum vollständig dokumentiert.
06 · Compliance Contact
Fragen zur Sicherheit oder Compliance?
Direkter Draht zu unserem Security-Team. Keine Sales-Filter, kein Tier-1-Support.