Security-Überblick

SonicR1 — Sicherheit auf einen Blick

Eine kompakte Zusammenfassung zum Teilen für deine Sicherheitsprüfung. Brauchst du den vollständigen Fragebogen (CAIQ / SIG Lite) oder unseren AVV? Stellen wir auf Anfrage bereit.

Zuletzt aktualisiert Juni 2026

Hosting-RegionEU · Frankfurt
VerschlüsselungTLS + AES-256-GCM
Mandanten-IsolationRLS + CI-Tests
KI-VerarbeitungEU-Enterprise-Endpunkte
SchlüsselablageSeparater Vault
Sicherheitskontaktsecurity@sonicr1.com

Datenschutz

Wo werden Kundendaten verarbeitet und gespeichert?
In der EU (Frankfurt). KI-Anfragen für Workspaces in der EU-Region werden ausschließlich in EU-Regionen verarbeitet; Nicht-EU wird nie als stiller Fallback genutzt.
Werden Daten bei der Übertragung und im Ruhezustand verschlüsselt?
Ja — TLS bei der Übertragung und im Ruhezustand. Erkannte PII-Werte werden zusätzlich mit AES-256-GCM gespeichert; die Schlüssel liegen in einem separaten Vault, getrennt von den App-Zugangsdaten.
Werden personenbezogene Daten an KI-Anbieter gesendet?
Personenbezogene Daten werden erkannt und vor jedem Modellaufruf durch Tokens ersetzt. Ein zentraler Egress-Guard blockiert Prompts ohne Redaktionsnachweis.
Werden Kundengespräche zum Training von KI-Modellen genutzt?
Gespräche werden auf Enterprise-KI-Endpunkten verarbeitet (nicht über Consumer-API-Keys) und nicht zum Training öffentlich geteilter Modelle genutzt. Die vertraglichen Details stehen im AVV.

Zugriff & Isolation

Wie werden die Daten eines Mandanten von denen anderer getrennt?
Row-Level Security ist workspace-bezogen über alle Mandanten-Tabellen, ein Autorisierungs-Guard sichert privilegierte Routen ab, und Cross-Mandanten-Isolationstests laufen in der CI.
Wie authentifizieren sich Nutzer?
Supabase Auth — E-Mail und Google OAuth. SSO gibt es im Enterprise-Tarif.
Können Kunden ihre Daten löschen?
Ja. Die Aufzeichnung ist einwilligungs-gesteuert, Audio-Speicherung ist standardmäßig aus, die Aufbewahrung ist konfigurierbar, und hartes Löschen ist pro Gespräch und pro Workspace möglich.

Hosting & Betrieb

Welche Infrastruktur-Anbieter werden genutzt?
AWS, Vercel, Supabase und Google Cloud — gehostet in der EU (Frankfurt).
Sind die Rechenzentren zertifiziert?
Die zugrunde liegende Infrastruktur läuft in SOC-2-/ISO-27001-zertifizierten Rechenzentren; diese Zertifizierungen halten die Anbieter, nicht SonicR1.
Welche Optionen zur Gesprächsaufzeichnung gibt es?
Es wird nie Gesprächsaudio aufgezeichnet. Zwei Modi, pro Gespräch wählbar: ein ephemerer Nur-Live-Modus, in dem nichts gespeichert wird (kein Audio, kein Transkript, keine Notizen), und ein KI-Notizen-Modus, in dem nur ein Transkript und eine Zusammenfassung gespeichert werden — nie das Audio.

Fragen von deinem Sicherheitsteam?

Erreich uns unter security@sonicr1.com vollständigen fragebogen & avv anfragen.