Security-Überblick
SonicR1 — Sicherheit auf einen Blick
Eine kompakte Zusammenfassung zum Teilen für deine Sicherheitsprüfung. Brauchst du den vollständigen Fragebogen (CAIQ / SIG Lite) oder unseren AVV? Stellen wir auf Anfrage bereit.
Zuletzt aktualisiert Juni 2026
Hosting-RegionEU · Frankfurt
VerschlüsselungTLS + AES-256-GCM
Mandanten-IsolationRLS + CI-Tests
KI-VerarbeitungEU-Enterprise-Endpunkte
SchlüsselablageSeparater Vault
Sicherheitskontaktsecurity@sonicr1.com
Datenschutz
- Wo werden Kundendaten verarbeitet und gespeichert?
- In der EU (Frankfurt). KI-Anfragen für Workspaces in der EU-Region werden ausschließlich in EU-Regionen verarbeitet; Nicht-EU wird nie als stiller Fallback genutzt.
- Werden Daten bei der Übertragung und im Ruhezustand verschlüsselt?
- Ja — TLS bei der Übertragung und im Ruhezustand. Erkannte PII-Werte werden zusätzlich mit AES-256-GCM gespeichert; die Schlüssel liegen in einem separaten Vault, getrennt von den App-Zugangsdaten.
- Werden personenbezogene Daten an KI-Anbieter gesendet?
- Personenbezogene Daten werden erkannt und vor jedem Modellaufruf durch Tokens ersetzt. Ein zentraler Egress-Guard blockiert Prompts ohne Redaktionsnachweis.
- Werden Kundengespräche zum Training von KI-Modellen genutzt?
- Gespräche werden auf Enterprise-KI-Endpunkten verarbeitet (nicht über Consumer-API-Keys) und nicht zum Training öffentlich geteilter Modelle genutzt. Die vertraglichen Details stehen im AVV.
Zugriff & Isolation
- Wie werden die Daten eines Mandanten von denen anderer getrennt?
- Row-Level Security ist workspace-bezogen über alle Mandanten-Tabellen, ein Autorisierungs-Guard sichert privilegierte Routen ab, und Cross-Mandanten-Isolationstests laufen in der CI.
- Wie authentifizieren sich Nutzer?
- Supabase Auth — E-Mail und Google OAuth. SSO gibt es im Enterprise-Tarif.
- Können Kunden ihre Daten löschen?
- Ja. Die Aufzeichnung ist einwilligungs-gesteuert, Audio-Speicherung ist standardmäßig aus, die Aufbewahrung ist konfigurierbar, und hartes Löschen ist pro Gespräch und pro Workspace möglich.
Hosting & Betrieb
- Welche Infrastruktur-Anbieter werden genutzt?
- AWS, Vercel, Supabase und Google Cloud — gehostet in der EU (Frankfurt).
- Sind die Rechenzentren zertifiziert?
- Die zugrunde liegende Infrastruktur läuft in SOC-2-/ISO-27001-zertifizierten Rechenzentren; diese Zertifizierungen halten die Anbieter, nicht SonicR1.
- Welche Optionen zur Gesprächsaufzeichnung gibt es?
- Es wird nie Gesprächsaudio aufgezeichnet. Zwei Modi, pro Gespräch wählbar: ein ephemerer Nur-Live-Modus, in dem nichts gespeichert wird (kein Audio, kein Transkript, keine Notizen), und ein KI-Notizen-Modus, in dem nur ein Transkript und eine Zusammenfassung gespeichert werden — nie das Audio.
Fragen von deinem Sicherheitsteam?
Erreich uns unter security@sonicr1.com — vollständigen fragebogen & avv anfragen.