Bündi

Sicherheit: EU-Verarbeitung, ZDR und PII-Maskierung

Bündi-Sicherheit konkret: EU-Datenresidenz, Zero Data Retention, kein Training auf Kundendaten, PII-Maskierung, Tenant-Isolation, Audit-Log und optionale Ende-zu-Ende-Verschlüsselung.

Sicherheit ist bei Bündi keine Marketing-Vokabel, sondern eine Voraussetzung. KMU vertrauen Bündi vertrauliche Kundendaten an. Diese Seite beschreibt nüchtern, was wir konkret tun und was wir bewusst nicht versprechen.

Datenverarbeitung und Standort

Bündi-Konto- und Stammdaten werden in EU-Rechenzentren verarbeitet. Modell-Anfragen werden ausschliesslich in EU-Regionen ausgeführt. Bündi konfiguriert das Routing so, dass Anfragen nicht in Nicht-EU-Regionen fallen.

Wir machen ausdrücklich keine Aussage über Schweizer Hosting. Wer Datenstandort Schweiz vertraglich braucht (zum Beispiel bei FINMA-regulierten Kunden), klärt das mit uns individuell · wir setzen das nicht automatisch um.

Zero Data Retention (ZDR)

Bei jeder Anfrage erzwingt Bündi den ZDR-Modus. Das heisst: die Anfrage und die Antwort werden nicht über die unmittelbare Antwortgenerierung hinaus gespeichert. Keine Speicherung, kein Logging der Inhalte, keine Auswertung im Nachhinein.

ZDR ist vertraglich Teil unseres Setups und wird bei jedem API-Call neu durchgesetzt. Sollte ein Modell ZDR nicht zuverlässig anbieten, ist dieses Modell in Bündi nicht aktivierbar.

Kein Training auf Ihren Daten

Weder Bündi noch die eingesetzten Modelle dürfen Ihre Chat-Inhalte, hochgeladenen Dokumente oder Metadaten für das Training neuer Modelle verwenden. Bündi setzt bei jedem Call die entsprechenden Flags und prüft, dass alle aktivierten Modelle dies unterstützen.

PII-Maskierung

Bündi erkennt vor dem Versand an das Modell automatisch personenbezogene Daten in Ihrer Anfrage und ersetzt sie durch Platzhalter. Erkannt werden unter anderem:

  • Personennamen (Mustererkennung plus Namens-Lexikon)
  • Adressen mit Strasse, Postleitzahl, Ort
  • E-Mail-Adressen und Telefonnummern
  • AHV-/Sozialversicherungsnummern (CH, DE, AT)
  • IBAN-Nummern
  • Kreditkarten-Nummern

Nach Antwort des Modells werden die Platzhalter clientseitig zurückgemappt, sodass Sie Ihre Originalantwort lesen. PII-Maskierung ist standardmässig aktiv und lässt sich pro Anfrage abschalten.

PII-Maskierung ist eine Risiko-Reduktion, kein vollständiger Schutz. Hochsensible Inhalte (Mandantengeheimnis, ärztliche Schweigepflicht) sollten Sie zusätzlich pseudonymisieren, bevor Sie sie eingeben.

Verschlüsselung

  • In transit: TLS 1.3 zwischen Browser und Bündi
  • At rest: AES-256 für Konto- und Stammdaten in der Bündi-Datenbank
  • Backups: verschlüsselt mit separat verwalteten Schlüsseln

Tenant-Isolation

Jeder Kunde erhält einen logisch isolierten Datenbereich. Auf Datenbank-Ebene werden Tenant-IDs bei jedem Zugriff geprüft, auch durch Tests in der Continuous Integration. Cross-Tenant-Zugriffe sind technisch verhindert.

Identity und Zugriffsmanagement

  • Login per E-Mail und Magic-Link (passwortlos)
  • Rollenmodell: Owner, Admin, Member
  • Optional: IP-Allowlist pro Workspace
  • Audit-Log über alle Logins und Konfigurationsänderungen

Audit-Log

Bündi protokolliert Metadaten zu jeder Anfrage (Zeitpunkt, Modell, Token-Anzahl, Kosten, anfragender User). Nicht protokolliert werden Inhalte von Anfragen und Antworten. Der Audit-Log ist für Owner und Admin im Portal sichtbar und als CSV exportierbar.

Modell-Auswahl

Bündi bietet offene und kommerzielle Sprachmodelle. Pro Workspace lässt sich whitelisten, welche Modelle erlaubt sind. Für alle aktivierten Modelle gilt:

  • Zero Data Retention an
  • Kein Training auf Ihren Daten
  • Verarbeitung ausschliesslich in EU-Regionen
  • PII-Maskierung vor Versand

Die konkrete Modell-Liste pro Plan teilen wir auf Anfrage. Sie wird laufend an aktuell verfügbare Modelle angepasst, ohne dass sich die Sicherheits-Eigenschaften ändern.

Was wir nicht versprechen

Damit Sie nicht überrascht werden, hier explizit was Bündi nicht garantiert:

  • Kein Schweizer Hosting. Bündi verarbeitet in EU-Regionen. Wer Datenstandort Schweiz braucht, spricht uns vor Vertragsschluss an.
  • Keine absolute Immunität gegenüber US-Behördenzugriff. EU-Verarbeitung und Zero Data Retention reduzieren das Risiko, schliessen es bei international tätigen Anbietern aber nicht vollständig aus.
  • Kein Berufsgeheimnis-Freibrief. Anwälte, Ärzte, Steuerberater und andere Berufsgeheimnisträger müssen mit ihrer Standesorganisation klären, ob Daten an einen externen KI-Dienst weitergegeben werden dürfen. Wir bieten Werkzeuge zur Reduktion (PII-Maskierung, Pseudonymisierung), nicht die rechtliche Bewertung.

Penetrationstests

Externer Penetrationstest ist in Planung. Bis dahin gilt: interne Code-Reviews, Continuous-Integration-Tests, Tenant-Isolation-Tests, Audit der Sicherheits-Flags pro Release. Sobald ein externer Bericht vorliegt, ist er für Geschäftskunden auf Anfrage einsehbar (NDA erforderlich).

Disclosure-Programm

Sicherheitsforscher und Kunden werden ermutigt, Schwachstellen verantwortungsvoll zu melden:

  • E-Mail: security@buendi.ch
  • PGP-Key: auf Anfrage
  • Antwortzeit: innerhalb von 72 Stunden
  • Veröffentlichungs-Embargo: 90 Tage ab Bestätigung der Behebung

Details unter /.well-known/security.txt.

Compliance-Status

  • revDSG (Schweiz): Verarbeitungsverzeichnis vorhanden, AVV-Vorlage verfügbar
  • DSGVO (EU): dieselben Anforderungen, dieselben Werkzeuge
  • ISO 27001, SOC 2: Bündi selbst ist nicht zertifiziert. Eine eigene Zertifizierung ziehen wir in Betracht, sobald der Kundenstamm das wirtschaftlich rechtfertigt.

Für regulierte Branchen (FINMA, EDÖB, anwaltliches Berufsgeheimnis, ärztliche Schweigepflicht) stehen wir für individuelle Klärung zur Verfügung. Wir verkaufen kein Compliance-Versprechen, das wir nicht halten können.

Kontakt

Bereit loszulegen?

In 90 Sekunden startklar. Keine Kreditkarte.