+ Trust-Portal
Was ist öffentlich,
was steht aus.
Diese Seite ist der Index für jedes formale Dokument hinter unseren Sicherheits- und Compliance-Aussagen. Wir veröffentlichen, was vorhanden ist, benennen, was nicht vorhanden ist, und datieren beides. Vertrauenswürdigkeit muss von aussen prüfbar sein — durch euch, euren CISO und eure Aufsichtsbehörde — ohne uns auf das Wort zu glauben.
+ Status-Legende
Verfügbar
Öffentliches Dokument, das ihr heute lesen oder herunterladen könnt.
Entwurf
Interner Text vorhanden; veröffentlicht vor erstem Enterprise-Vertrag.
Geplant
Verbindliche Arbeit; noch kein Entwurf — Datum unten.
Extern
Wird von Dritten betrieben; wir verlinken weiter.
+ Richtlinien, die ihr heute lesen könnt
Klartext-Verpflichtungen, die uns binden. Jede verlinkt zur kanonischen Stelle auf dieser Site.
Liste der Unterauftragsverarbeiter
VerfügbarJeder Anbieter im Kundendatenpfad, mit Standort, Zweck und sichtbaren Daten.
Snapshot — Mai 2026
Auf /security ansehenÄnderungsprotokoll der Unterauftragsverarbeiter
VerfügbarAppend-only-Log für Hinzufügungen, Ersetzungen und Entfernungen. 30 Tage Vorankündigung.
github.com — bewusst leer
Per E-Mail abonnierenAuftragsverarbeitungsvertrag (Vorlage)
VerfügbarStandard-Klartext. Gegengezeichnete Kopie wird mit jedem MSA ausgestellt.
Klartext-Vorschau
AVV ansehenDatenschutzerklärung
VerfügbarWas wir erheben, was nicht, wo es liegt und wie lange wir es aufbewahren.
Klartext-Vorschau
Datenschutzerklärung ansehenRichtlinie zur Schwachstellenmeldung
VerfügbarWie ihr Sicherheitsprobleme meldet, Geltungsbereich, Reaktionszeiten, Hall of Thanks.
ISO 29147-konform
Richtlinie ansehenVorfall-Verpflichtungen
VerfügbarMeldefenster für personenbezogene-Daten-Verstösse und Servicevorfälle, plus öffentliche Post-Mortem-Kadenz.
DSGVO Art. 33 + Service-Level
Verpflichtungen ansehen+ Formale Compliance-Dokumente
Die unterschriftsreifen Dokumente, die Auditor:innen oder Aufsichtsbehörden anfordern. Entwürfe liegen intern vor; Veröffentlichung folgt dem GA-Plan.
ISO/IEC 27001:2022 Statement of Applicability
EntwurfAlle 93 Annex-A-Kontrollen auf unser Umfeld zugeschnitten, mit Implementierungsstatus.
Intern entworfen — bei GA veröffentlicht
Bei GA benachrichtigenRechtsgutachten Island / US CLOUD Act
GeplantUnabhängiges Rechtsgutachten zu isländischer Jurisdiktion, EWR-Datenflüssen und US-Extraterritorialität.
Bei GA beauftragt
Bei Veröffentlichung benachrichtigenSOC 2 Type I Report
GeplantUnabhängige Bestätigung des Kontrolldesigns für Sicherheit, Verfügbarkeit und Vertraulichkeit.
Audit-Fenster öffnet nach erstem unterschriebenen Kunden · ETA Q4 2026
Bei Veröffentlichung benachrichtigenPenetrationstest-Bericht
GeplantBefunde externer Tester, Behebungsplan und Re-Test-Ergebnis.
Vor GA, beschränkt auf öffentliches S3-Gateway und Konsole
Bei Veröffentlichung benachrichtigen+ Operative Evidenz
Was wir laufend erzeugen, sobald Produktiv-Traffic existiert — für Auditor:innen-Konsum gebaut.
Hash-verkettete Audit-Evidenz (pro Tenant)
EntwurfTägliche Merkle-Root, signierte Export-Bundles. Verifizierbarer Beweis der Unveränderlichkeit für jedes aufbewahrte Objekt.
Engineering abgeschlossen — Beispiel-Bundles bei GA
FunktionsweiseAtlas Hosting-Attestation
ExternSouveräne Cloud-Plattform, die unsere Compute- und Objektspeicher betreibt — von ihnen auditiert, euch zugänglich gemacht.
Betrieben von Atlas
runatlas.is+ Wie zu verifizieren
Auditor:innen, Aufsichtsbehörden und sicherheitsbewusste Kunden können unredigierte Originaldokumente unter NDA anfordern. Schreibt an security@recover.is mit Rolle und Zweck und wir leiten die Anfrage weiter — typische Bearbeitungszeit zwei Werktage.
+ Quelle der Wahrheit
Diese Seite ist der kanonische Index. Die Dokumente selbst liegen dort, wo sie bereits massgeblich sind — Richtlinienseiten auf dieser Site, formale Dokumente in unserem Compliance-Repository, Anbieter-Dokumente auf Anbieter-Sites. Wir duplizieren nicht; wir verlinken.