Erfüllt die höchsten Anforderungen an Datenschutz und Datensicherheit.

Paperless wird in Deutschland programmiert und gehostet. Unsere oberste Priorität ist der Schutz Deiner Daten.

Ein Ordner, der ein Dokument enthält. Darüber liegt ein blaues Schild mit Sicherheitsschloss.
Vollständig DSGVO-konform.
SERVER & HOSTING

Alle Paperless-Server befinden sich in Deutschland.

Gehostet in Deutschland: Paperless ist einer der wenigen Anbieter, der ausschließlich auf deutschen Servern hostet.

Server-Standort: Unsere Server befinden sich in Nürnberg und Falkenstein im Vogtland innerhalb der Europäischen Union. Das garantiert, dass die Daten unserer Kunden und Nutzer niemals die EU verlassen.

Sicherheit des Rechenzentrums: Die technischen Einrichtungen sind nach ISO/IEC 27001 zertifiziert. Die ISO/IEC 27001 ist ein international anerkannter Standard zur Bewertung der Sicherheit von Informations- und IT-Umgebungen.

Eine Karte von Deutschland mit drei markierten Standorten. Darüber liegt ein Siegel mit der Aussagen "Server in Deutschland".
Ein abstraktes Dokument mit Unterschrift. Darüber liegt ein DSGVO Zertifikat.
EU-VORSCHRIFTEN

Ausschließlich europäische Unterauftragnehmer.

EU-Datenschutzgesetze: Dass Daten nie die EU verlassen, ist entscheidend für "Schrems II"-konforme Datenverarbeitung und -schutz. Paperless nutzt daher ausschließlich Unterauftragnehmer, z. B. für die Server Infrastruktur, welche Ihren Sitz in der EU haben und über welche keine Kontrolle aus dem EU-Ausland ausgeübt werden kann.

Liste der Unterauftragnehmer anfordern

Rechtlich verbindliche eSignaturen

Elektronische Signaturen sind in den meisten Ländern (auch in den USA und der Europäischen Union) rechtlich anerkannt. In der EU sind sie in der eIDAS-Verordnung Nr. 910/2014 verankert und werden durch landesspezifische Gesetze umgesetzt. In Deutschland z. B. zielt das sogenannte Vertrauensdienstegesetz (VDG) darauf ab, die Nutzung elektronischer Vertrauensdienste zu erleichtern.

Ein ausgefülltes Unterschriftsfeld mit Sicherheitsschloss. Darunter zwei Interface Buttons. Links darüber liegen zwei Zertifikate für eIDAS und DSGVO
Eine Siegel oder Zertifikatsform mit blauem Kreis und Haken im Zentrum.

Paperless Audit Trail: Rechtssicher und versiegelt

Alle Paperless-Dokumente enthalten eine detaillierte, vollständige und nachvollziehbare Beschreibung aller Vorgänge, die während des Lebenszyklus des Dokuments durchgeführt werden (z. B. Versand, Datenübermittlung, Unterzeichnung, Abschluss, Versiegelung). Erfasst werden das Datum und die Uhrzeit der Vorgänge, die Art des Vorgangs, wichtige Daten über die Beteiligten und über die Sitzungen.

Eine Zusammenfassung mit Spezifikationen wann und durch wen ein Dokument verändert wurde. Darüber liegt eine Art Siegel mit Paperless.io Logo und ID Code.
Eine Kiste aus der angedeutet durch Linien drei Kreise aufsteigen oder hineinfallen.

Unanfechtbarkeit

Der Audit Trail enthält ein digitales Zertifikat, das die Revisionssicherheit für alle mit Paperless erstellten und signierten Dokumente gewährleistet.

Zwei übereinander gelagerte Dokumente die erfolgreich kopiert wurden.

Integrität

Durch die Kodierung eines dateispezifischen Hashs und das Erstellen eines kryptografischen Siegels wird jegliche Nachbearbeitung des abgeschlossenen Dokuments verhindert. Paperless kann die Integrität eines bestimmten Dokuments prüfen, indem der Hash des Dokuments mit dem auf den Servern von Paperless sicher gespeicherten Hash verglichen wird.

Schild mit Sicherheitsschloss.

Authentizität

Der Paperless Audit Trail enthält zusätzlich eine Zertifizierung über die Herkunft des Dokuments und weitere Mittel zur Überprüfung der Authentizität eines bestimmten Dokuments.

Wie Empfänger und Unterzeichner Paperless nutzen
Verschiedene Linien die zusammen einen Fingerabdruck erzeugen.

Authentifizierung

Paperless bietet mehrere Authentifizierungsoptionen für Unterzeichner, darunter einen sicheren Link per E-Mail oder die direkte Integration in bestehende Sicherheitslösungen.

Drei quadratische Formen die übereinander geschichtet sind.

Protokollierung

Alles, was an die Server von Paperless gesendet wird, wird unverfälscht und systematisch erfasst. Alle Metadaten wie User-Agents, IP-Adressen und Zeitstempel werden bis auf die Millisekunde genau protokolliert.

Zwei gestapelte Kisten. Ein Haken in einem blauen Kreis schwebt oberhalb der Kisten.

Validierung der Daten

Alle von Empfängern und Unterzeichnern eingegebenen Daten werden sowohl auf der Client- als auch auf der Serverseite auf Vollständigkeit, Integrität und Korrektheit geprüft.

Passwortgeschützter Order mit Sicherheitsschloss.

SSL-Verschlüsselung

Alle Daten und persönlichen Informationen, die an oder von Paperless gesendet werden, werden während der Übertragung mittels einer dem Industriestandard entsprechenden 256-Bit-Verschlüsselung mit einem 2.048-Bit-RSA-Schlüssel verschlüsselt.

Ein Feld zum Einloggen geschützt durch ein Passwort. Im Hintergrund lässt sich eine Art Burgturm erkennen worüber ein großer Schlüssel liegt.

Enterprise ready

Benutzerverwaltung: Automatische Benutzer (De-)Provisionierung über SCIM und Benutzerauthentifizierung über Single Sign-On (OAuth / OpenID Connect / AD FS) für hervorragende Sicherheits-Compliance.

Zugriffsverwaltung: Mit der rollenbasierten Zugriffskontrolle (RBAC) können nur ausgewählte Mitarbeiter innerhalb des Unternehmens und genehmigte Integrationen auf Informationen in Paperless zugreifen.

Passwort-Richtlinien: Strenge Regeln für die Stärke von Passwörtern bieten ein hohes Maß an Schutz vor unbefugtem Zugriff.

SLA: Service Level Agreements zur Verfügbarkeit: Die uneingeschränkte Verfügbarkeit der Plattform  ist uns ein großes Anliegen und wird deshalb durch ein Service Level Agreement abgesichert.

TECHNOLOGIE

Wie wir Paperless entwickeln

Zugangskontrolle: Basierend auf dem Prinzip der geringsten Berechtigung ist der gesamte Systemzugang auf eine minimale Anzahl von Mitarbeitern beschränkt. Dabei ist für den Zugriff auf alle kritischen Systeme eine mehrstufige Authentifizierung erforderlich.

Physische Sicherheit: Rund um die Uhr Überwachung vor Ort mit strengen physischen Zugangskontrollen, wie z. B. Zugang mit Ausweis und bemannte öffentliche Eingänge, die den Branchenstandards entsprechen.

Schulung: Alle Paperless-Mitarbeiter werden regelmäßig zu Sicherheits- und Datenschutzthemen wie Datenverarbeitung und -speicherung, DSGVO-Compliance oder Angriffsmöglichkeiten für Social Engineering geschult.

Code-Review: Wir setzen formale Code-Reviews für den gesamten Anwendungscode durch, um die Wahrscheinlichkeit von Bugs mit möglichen Sicherheitsauswirkungen zu minimieren.

Eine Applikation im Web die sich aus mehreren Baublöcken zusammen setzt. Ein Kran baut den Inhalt der Applikation und bewegt einen Block mit Paperless.io Logo.
Eine Anwendung die das Erfassen und Prüfen von Daten zeigt. Die Daten erinnern an Code. Eine Lupe zeigt einen Abschnitt vergrößert im Detail.
Sicherheit der nächsten Generation

Überwachung und ständige Optimierung

Protokollierung: Jeder Zugriff auf Paperless wird protokolliert und sechs Monate lang gespeichert, danach wird er automatisch DSGVO-konform gelöscht. Die Aktivitäten zur Einreichung von Dokumenten werden auf unbestimmte Zeit gespeichert und in den Audit Trail aufgenommen.

Automatisierte Tests: Es werden kontinuierlich einige tausend automatisierte Softwaretests durchgeführt, um Bugs zu erkennen und das Risiko von Software-Fehlern zu minimieren.

Überwachung: Die aktive Überwachung der gesamten Hardware, des Netzwerks, der Plattformanwendungen und der Tools gewährleistet die hohe Verfügbarkeit und Leistungsfähigkeit von Paperless. Mit umfangreicher Fehlerberichterstattung und -verfolgung wird jedes auftretende Problem automatisch an unser technisches Team gemeldet. Ein automatisiertes 24/7-Alarming garantiert, dass wir im Falle eines Problems sofort mit der Behebung des Problems beginnen.

Pentesting: Die Prüfung und Validierung der Plattform-Sicherheit durch einen externen Penetration Tester zum weiteren Schutz der Lösung vor Angriffen und Sicherheitsverletzungen ist für Q1/22 geplant.

Sicherheits- oder Datenschutzschwachstelle melden: Alle Formen der verantwortungsvollen Offenlegung sind willkommen. Dies gilt auch für alle in Paperless-Produkten gefundenen Schwachstellen. Je nach Schwere des Problems können wir ein Bug Bounty ausschreiben (bitte habe Verständnis dafür, dass wir noch ein junges Unternehmen mit begrenzten Ressourcen sind). Gefundene Schwachstellen oder jede andere Anfrage zur Produktsicherheit können bei security@paperless.io gemeldet werden.

Bereit für Paperless?

Wir helfen Ihnen papierbasierte Prozesse in einfache digitale Erfahrungen zu verwandeln.