Enterprise
Gebaut für die Anforderungen Ihrer Beschaffung.
Zenovay wurde von Anfang an auf DSGVO-Bereitschaft ausgelegt. Das Vertrauenspaket unten enthält jedes Dokument, das Ihre Sicherheits- und Rechtsteams üblicherweise verlangen — ganz ohne Vertriebsgespräch.
Vertrauenspaket
Jedes Dokument, das Ihre Beschaffungs-, Sicherheits- und Rechtsteams typischerweise anfragen — öffentlich verfügbar.
Auftragsverarbeitungsvertrag (AVV)
Vertrag nach Artikel 28 DSGVO mit Umfang, Laufzeit, Unterauftragsverarbeitung, Datenübermittlungen und Auditrechten.
AVV lesenListe der Unterauftragsverarbeiter
Aktuelle und optionale Unterauftragsverarbeiter mit Standort, Übermittlungsmechanismus (DPF / SCCs) und Zweck.
Unterauftragsverarbeiter ansehenDatenschutzerklärung
Wie Besucherdaten erhoben, verwendet, gespeichert und gelöscht werden — einschließlich des cookielosen Tracker-Modells.
Datenschutzerklärung lesenSicherheitsübersicht
Verschlüsselung, Zugriffskontrolle, Audit-Logging mit gehashten IPs, Benachrichtigung bei Datenpannen und die Zertifizierungen unserer Unterauftragsverarbeiter.
Sicherheitsübersicht lesenNutzungsbedingungen (Acceptable Use)
Was Sie auf Zenovay betreiben dürfen und was nicht — nützlich für Ihre Sicherheits- und Risikoprüfung.
Nutzungsbedingungen lesenLive-Statusseite
Verfügbarkeit in Echtzeit, Vorfallshistorie und Komponentenstatus für jeden Zenovay-Dienst.
status.zenovay.com öffnenWie Zenovay aufgebaut ist
Eine kurze Architekturübersicht für Ihre Sicherheits- und Engineering-Reviewer.
Zenovay läuft global auf Cloudflare Workers, die primäre PostgreSQL-Datenbank wird über Supabase in eu-central-1 (Frankfurt) gehostet. Alle Analytics-Events laufen über Edge-Endpunkte mit Latenzen unter 100 ms.
Die gesamte Zahlungsabwicklung übernimmt Stripe — Kartennummern (PAN) gelangen niemals in die Zenovay-Infrastruktur. Die PCI-DSS-Level-1-Pflichten liegen bei Stripe.
Transaktionale und operative E-Mails werden über Resend versandt. KI-Funktionen (Insights, Natural-Language-Analytics) rufen OpenAI über das Cloudflare AI Gateway auf, ausschließlich für Opt-in-Funktionen.
Der cookielose Tracker verwendet Besucher-IDs, die nur im Fenster-Speicher leben, sowie täglich gesalzene SHA-256-Hashes für die Deduplizierung. Keine Cookies, kein localStorage, kein Fingerprinting. Audit-Logs speichern ausschließlich gesalzene IP-Hashes — Klartext-IPs werden nie persistiert.
Internationale Datenübermittlungen an US-basierte Unterauftragsverarbeiter (Stripe, Resend, OpenAI) sind durch das EU-US Data Privacy Framework abgedeckt, sofern der Empfänger DPF-zertifiziert ist, plus die Standardvertragsklauseln 2021 (Modul 2), wo SCCs greifen. Der vollständige Mechanismus ist in unserem AVV dokumentiert.
Datenaufbewahrung nach Plan
Die Aufbewahrung ist tarifabhängig. Audit-Logs (administrative Spur) werden über alle Pläne hinweg 24 Monate aufbewahrt und täglich bereinigt.
| Plan | Analytics-Aufbewahrung | Audit-Logs |
|---|---|---|
| Free | 1 Jahr | 24 Monate |
| Pro | 2 Jahre | 24 Monate |
| Scale | 4 Jahre | 24 Monate |
| Enterprise | Individuell (Standard 4 Jahre) | 24 Monate |
Zertifizierungen der Unterauftragsverarbeiter
Zenovay ist auf DSGVO-Bereitschaft ausgelegt und arbeitet mit sicherheitszertifizierten Infrastruktur-Anbietern. Unten stehen die Zertifizierungen der Unterauftragsverarbeiter, die Kundendaten verarbeiten — dies sind nicht Zenovays eigene Zertifizierungen.
Cloudflare
Edge-Compute, KV, R2, CDN, Pages, AI Gateway
SOC 2 Type II, ISO 27001, ISO 27018
Supabase
Primäre PostgreSQL-Datenbank (eu-central-1, Frankfurt)
SOC 2 Type II
Stripe
Zahlungsabwicklung, Abrechnung, Abonnements
PCI DSS Level 1 (PAN-Daten erreichen Zenovay nie)
Internationale Übermittlungen
US-basierte Unterauftragsverarbeiter (Stripe, Resend, OpenAI)
EU-US DPF + Standardvertragsklauseln 2021 (Modul 2)
Zenovay selbst ist nicht SOC 2 / ISO 27001 / HIPAA / PCI DSS zertifiziert. Wir stützen uns auf die geprüfte Sicherheitslage der oben genannten Unterauftragsverarbeiter und betreiben unsere eigenen internen Kontrollen, die in AVV und Sicherheitsübersicht beschrieben sind.
FAQ für Käufer
Die Fragen, die Enterprise-Käufer uns am häufigsten stellen. Fehlt Ihre Frage, sprechen Sie mit dem Vertrieb.
Die primäre Datenbank ist Supabase PostgreSQL in eu-central-1 (Frankfurt) seit dem 24. April 2026. Cloudflare R2 (Heatmap-Screenshots) ist mit EU-Datenstandortpräferenz konfiguriert. Cloudflare Workers laufen auf dem globalen Edge-Netzwerk für Latenzen unter 100 ms.
Kundenanalysedaten liegen in der EU. Eine kleine Anzahl von Unterauftragsverarbeitern ist US-basiert (Stripe, Resend, OpenAI via Cloudflare AI Gateway); Übermittlungen an diese Parteien sind durch das EU-US DPF abgedeckt, sofern der Empfänger DPF-zertifiziert ist, plus die Standardvertragsklauseln 2021 (Modul 2), wo SCCs greifen. Vollständige Details im AVV.
DSGVO-Artikel-17-Kaskade: Die Kontolöschung leert Supabase (Analytics-Tabellen und Auth-Datensätze), kündigt Stripe-Kunden und -Abonnement, entfernt Cloudflare KV (Sessions, Sicherheitsschlüssel, Rate-Limit-Zähler, MCP-Kontingent), löscht Cloudflare R2 (Heatmap-Screenshots der eigenen Websites) und versendet eine lokalisierte Bestätigungs-E-Mail über Resend.
Ja. Der Exportendpunkt für persönliche Daten gemäß DSGVO Artikel 20 (/api/account/data-export) ist in jedem Plan inklusive Free verfügbar. Er liefert Profil, Website-Metadaten, Team-Mitgliedschaften und den eigenen Audit-Trail in maschinenlesbarer Form.
GPC wird durchgehend respektiert. Der Client prüft navigator.globalPrivacyControl beim Laden und stellt das Consent-Banner auf Essentials-Only. Der Server liest Sec-GPC: 1 in eingehenden Anfragen; wenn gesetzt, werden Verhaltensanreicherung (B2B-Identifizierung, Profiling) übersprungen und der Besucherdatensatz mit gpc_opted_out markiert.
Wenn data-cookieless aktiv ist, nutzt der Tracker Besucher-IDs, die nur im Fenster-Speicher leben und beim Verlassen der Seite verschwinden. Für die Deduplizierung berechnet der Server einen täglich gesalzenen SHA-256-Hash aus (IP-Subnetz + User-Agent). Keine Cookies, kein localStorage, kein Fingerprinting. Audit-Logs speichern nur den gesalzenen IP-Hash — Klartext-IPs werden nie persistiert.
Audit-Logs (administrative Spur über alle Kunden hinweg) werden 24 Monate aufbewahrt und durch einen geplanten Job täglich bereinigt. Analytics-Events folgen der tarifbasierten Aufbewahrung in der Tabelle oben (Free 1 Jahr, Pro 2 Jahre, Scale 4 Jahre, Enterprise individuell).
Auf Enterprise ja. Standard sind 4 Jahre, kürzere und längere Fristen sind auf Anfrage konfigurierbar — vorbehaltlich gesetzlicher Aufbewahrungspflichten und Compliance-Anforderungen. Free, Pro und Scale verwenden die veröffentlichten Standard-Fristen.
Ja. Single Sign-On ist auf den Plänen Scale und Enterprise verfügbar. Enterprise-SAML-Verbindungen unterstützen SCIM-ähnliche Benutzerbereitstellung und Synchronisation der Team-Mitgliedschaften.
Enterprise-Kunden erhalten ein individuelles SLA für Verfügbarkeit, Reaktionszeit und Vorfallskommunikation. Die öffentliche Statusseite (status.zenovay.com) zeigt Echtzeit-Verfügbarkeit und Vorfallshistorie für alle Pläne.
Bereit, Ihr Sicherheitsteam zu briefen?
Sprechen Sie mit dem Vertrieb über SSO, individuelle Aufbewahrungsfristen, einen unterzeichneten AVV und ein beschaffungsfertiges Sicherheitspaket.