Tendaro wird vollständig in Schweizer Rechenzentren betrieben. Kundendaten werden mandantenisoliert verarbeitet und nicht zum Training Dritter verwendet. Die Plattform ist auf revDSG, das nDSG-konforme Verarbeitungsverzeichnis und ISO-orientierte Kontrollen für Zugriffsverwaltung, Verschlüsselung und Auditing ausgelegt.
Tendaro wird vollständig in Schweizer Rechenzentren betrieben. Sämtliche Kundeninhalte, Wissensbibliothek, Ausschreibungsunterlagen und Auswertungen verbleiben physisch in der Schweiz. Backups und Disaster-Recovery-Standorte liegen ebenfalls in der Schweiz, sodass auch bei Notfällen keine Daten in andere Jurisdiktionen wandern.
Jeder Kunde wird in einem logisch isolierten Mandanten betrieben. Datenbanken, Objektspeicher und Such-Indizes sind pro Mandant getrennt. Mandantenübergreifender Datenzugriff ist auf Architekturebene ausgeschlossen, nicht nur durch Berechtigungslogik.
Bei Tendaro werden Kundendaten nicht zum Training von Modellen für Dritte verwendet. Sprachmodelle, die in Knowledge Matching und AI Drafting eingesetzt werden, laufen entweder in dedizierten Schweizer Inferenz-Umgebungen oder in vertraglich abgesicherten Inferenz-APIs ohne Trainingsfreigabe.
Alle Daten werden bei der Übertragung mit TLS 1.3 und im Ruhezustand mit AES-256 verschlüsselt. Schlüssel werden in einem dedizierten Hardware Security Module (HSM) verwaltet, mit jährlicher Rotation und protokollierten Zugriffen.
Tendaro unterstützt Single Sign-On über SAML 2.0 und OpenID Connect, sowie Multi-Faktor-Authentifizierung als Standard. Rollenbasierte Berechtigungen werden pro Mandant feingranular vergeben. Ein Just-in-Time-Zugriff für Support-Anfragen wird vollständig protokolliert und nur mit ausdrücklicher Zustimmung des Kunden aktiviert.
Alle sicherheitsrelevanten Ereignisse werden in unveränderlichen Audit-Logs gespeichert: Logins, Berechtigungsänderungen, Datenzugriffe, AI-Drafting-Ausführungen und Exportaktionen. Audit-Logs sind pro Mandant exportierbar und auf Wunsch direkt an SIEM-Systeme wie Splunk oder Microsoft Sentinel weiterleitbar.
Tendaro orientiert sich an ISO 27001 und ISO 27018 für Informationssicherheit und Cloud-Datenschutz. Die Plattform ist auf das revidierte Schweizer Datenschutzgesetz (revDSG) und auf die EU-DSGVO ausgerichtet. Verarbeitungsverzeichnisse, Auftragsverarbeitungsvereinbarungen und Datenflussbeschreibungen werden auf Anfrage bereitgestellt.
Tendaro lässt mindestens jährlich ein unabhängiges Penetration Testing durch eine spezialisierte Schweizer Firma durchführen. Zusammenfassungen der Ergebnisse stehen Kunden im Sicherheitsdossier zur Verfügung. Kritische Funde werden mit definierten Service Levels behoben.
KI-Module liefern Vorschläge, keine automatischen Entscheidungen. Bid Manager prüfen, ergänzen und geben jeden Inhalt frei, bevor er in eine Submission gelangt. Damit bleibt die fachliche Verantwortung für jeden Vertragsinhalt bei Menschen.
Kunden können ihre Daten jederzeit vollständig in offenen Formaten exportieren. Bei Vertragsende wird die Mandantenumgebung nach einem definierten Retention-Plan irreversibel gelöscht und die Löschung wird vertraglich bestätigt.
Tendaro betreibt eine geo-redundante Architektur mit zwei Schweizer Standorten und einer dokumentierten Recovery Time Objective (RTO) von vier Stunden sowie einer Recovery Point Objective (RPO) von 15 Minuten. Verfügbarkeitskennzahlen werden Kunden gegenüber offengelegt.
Alle Kundendaten werden ausschliesslich in zwei Schweizer Rechenzentren verarbeitet und gespeichert. Backups, Disaster-Recovery-Standorte und Inferenz-Umgebungen liegen ebenfalls in der Schweiz. Es findet keine Verarbeitung in anderen Jurisdiktionen statt.
Nein. Inhalte aus der Wissensbibliothek und aus Ausschreibungen werden nicht zum Training von Modellen für Dritte verwendet. Sprachmodelle laufen in dedizierten Schweizer Inferenz-Umgebungen oder in vertraglich abgesicherten Inferenz-APIs ohne Trainingsfreigabe.
Tendaro orientiert sich an ISO 27001 und ISO 27018, ist auf das revidierte Schweizer Datenschutzgesetz (revDSG) und auf die EU-DSGVO ausgerichtet. Verarbeitungsverzeichnisse, Auftragsverarbeitungsvereinbarungen und Datenflussbeschreibungen stehen auf Anfrage zur Verfügung.
Tendaro betreibt eine geo-redundante Architektur mit zwei Schweizer Standorten, einer Recovery Time Objective von vier Stunden und einer Recovery Point Objective von 15 Minuten. Wiederherstellungsverfahren werden mindestens zweimal pro Jahr getestet und dokumentiert.
Support-Mitarbeitende haben standardmässig keinen Zugriff auf Kundendaten. Bei Bedarf kann ein zeitlich begrenzter Just-in-Time-Zugriff aktiviert werden, der ausdrückliche Kundenzustimmung verlangt und vollständig protokolliert wird.