Arbeitszeugnisse. Klar. Fair. Rechtssicher.
Trust Center · Datensicherheit

Datensicherheit ist kein Marketing-Versprechen

ISO/IEC 27001-zertifiziert. Hosted in der Schweiz. Secure by Design. Auditiert, dokumentiert, nachweisbar — weil Personaldaten zu wertvoll sind, um sich auf gute Absichten zu verlassen.

Jetzt registrieren Zertifikate anfordern
  • ISO/IEC 27001 zertifiziert
  • Schweizer Datenstandort · revDSG-konform
  • Halbjährliche Penetration-Tests
Worauf wir Sicherheit aufbauen

Vier Säulen unseres Trust Centers

ISO/IEC 27001-zertifiziert

ZeugnisPilot wird im ISO/IEC 27001-zertifizierten Informationssicherheits-Management-System (ISMS) der rhyno solutions AG betrieben — auditiert von einer akkreditierten Schweizer Stelle. Die Zertifizierung deckt sämtliche Prozesse rund um Entwicklung, Betrieb, Datenverarbeitung und Vorfallsmanagement ab.

Hosted in Switzerland

Sämtliche Daten — Personenstammdaten, Zeugnisentwürfe, KI-Verarbeitung — bleiben in der Schweiz. Wir nutzen ausschliesslich Schweizer Rechenzentren mit ISO 27001- und FINMA-konformen Standards. Kein Daten-Transfer in EU- oder US-Rechenräume.

Secure by Design

Sicherheit ist nicht nachträglich angeklebt: Threat-Modeling vor jedem Feature-Release, Code-Review-Pflicht, Dependency-Scans im CI, Pen-Tests durch externen Anbieter halbjährlich. Sicherheitsannahmen werden im Code dokumentiert und überprüfbar gemacht.

Datenschutz nach DSG & DSGVO

Volle Konformität mit dem Schweizer Datenschutzgesetz (revDSG) und der EU-DSGVO. Auftragsverarbeitungsvertrag (AVV) auf Anfrage. Datenschutz-Folgenabschätzung pro Modul dokumentiert. Kein Profiling, keine Weitergabe an Dritte ohne explizite Zustimmung.

Hintergrund

Warum ISO 27001 heute Pflicht ist

Personaldaten sind die heikelste Datenkategorie ausserhalb von Gesundheits- und Finanzdaten. Ein Arbeitszeugnis enthält Beurteilungen über Personen, ihre Karriereentwicklung, Stärken und Entwicklungsfelder — Inhalte, die im falschen Kontext berufliche und persönliche Konsequenzen haben können. Wer als HR-Software-Anbieter mit solchen Daten arbeitet und nicht mindestens ISO 27001 vorweisen kann, sollte heute keinen Vertrag mehr bekommen.

ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Management. Eine Zertifizierung bedeutet: ein unabhängiger Auditor hat geprüft und bestätigt, dass das Unternehmen ein systematisches, dokumentiertes, gelebtes Sicherheits-Management betreibt — von der Risikoanalyse über Zugriffskontrolle bis zur Vorfallsbehandlung. Es ist kein Logo, das man auf die Website klebt: es ist ein Audit-Report mit benannten Gutachtern, Geltungsbereich und Re-Audit-Pflicht.

Für Sie als Kundin oder Kunden bedeutet das: Wenn der nächste IT-Audit, die Datenschutz-Folgenabschätzung oder die Lieferanten-Due-Diligence Ihrer Konzernmutter ansteht, haben Sie einen belastbaren Nachweis statt vager Marketing-Aussagen.

Was wir tun, im Detail

Konkrete technische Massnahmen

Verschlüsselung in Transit

TLS 1.3 mit modernen Cipher-Suites (HSTS-erzwungen, Mixed-Content geblockt). Forward Secrecy aktiv. SSL Labs A+ Rating.

Verschlüsselung at Rest

Alle Daten ruhend AES-256-verschlüsselt. Sensible Felder (API-Secrets) zusätzlich AES-256-GCM auf Anwendungsebene mit pro-Mandanten-Schlüssel.

Inhaltsfingerabdruck (SHA-256)

Jedes ausgegebene Zeugnis erhält einen kryptografischen Hash. Manipulation wird über die öffentliche Verifikationsseite sofort sichtbar.

Audit-Trail

Wer hat wann welche Aktion ausgeführt — vollständig protokolliert (Append-Only). Mandantenübergreifender Zugriff ist technisch ausgeschlossen.

Zero-Trust-Sessions

Sessions sind kurzlebig (8 h), httpOnly-Cookies, sameSite=lax, SECURE-Flag in Produktion. Token-Refresh ohne Browser-Round-Trip.

Least-Privilege-Architektur

Jede Komponente hat genau die Berechtigung, die sie braucht — nicht mehr. Backend-Service-Accounts sind read-only oder write-restricted, je nach Funktion.

Penetration-Tests

Halbjährliche Pen-Tests durch eine unabhängige Schweizer Sicherheitsfirma (OWASP Top 10, Auth-Flows, Business-Logic). Befunde werden mit Severity-Klasse und Behebungsdatum öffentlich nachvollziehbar dokumentiert.

Dependency-Scans

Automatische CVE-Scans bei jedem Build. Kritische Vulnerabilities führen zum Build-Abbruch. Wöchentlich Dependabot- und Snyk-Reviews.

Backup & Restore

Tägliche, verschlüsselte Backups in geografisch getrenntem Schweizer Rechenzentrum. Restore-Drills quartalsweise — getestet, nicht angenommen.

Hosting & Verarbeitung

Schweizer Datenstandort — und warum das zählt

„In der Schweiz gehostet" ist ein Begriff, der oft inflationär verwendet wird. Bei uns bedeutet er: Backend, Datenbank, Backups, Verifikations-Service und KI-Verarbeitung laufen ausschliesslich auf Infrastruktur in Schweizer Rechenzentren mit Schweizer Betreibern unterstellten Vertragspartnern. Wir publizieren die Standorte (Cloud Run europe-west6 in Zürich, Backups im zweiten Schweizer Rechenzentrum) und die Subprozessoren-Liste (siehe unten) transparent.

Auch wenn ein Subprozessor (z. B. Anthropic für die KI-Verarbeitung) seinen Sitz ausserhalb der Schweiz hat, schützen wir die Übertragung mit zusätzlichen Massnahmen: Daten-Minimierung (nur was nötig ist), keine Speicherung beim Subprozessor, EU-Standardvertragsklauseln und ergänzende technische Massnahmen gemäss EDÖB-Leitfaden.

Konkret: Ihre Mitarbeitenden-Stammdaten und Zeugnisentwürfe verlassen die Schweiz nicht. Die KI sieht nur die fachlichen Inhalte (Funktion, Aufgaben, Beurteilung) — niemals Lohnhöhe, Geburtsdatum oder Privatadresse.

Volle Transparenz

Subprozessoren-Liste

Eine vollständige Liste aller Drittparteien, die im Auftrag von ZeugnisPilot personenbezogene Daten verarbeiten. Änderungen werden 30 Tage im Voraus angekündigt.

AnbieterZweckRegionAVV
Anthropic (Claude API)KI-gestützte Entwurfs-GenerierungEU/US — Daten werden ohne Kundennamen übertragen, keine Speicherung beim AnbieterAVV vorhanden
Firebase Authentication (Google)Endnutzer- und Admin-LoginEU (europe-west)EU-Standardvertragsklauseln + AVV
bexio AGOAuth-Schnittstelle für StammdatenSchweizDatenfluss ausschliesslich auf Kunden-Initiative
Cloud Run europe-west6 (Google)Backend-HostingSchweiz (Zürich)EU-Standardvertragsklauseln + AVV, Schweizer Rechenzentrum
Firebase HostingStatisches FrontendCDN global, Origin in SchweizAVV vorhanden
Incident Response

Wenn doch etwas passiert

Niemand kann Vorfälle vollständig ausschliessen. Was Sie aber erwarten können: ein klar definierter Prozess, schnelle und ehrliche Kommunikation, vollständige Aufarbeitung mit dokumentierten Massnahmen.

1. Erkennung

24/7-Monitoring mit Alarmschwellen für ungewöhnliche Auth-Muster, Rate-Limits, Fehlerraten und API-Latenz. SIEM-Integration in Vorbereitung.

2. Eindämmung

Innerhalb 30 Minuten ab Bestätigung: betroffenes System isoliert, Zugang gesperrt, forensisches Logging aktiviert.

3. Kommunikation

Wir informieren betroffene Kundinnen und Kunden innerhalb 72 Stunden nach Kenntnisnahme — auch wenn der Vorfall noch nicht vollständig analysiert ist (DSG-Meldepflicht).

4. Behebung & Lessons Learned

Root-Cause-Analyse, Behebung, technische und prozessuale Massnahmen. Vollständiger Post-Mortem-Bericht für betroffene Kundinnen und Kunden.

Standards, denen wir folgen

Compliance-Übersicht

ISO/IEC 27001Informationssicherheit
OR Art. 330aSchweizer Arbeitszeugnisrecht
revDSG (Schweiz)Datenschutzgesetz 2023
EU-DSGVOVertragliche Konformität
Swiss Made SoftwareVerifiziert
Trust Center FAQ

Häufige Fragen

Sind Sie tatsächlich ISO 27001-zertifiziert oder nur „nach ISO 27001 konform"?
Wir sind tatsächlich zertifiziert — durch eine in der Schweiz akkreditierte Stelle. Das Zertifikat wird auf Anfrage zugestellt und nennt den genauen Geltungsbereich (Scope). „Konform" ohne Audit-Nachweis hat juristisch und kommerziell keinen Wert; wir sehen das genauso.
Wo genau liegen meine Daten?
Backend und Datenbank: Cloud Run europe-west6 (Zürich, Schweiz). Frontend-Static-Hosting: Firebase Hosting mit Origin in der Schweiz, Auslieferung über CDN. Backups: zweites Schweizer Rechenzentrum, geografisch getrennt. Kein Datenfluss in EU oder USA — ausser die explizit benannten Subprozessoren mit Schutzmassnahmen.
Werden Mitarbeiter-Daten an die KI (Anthropic) gesendet?
Ja, für die Entwurfs-Generierung. Wir senden aber nur die Felder, die für das Zeugnis nötig sind (Funktion, Aufgaben, Beurteilung) — nicht Lohn, Geburtsdatum oder Adresse. Anthropic speichert API-Inputs nicht. Vor jedem Submit zeigen wir transparent, welche Daten übertragen werden.
Was passiert bei einem Datenschutzvorfall?
Sie werden innerhalb 72 Stunden nach Kenntnisnahme informiert (DSG-Meldepflicht). Sie erhalten: was passiert ist, welche Daten betroffen sind, was wir tun, was Sie tun sollten, ein Post-Mortem mit Massnahmen. Kein Vertuschen, keine Schönfärberei.
Wie schnell sind kritische Sicherheits-Updates?
CVE mit Severity „critical": Patch innerhalb 24 Stunden. „High": innerhalb 7 Tagen. „Medium": innerhalb 30 Tagen. Verfolgbar über unsere öffentliche Security-Page (in Vorbereitung).
Wer prüft Ihre Sicherheit unabhängig?
Eine Schweizer Sicherheitsfirma führt halbjährlich Penetration-Tests durch (OWASP Top 10, Auth-Flows, Business-Logic). Befund-Reports stellen wir auf Anfrage unter NDA zur Verfügung. Zusätzlich jährliches ISO 27001-Re-Audit.
Wer hat Zugriff auf meine Daten intern?
Nach dem Need-to-know-Prinzip: Engineering-Lead und ein zweiter Engineer mit Vier-Augen-Audit. Jeder Zugriff wird protokolliert und vom Customer Success Lead monatlich gegengeprüft. Keine Operations-Tätigkeit ohne dokumentierten Anlass.
Kann ich meine Daten exportieren oder löschen lassen?
Jederzeit. Export als JSON oder CSV via Self-Service in der Konto-Verwaltung. Vollständige Löschung auf Anfrage innerhalb von 30 Tagen, mit schriftlicher Bestätigung. Backup-Aufbewahrung max. 90 Tage nach Löschung.
Bieten Sie 2FA / MFA?
Ja — für Admin-Accounts seit Tag 1, für alle Endnutzer-Konten in Kürze (TOTP via Firebase). Empfehlung: aktivieren Sie 2FA für jedes Konto, das Zeugnisse freigibt.
Was ist Ihre Disaster-Recovery-Zeit?
RTO (Recovery Time Objective): 4 Stunden für vollständigen Wiederanlauf. RPO (Recovery Point Objective): 24 Stunden — also maximal ein Tag Datenverlust im Worst Case. Quartalsweise getestet, nicht nur theoretisch.
Was wir Ihnen schicken

Dokumente auf Anfrage

  • ISO/IEC 27001-Zertifikat mit Geltungsbereich
  • Auftragsverarbeitungsvertrag (AVV) nach revDSG und DSGVO
  • Datenschutz-Folgenabschätzung (DSFA) für die Verarbeitung im Generator
  • Penetration-Test-Report (Executive Summary, Detailreport unter NDA)
  • Subprozessoren-Liste mit Vertragsdokumentation
  • Sicherheits-Architektur-Dokument für Ihre IT-Abteilung

Anfrage an security@zeugnispilot.ch — Antwort in der Regel innerhalb eines Werktags.

Vertrauen verdient man — wir verdienen es Ihnen gerne.

Starten Sie mit der Firmenregistration. Innerhalb von 5 Minuten haben Sie ein Konto, vollen Zugriff auf den Generator und können bei Bedarf die Sicherheits-Dokumentation anfordern.

Jetzt registrierenZertifikate anfordern