Der R2-Auditor ist da.
Sie sind bereit.
Sie arbeiten beruflich mit den Daten anderer Menschen. Jeder Laptop, der vom LKW kommt, kann Finanzdaten, Mitarbeiterdateien oder Schlimmeres enthalten. Ihre Tools müssen das genauso ernst nehmen wie Sie. EU-Rechenzentren. Tenant-Isolation auf Datenbankebene. Erasure Tracking pro Drive. Audit Trails auf allem. Compliance-Dokumentation, die sich selbst aufbaut.
Gebaut für eine Branche, die auditiert wird.
GDPR-compliant
Ihre Kunden geben Ihnen Laptops voller Mitarbeiterdaten, Finanzunterlagen und Dinge, die lieber niemand sehen sollte. Wir behandeln diese Verantwortung genauso wie Sie. Volle GDPR-Compliance. DPAs bereit zur Unterschrift. Recht auf Löschung umgesetzt — wirklich, nicht “wir kümmern uns später darum.”
ISO 27001 aligned
Ihr Sicherheitsfragebogen hat 47 Fragen und Sie sind müde, sie für jeden Vendor neu zu beantworten. Wir sind an ISO 27001 ausgerichtet, damit Sie Ihre Kunden auf unsere Dokumentation verweisen können, statt jedes Mal einen Roman zu schreiben, wenn jemand fragt: “Wie schützen Sie unsere Daten?”
R2 / R2v3 ready
Wenn Sie R2-zertifiziert sind, kennen Sie die unerbittlichen Dokumentationsanforderungen. Chain of custody, downstream vendor tracking, data security verification, environmental compliance — ReVend OS generiert all das, während Sie arbeiten. Der Auditor kommt, Sie ziehen den Bericht, Sie gehen zurück zu Ihrem Kaffee.
ADISA-compatible
Erasure Tracking pro Drive mit Blancco-kompatiblen Zertifikaten. Denn der ADISA-Auditor weiß, dass dieser Dell Latitude zwei NVMe-Drives hatte, und “wir haben den Laptop gelöscht” reicht nicht. Status pro Drive. Zertifikat pro Drive. Ruhe pro Drive.
Sicherheit ist kein Feature. Sie ist die Architektur.
Wir haben Sicherheit nicht nachträglich angeschraubt. Wir haben die Plattform damit gebaut.
EU Data Residency
Frankfurt, Deutschland. eu-central-1. Ihre Daten verlassen die Europäische Union nicht. Nicht zur Verarbeitung, nicht für Backups, nicht für Analytics, nicht weil ein Engineer in Kalifornien etwas debuggen wollte. Sie bleiben in der EU. Punkt.
Verschlüsselung überall
AES-256 at rest. TLS 1.3 in transit. Die Daten auf der Disk sind verschlüsselt. Die Daten zwischen Ihrem Browser und unseren Servern sind verschlüsselt. Es gibt keinen Moment, in dem Ihre Daten unverschlüsselt herumliegen und hoffen, dass niemand hinschaut.
Tenant Isolation
Postgres Row Level Security auf jeder einzelnen Tabelle. Ihr Wettbewerber, der ebenfalls ReVend OS nutzt, kann Ihre Daten nicht sehen. Nicht über die API, nicht über einen Bug, nicht über irgendetwas. Die Datenbank selbst erzwingt die Wände zwischen Tenants. Nicht die Anwendung. Die Datenbank.
Role-Based Access + MFA
Ihr Warehouse Operator muss keine Settlement Financials sehen. Ihr Sales-Team muss keine internen Grading Notes sehen. Ihr Intern braucht definitiv keinen Admin Access. Jede Rolle sieht genau das, was sie sehen soll. Nicht mehr. TOTP-basierte Multi-Faktor-Authentifizierung ist auf jedem Konto aktiviert, denn ein starkes Passwort allein reicht 2026 nicht mehr.
Append-only Audit Trails
Wer hat dieses Asset von Zone A nach Zone B bewegt? Wann wurde der Grade von B auf C geändert, und von wem? Wer hat das Settlement genehmigt? Alles wird geloggt. Alles ist durchsuchbar. Die audit_events-Tabelle ist auf Datenbank-Trigger-Ebene append-only — niemand, auch Platform Admins nicht, kann die Historie umschreiben. Die chain of custody jedes Assets ist immutable. Wenn der Auditor fragt, müssen Sie nicht raten. Und niemand kann still aufräumen.
Defence-in-depth database
Dreiundsiebzig SECURITY DEFINER functions hatten ihre Callers explizit eingeschränkt. RLS policies konsolidiert. search_path auf jeder Funktion gepinnt, damit keine Privilege Escalation durch Schema-Shadowing möglich ist. Die Anwendungsschicht erzwingt Tenancy; die Datenbankschicht erzwingt sie noch einmal, falls die Anwendung falsch liegt.
Incident Response
Wir haben dokumentierte Verfahren für Security Incidents, einschließlich Benachrichtigung innerhalb von 72 Stunden gemäß GDPR. Wir haben sie getestet. Wir hoffen, sie nie nutzen zu müssen. Aber die Verfahren existieren, das Team ist geschult, und niemand muss um 3 Uhr morgens improvisieren.
Jedes Gerät ist ein Risiko, bis es gelöscht ist.
Dieser Dell Latitude von der Bank? Auf der SSD könnten Finanzdaten von Kunden liegen. Dieser HP aus dem Krankenhaus? Medizinische Unterlagen. Dieser ThinkPad aus der Kanzlei? Sie wollen es gar nicht wissen.
ReVend OS verfolgt Data Security ab dem Moment, in dem ein Gerät ankommt. Datentragende Geräte werden beim Check-in markiert. Erasure wird pro Drive verfolgt, nicht pro Gerät — denn dieser Laptop mit zwei NVMe-Drives braucht zwei Zertifikate. Blancco-kompatible Reports werden automatisch angehängt.
Wenn der ADISA-Auditor fragt “Wie beweisen Sie Erasure für storage device B in Laptop RV-000003412?” öffnen Sie den Datensatz. Drive serial number. Erasure method. Timestamp. Certificate number. Zeit seit Sie aufgehört haben, sich Sorgen zu machen: null Sekunden. Denn Sie haben nie angefangen.
Dokumentation, die sich während der Arbeit selbst aufbaut.
Sie kennen diese Panik zum Quartalsende, wenn das Compliance-Team R2-Dokumentation braucht und alle suchen? Das passiert nicht, wenn die Dokumentation während der Arbeit entsteht.
Führen Sie ein Gerät durch den Standard-Workflow: receive, test, grade, wipe, ship. Bei jedem Schritt erstellen sich die relevanten Compliance Artifacts. Certificates of recycling. Certificates of destruction. Downstream vendor documentation. Mass balance reports. ESG sustainability data. Alles verbunden mit den richtigen Geräten, den richtigen Aufträgen, den richtigen Kunden.
Audit-Vorbereitung wird von “drei Menschen, zwei Wochen, ein Gefühl drohenden Unheils” zu “Bericht ziehen, Link senden, zurück an die Arbeit.” Ihr Compliance Officer lächelt vielleicht sogar. Diesen Teil können wir nicht garantieren.
Ihre Daten gehören Ihnen. Das ist nicht verhandelbar.
Vollständiger Datenexport jederzeit. CSV, JSON, welches Format Ihre Systeme brauchen. Jedes Asset, jeder Grade, jedes Erasure Certificate, jedes Settlement — alles in einem Klick herunterladbar. Wir haben das Gehen einfach gemacht, weil wir überzeugt sind, dass Sie nicht gehen wollen. Aber wenn Sie es tun, gehen Ihre Daten mit Ihnen zur Tür hinaus. Keine Retention Fees. Kein Lock-in. Kein “bitte kontaktieren Sie Ihren Account Manager, um Optionen zu besprechen.” Neunzig Tage Grace Period nach Kündigung, dann löschen wir alles. Nicht “scheduled for cleanup.” Gelöscht.
Wir unterschreiben DPAs vor dem Frühstück. Wir begrüßen Security Reviews — auch die mit 47 Fragen, bei denen die Hälfte dasselbe in anderen Worten fragt. Wir führen Ihren DPO durch unsere Architektur, bevor Sie irgendetwas unterschreiben. Schicken Sie uns Ihren Sicherheitsfragebogen. Wir haben letzte Woche wahrscheinlich einen schlimmeren beantwortet. Transparenz ist kein Marketingclaim. Sie ist der Default. Wenn Ihr Compliance Officer direkt mit unserem Engineering-Team sprechen möchte, organisieren wir den Call. Vielleicht macht es ihm sogar Spaß.
Fragen zur Sicherheit?
Wir führen Ihr Team gern durch unsere Sicherheitsarchitektur. Oder schicken Sie uns Ihren Sicherheitsfragebogen. Wahrscheinlich haben wir ihn schon einmal beantwortet.