Zum Inhalt springen

ENTERPRISE TRUST

Due Diligence, fertig vor der ersten Demo.

Was CISO, DSB oder IT-Justiziar in 60 Sekunden brauchen. Keine Lieferanten-Fragebogen-Schleifen. Keine NDAs für die Grundlagen.

Für wen diese Seite ist

Wenn Sie die technische oder juristische Gegenseite der Kanzlei sind, die Nexus evaluiert, ist diese Seite die einzige Quelle der Wahrheit. Die folgenden Punkte reichen, um die Sicherheitsprüfung zu starten; die zugrundeliegenden Verträge (DPA, SLA, maßgeschneiderte Security-Review für Enterprise) werden bei Vertragsunterzeichnung übergeben.

TRUST SIGNALS

01

AES-GCM-256-Verschlüsselung im Ruhezustand

Output-Zeilen in analysis_outputs werden mit AES-256-GCM unter organisationsspezifischer Schlüsseltrennung verschlüsselt. Schlüssel verlassen niemals die Anwendungsschicht.

02

Zero Retention by design

Mandantendokumente werden niemals auf Disk oder in der Datenbank persistiert. Jede Analyse läuft in RAM und wird am Sitzungsende zerstört. Es gibt keine Funktion „Mandantendaten löschen", weil es keine Mandantendaten zum Löschen gibt.

03

PII Gatekeeper

Namen, Ausweisnummern (NIF/IBAN), Adressen und E-Mails werden vor jedem externen LLM-Aufruf durch opake Tokens ersetzt. Das Modell auditiert die Struktur blind; die reale Identität überschreitet nie die Grenze.

04

Öffentliche DSFA (WP248 / DSGVO Art. 35)

Vollständige Datenschutz-Folgenabschätzung in zehn Abschnitten veröffentlicht. Prüfbar durch Ihren DSB vor jeder Demoanfrage.

DSFA öffnen →
05

EU-Vertreter (DSGVO Art. 27)

Ricardo González Álvaro, Calle Zorzaleño 15, La Raya del Palancar, Madrid, Spanien — quantumnexusventures@proton.me. Veröffentlicht in /privacy in allen Sprachen und in der DSFA registriert.

Auf /privacy ansehen →
06

Anwaltskammer-Nachweis

Jeder Nutzer deklariert seine Kammer und Eintragungsnummer (ICAB, CGAE, NY Bar, Law Society England & Wales, OAB usw.) in den Kontoeinstellungen. Zeitgestempelt im Consent-Log. API-Verifikation mit großen Kammern in der Roadmap.

07

Kryptographische Sitzungsintegrität

Jede abgeschlossene Analyse wird mit SHA-256-Hash der finalen Ausgabe, ISO-8601-Zeitstempel und HMAC-Signatur mit organisationsspezifischem Schlüssel versiegelt. Jede nachträgliche Manipulation bricht die Verifikation. Keine externen Netze, keine Dritten.

08

Signierte HMAC-SHA256-Webhooks

Async-Job-Callbacks signiert HMAC-SHA256 im X-Nexus-Signature-Header. Replay-sicherer Retry-Plan: 1m → 5m → 30m → 2h → 12h. Mit Ihrem Secret verifizierbar.

09

Sentry-Monitoring · automatischer SLA-Credit-Back

Production-Error-Tracking via Sentry (EU-Region). SLA: 99,5% Standard / 99,9% Enterprise. Verstoß löst automatischen Credit-Back aus — kein Support-Ticket erforderlich.

10

EU-only-Infrastruktur

Datenbank auf Supabase eu-west-2. Anwendung auf Railway europe-west4 (Niederlande). Sämtliche Datenresidenz bleibt in der EU. Keine Cross-Region-Replikation außerhalb der EU.

Unterauftragsverarbeiter in der DPA →
11

Multi-Jurisdiktions-Compliance

DSGVO + LOPDGDD (Spanien) + CCPA (Kalifornien) + EU AI Act (juristische Hochrisiko-Anwendungen kartiert) + UAE PDPL. Compliance-Hooks in der Plattform integriert, nicht nachträglich angeschraubt.

CCPA-Hinweis →
12

Verantwortungsvolle Offenlegung

Sicherheitsmeldungen werden unter security@nexusquantum.legal angenommen. Wir verpflichten uns zu Empfangsbestätigung innerhalb 72h und Remediations-Zeitplan innerhalb 7 Tagen. Coordinated Disclosure bevorzugt.

security@nexusquantum.legal
13

Verifizierter Gesetzeskorpus · L4-N-Siegel

Jedes Gesetzeszitat in einer Ausgabe trägt das [L4-N]-Siegel. Das Evidence-Tray bietet einen Klick-Verifikationsbutton: grün (wörtliche Übereinstimmung), bernstein (LLM hat paraphrasiert), rot (Zitat nicht im Korpus), Warnung (Artikel geändert). Zitate werden gegen den Korpus Ihrer vertraglich vereinbarten Jurisdiktion verifiziert; jede Jurisdiktion wird unter einem Premium-Vertrag aktiviert.

Legislations-Brief öffnen →
14

Validitätsprüfung · Citator (L2-J-V)

KeyCite-/Shepard's-Äquivalent für jede unterstützte Jurisdiktion. Jedes Zitat trägt ein Validity-Badge: grün (geltendes Recht), bernstein (differenziert), rot (aufgehoben), schwarz (Gesetz aufgehoben), grau (unbekannt — Konfidenz unter Schwelle). Premium-Add-on, Aktivierung per Vertrag pro Jurisdiktion (5 oder 10 Werktage).

Citator-Brief öffnen →
15

SAML-2.0-SSO · bereit zur Aktivierung

Die Single-Sign-On-Infrastruktur ist gebaut und Enterprise-bereit. Kompatibel mit Okta, Azure AD, Google Workspace, OneLogin, Ping Identity und jedem standardkonformen SAML-2.0-IdP. Der Kanzlei-Admin fügt die IdP-Metadaten-XML im SSO-Konfigurations-Tab ein; das Nexus-Team aktiviert SSO für die Unternehmensdomäne; jeder Nutzer der Domäne sieht den „Mit SSO anmelden"-Button. Isoliert pro Unternehmensdomäne.

Enterprise-Übersicht →
16

SOC-2-Type-II-Kontrollen · implementiert

Die Kontrollen der Trust Service Criteria (Sicherheit, Verfügbarkeit, Vertraulichkeit) sind seit Mai 2026 live: Vendor Register, Risk Register, Append-only-Incident-Log, Change-Log. Formale Beobachtungsperiode geplant Q3-Q4 2026; Bericht erwartet Q1 2027. Enterprise-Kunden können das Evidence Packet heute unter NDA anfordern.

Sicherheitsrichtlinie →
17

Zwei-Faktor-Authentifizierung (2FA/MFA) · live

Multi-Faktor-Authentifizierung ist für administrativen Zugriff in Produktion erzwungen. Privilegierte Aktionen erfordern einen zweiten Faktor.

18

Mandantentrennung (RLS) · live

Row-Level-Security erzwingt strikte Mandantentrennung; die Daten einer Kanzlei sind aus einer anderen niemals erreichbar. Diese Isolation wurde in mehreren unabhängigen Audits sauber verifiziert.

19

Vulnerability-Disclosure-Programm · live

Wir betreiben ein koordiniertes Vulnerability-Disclosure-Programm mit veröffentlichter security.txt (RFC 9116). Forschende können Funde über einen dokumentierten Kanal melden; Meldungen im Geltungsbereich werden triagiert und bestätigt.

security@nexusquantum.legal
20

Unabhängiger dynamischer Penetrationstest · live

Ein unabhängiger Dritter hat einen dynamischen Penetrationstest (DAST) gegen die Produktionsanwendung durchgeführt. Funde wurden behoben; eine Zusammenfassung ist unter NDA verfügbar.

21

Signierte Governance-Quittung

Jede von Nexus Legal erzeugte Analyse wird versiegelt. Eine geschlüsselte HMAC-SHA256-Signatur macht jeden Bericht manipulationsevident, sodass jede Änderung nach der Erstellung erkennbar ist, und das Siegel kann auf Anforderung durch das ausstellende System erneut verifiziert werden. Jede Ausgabe trägt zudem ein Governance-Log, das die verwendeten Modelle, die exakte Version der Verifikations-Engine, die sie geprüft hat, und die Entscheidung bestehen / prüfen / blockieren festhält, mit sichtbaren und maschinenlesbaren KI-Kennzeichnungen auf jedem Export.

Aktualisiert, sobald sich die Plattform weiterentwickelt. Letzte Revision an der öffentlichen DSFA ausgerichtet.

SOUVERÄNES DEPLOYMENT

Sovereign Deployment

Die gesamte Plattform läuft innerhalb Ihres Perimeters. Kein Prompt, keine Query, kein Dokument verlässt Ihr Netzwerk.

Dieselbe Plattform · 63 Jurisdiktionen · 150M+ Rechtsprechung · 20M+ Gesetzgebung

Benötigen Sie die Vertragsdokumente?

Der vorunterzeichnete DPA, das SLA und das Security-Review-Paket werden bei Vertragsunterzeichnung übergeben. Für Enterprise führen wir eine maßgeschneiderte Security-Review mit Ihrem Team durch.