Trust Centre

Sie behalten die Kontrolle

Scrydon ist so gebaut, dass Sicherheit der Standard ist und kein Add-on. Jede externe Anfrage passiert fünf Gates, bevor sie einen Dienst erreicht, die Plattform wird fail-closed ausgeliefert, und Ihre Daten, Schlüssel und KI bleiben in Ihrem Perimeter.

Fail-closed als Standard

Kann eine Prüfung nicht erfüllt werden, wird der Zugriff verweigert. Das sichere Ergebnis ist das übliche Ergebnis.

Ihre Schlüssel, Ihr Perimeter

Die Schlüsselstrategien LOCAL, BYOK und HYOK halten Verschlüsselung — und Vertrauen — auf Ihrer Seite.

Nachweisbar & auditierbar

Unveränderliche Audits und Evidence Packs je Rahmenwerk machen Kontrolle belegbar statt bloß behauptet.

Sicherheit durch Architektur

Fünf Gates, dann fail-closed

Defence-in-Depth ist hier kein Slogan. Jede externe Anfrage passiert fünf unabhängige Gates, bevor sie überhaupt einen Dienst erreicht. Jedes Gate ist darauf ausgelegt, standardmäßig zu verweigern — eine Fehlkonfiguration oder eine fehlende Berechtigung blockiert den Zugriff, statt ihn stillschweigend zu gewähren.
  1. 1

    Ingress-Härtung

    Gefälschte Identitäts-Header werden am Edge entfernt. Interne Identität wird niemals von außen übernommen; sie wird innerhalb des Perimeters etabliert.

  2. 2

    Autorisierung

    Ein einziger Policy Decision Point bewertet jede Anfrage als Policy-as-Code (Rego) — sowohl auf der Anwendungs- als auch auf der Datenebene.

  3. 3

    mTLS-Service-Mesh

    Dienste authentifizieren sich gegenseitig mit mutual TLS. Keine geteilten Bearer-Token, kein implizites Vertrauen zwischen Workloads.

  4. 4

    Secrets-Management

    Zugangsdaten werden im Ruhezustand verschlüsselt, pro Berechtigung eingegrenzt und in Logs geschwärzt. Das Lesen eines Secrets ohne gültige Berechtigung schlägt schlicht fehl.

  5. 5

    DLP & Audit-Logging

    Ausgaben durchlaufen die Guardrails-Engine, und jede privilegierte Operation wird in einen unveränderlichen, abfragbaren Audit-Trail geschrieben.

Fail-closed als Standard. Ungültige mTLS-Identitäten werden abgewiesen, fehlgeschlagene Autorisierungsprüfungen verweigern den Zugriff, und Workflows laufen unter serverseitig ausgestellten Berechtigungen — niemals unter vom Benutzer gelieferten Identitäten.

Datenschutz & DLP

Die Guardrails-Engine

Data Loss Prevention ist das fünfte Gate. Bevor eine Modellausgabe die Plattform verlässt, durchläuft sie die DLP-Guardrails-Engine: Sie prüft auf personenbezogene Daten, markiert mögliche Halluzinationen und validiert gegen Regex-Muster und JSON-Schemata. Was nicht besteht, geht nicht hinaus.
  • PII-Erkennung: Modellausgaben werden auf personenbezogene Daten geprüft, bevor sie die Plattform verlassen.
  • Halluzinations-Flags: Antworten werden gegen ihre Verankerung geprüft, sodass nicht belegte Aussagen markiert oder blockiert werden können.
  • Regex- & JSON-Gates: Muster- und Schemavalidierung erzwingen die exakte Form dessen, was zurückgegeben werden darf.
  • Exfiltrationskontrolle: Die Guardrails sitzen im Egress-Pfad und verhindern, dass sensible Daten in einer Antwort entweichen.
Identität & Zugriff

Zero-Trust-Identität

Der Zugriff wird von einem einzigen Policy Decision Point gesteuert, der jede Anfrage als Policy-as-Code bewertet. Identität ist in drei Ebenen gegliedert — Organisationsrollen, Workspace-Mitgliedschaft und Team-Berechtigungen — und integriert sich in Ihr bestehendes SSO und SCIM, sodass Eintritte, Wechsel und Austritte automatisch berücksichtigt werden.

Erkunden Sie die zugrunde liegende souveräne Identitätsschicht.

  • Zero-Trust standardmäßig: Workflows laufen unter serverseitig ausgestellten Berechtigungen, niemals unter vom Benutzer gelieferten Identitäten.
  • SSO & SCIM: Binden Sie Ihren Identity Provider für Single Sign-on und die automatisierte Bereitstellung und Entziehung von Benutzerkonten an.
  • Dreistufiges Modell: Organisationsrollen, Workspace-Mitgliedschaft und Team-Berechtigungen ergeben zusammen einen Zugriff nach dem Least-Privilege-Prinzip.
  • Mandantentrennung: Mandanten sind per Design isoliert, sodass eine Organisation niemals an die Daten einer anderen gelangen kann.
Ihre Schlüssel, Ihr Perimeter

Verschlüsselung zu Ihren Bedingungen

Sie entscheiden, wie weit Vertrauen reicht. Scrydon unterstützt drei Schlüsselstrategien, und externe KI-Anbieter sind immer Opt-in — die Plattform kann per Air-Gap getrennt von der Public Cloud vollständig in Ihrem Perimeter laufen, bis Sie anders entscheiden.

LOCAL

Plattformseitig verwaltete Verschlüsselung. Zugangsdaten werden im Ruhezustand verschlüsselt und in jeder Logzeile geschwärzt — der schnellste Weg zu einer gehärteten Voreinstellung.

BYOK — bring your own key

Sie stellen die Verschlüsselungsschlüssel bereit. Scrydon nutzt sie zum Schutz Ihrer Daten, während Eigentum und Widerrufsmöglichkeit bei Ihnen bleiben.

HYOK — hold your own key

Die Schlüssel verlassen niemals Ihren Gewahrsam. Die Plattform arbeitet gegen Schlüssel, die Sie halten — die letzte Kontrolle bleibt damit fest auf Ihrer Seite der Linie.

Externe KI ist Opt-in. Keine Anfrage geht an ein Drittanbieter-Modell, sofern Sie es nicht ausdrücklich erlaubt haben — Souveränität ist damit eine Einstellung, die Sie kontrollieren, und kein Versprechen, dem Sie vertrauen müssen.

Audit & Rechenschaft

Eine unveränderliche Aufzeichnung

Jede privilegierte Operation erzeugt einen unveränderlichen, abfragbaren Audit-Eintrag — mit Akteur, IP-Adresse und ausgeführter Aktion, aufbewahrt gemäß Ihrer Richtlinie. Da der Trail append-only ist, lässt sich die Aufzeichnung des Geschehenen nicht unbemerkt umschreiben: Sie und Ihre Prüfer haben eine einzige, verlässliche Quelle der Wahrheit.

Rechenschaft wird durchgängig von der KI-Governance gesteuert, die Policy, Identität und Audit in einer Control Plane zusammenführt.

Compliance & Nachweise

Kontrollen, die auf die Rahmenwerke abbilden, denen Sie verpflichtet sind

Die Kontrollen von Scrydon sind darauf ausgelegt, auf die regulatorischen und Assurance-Rahmenwerke abzubilden, mit denen europäische Organisationen konfrontiert sind, und diese zu unterstützen. Die Plattform erzeugt Evidence Packs je Rahmenwerk, sodass Sie Kontrolle in Ihren eigenen Audits und Assessments nachweisen können, statt sie im Nachhinein zu rekonstruieren.

Die vollständige Compliance-Übersicht enthält die Details hinter jeder Abbildung. Scrydon beschreibt, wie seine Kontrollen diese Rahmenwerke unterstützen, und erzeugt Evidence Packs; eine formale Zertifizierung in Ihrem Namen beansprucht es nicht.

FAQ

Häufig gestellte Fragen

Sendet Scrydon meine Daten an externe KI-Anbieter?+
Nein — es sei denn, Sie entscheiden sich dafür. Externe KI-Anbieter sind strikt Opt-in. Standardmäßig kann die Plattform vollständig innerhalb Ihres Perimeters laufen, per Air-Gap getrennt von Public-Cloud-Diensten, und Sie entscheiden ausdrücklich, ob und wann ein externes Modell zugelassen wird.
Was bedeutet „Fail-closed“ hier konkret?+
Es bedeutet, dass das sichere Ergebnis das Standardergebnis ist. Eine ungültige mTLS-Identität wird abgewiesen, eine fehlgeschlagene Autorisierungsprüfung verweigert den Zugriff, statt ihn zu gewähren, und das Lesen eines Secrets ohne gültige Berechtigung schlägt ohne Fallback fehl. Sicherheit hängt nicht davon ab, dass jemand daran denkt, sie einzuschalten.
Wer kann sehen, was getan wurde, und lässt sich der Eintrag verändern?+
Jede privilegierte Operation erzeugt einen unveränderlichen, abfragbaren Audit-Eintrag mit Akteur, IP-Adresse und Aktion, aufbewahrt gemäß Ihrer Richtlinie. Der Audit-Trail ist append-only, sodass die Aufzeichnung des Geschehenen nicht unbemerkt umgeschrieben werden kann.
Ist Scrydon formal nach diesen Rahmenwerken zertifiziert?+
Nein — Scrydon beansprucht keine formale Zertifizierung in Ihrem Namen. Die Kontrollen sind so ausgelegt, dass sie auf Rahmenwerke wie ISO 27001, ISO 42001, die KI-Verordnung, die DSGVO, SOC 2, SecNumCloud, NIST, den CRA und AIUC-1 abbilden und diese unterstützen; die Plattform erzeugt Evidence Packs je Rahmenwerk, um Ihre eigenen Audits und Assessments zu erleichtern. Zertifizierung und Konformität beziehen sich auf Ihr konkretes Deployment; Details zu jeder Abbildung finden Sie auf den einzelnen Compliance-Seiten.