Datenresidenz

Der Produktiv­betrieb läuft in einem schweizerischen Rechenzentrum am Standort Genf (CH-GVA-2). Auswahl­kriterien: ISO-27001-Zertifizierung, Eigentum unter schweizerischem Recht, Verfügbarkeit von Bare-Metal-Hosting, keine US-CLOUD-Act-Exposition.

Asynchrone, verschlüsselte Replikation in ein dänisches Rechenzentrum (DK-2). Dänemark wurde aufgrund seiner DSGVO-Unterwerfung, politischen Stabilität und geografischen Distanz zur Primärzone gewählt. Keine Replikation in Drittstaaten ausserhalb EU/EFTA.

Verschlüsselungs­schlüssel werden in einem Hardware-Sicherheits­modul (HSM) in der Schweiz verwaltet. Schlüssel verlassen das HSM nie. Backup-Schlüssel sind in einem zweiten HSM in einer separaten CH-Zone gespiegelt.

• Konto-übergreifender Master-Key: nur durch CLR + Operator gemeinsam entsperrbar (split-knowledge).
• Pro Konto: per-tenant data-encryption-key (DEK), abgeleitet aus Master-Key + tenant-id.
• Asyl-sensitive Daten (Tier-A): zusätzlicher per-user-key, der bei Konto­löschung sicher zerstört wird (crypto-shredding).

Übermittlungen verlassen den EU/EFTA-Raum nicht. LLM-Inferenz wird ausschliesslich an EU/EFTA-Endpunkten der Anbieter ausgeführt. Sollte ein Anbieter diese Anforderung nicht erfüllen, wird der Anbieter ersetzt.

Tägliche verschlüsselte Backups; Aufbewahrung 30 Tage rollierend. Restore-Tests quartalsweise mit dokumentiertem Run-Book. Recovery-Time-Objective (RTO): 4 Stunden. Recovery-Point-Objective (RPO): 15 Minuten.