Gehostet in Deutschland
nordnung.ai wird selbst in Deutschland betrieben. Datenstandort, Betriebsmodell und Verantwortlichkeiten kommunizieren wir bewusst transparent.
Governance ist bei nordnung.ai Teil des Produktkerns.
Wir verbinden kontrollierte Agentenlogik, gehostet in Deutschland, DSGVO-Konformität und nachvollziehbare Ausführung zu einem Sicherheitsmodell, das für reale Unternehmensumgebungen gedacht ist.
Die wichtigsten Trust-Bausteine auf einen Blick
Diese Seite ersetzt kein gemeinsames Security-Review, macht aber unser Betriebsmodell, unseren Datenschutz-Ansatz und unsere Governance-Grundsätze sichtbar und anschlussfähig.
DSGVO-konformes Betriebsmodell
Datenschutz ist kein nachgelagerter Claim. Hosting, Rollenmodell, Datenverarbeitung und Kontaktpfade sind auf ein DSGVO-konformes Betriebsmodell ausgelegt.
Logging und Nachvollziehbarkeit
Schritte, Methodenaufrufe, Freigaben und Session-Kontext werden für Nachvollziehbarkeit, Sicherheit und Fehleranalyse dokumentiert.
DPA / AVV verfügbar
Für Pilot- und Kundenprozesse stellen wir auf Anfrage die vertragliche Grundlage für Auftragsverarbeitung und Sicherheitsabstimmung bereit.
Externe Anbieter transparent begrenzt
Wo externe Modellanbieter heute noch notwendig sind, werden sie bewusst begrenzt, transparent eingeordnet und nicht als Black Box verschleiert.
Security- und Incident-Kontakt
Sicherheitsrelevante Rückfragen, Review-Anfragen und abgestimmte Incident-Kommunikation laufen direkt über contact@nordnung.ai.
Credential Security
Zugangsdaten bleiben technisch abgeschirmt
Credentials sind eigenständige Objekte mit klarer Zuordnung zu Assets oder Applications. Zugriffe laufen ausschließlich über freigegebene Pfade und nicht über freie Klartextverarbeitung.
Vault und Verschlüsselung
Credentials werden über HashiCorp Vault mit AES-256 und Hardwareverschlüsselung verwaltet.
Kein Klartext für das LLM
Das LLM erhält keine Zugangsdaten im Klartext. Es nutzt nur einen kontrollierten Injection-Endpunkt.
Leak-Hinweis statt stiller Nutzung
Wenn in Chat oder Screenshot ein Passwort auftaucht, wird ein Sicherheitswarnhinweis ausgegeben und der Vorfall markiert.
Trust Controls
Kontrolle bleibt jederzeit möglich
Sicherheitsgrenzen müssen im laufenden Betrieb sichtbar bleiben. Deshalb legen wir besonderen Wert auf Stopbarkeit, Nachvollziehbarkeit und klar begrenzte Rechte.
Kill Switch
Jede aktive Session kann sofort gestoppt werden.
Audit Trail
Schritte, Entscheidungen und Methodenaufrufe werden nachvollziehbar protokolliert.
Least Privilege
Jeder Agent bekommt nur die Rechte, die für den jeweiligen Zweck nötig sind.
Sehen statt glauben.
In der Demo zeigen wir dir Betriebsweisen, Freigaben, Audit-Logging und Credential-Schutzmechanik direkt im laufenden Produktfluss.
Betriebsmodell
Hosting, Standort und Datenverarbeitung transparent erklärt
Für nordnung.ai gehört technische Kontrolle nicht nur in die Ausführung, sondern auch in den Betrieb. Deshalb kommunizieren wir klar, wo Daten verarbeitet werden, wie externe Modellanbieter eingebunden sind und wie wir mit Betriebsdaten umgehen.
Standort & Modelle
Wo verarbeitet wirdBetrieb in Norddeutschland
Die Orchestrierung für die Telefonie sowie nordnung.ai werden DSGVO-konform auf Servern in Norddeutschland betrieben.
Europäische LLM-Bereitstellung
Solange externe Modelle nötig sind, nutzt nordnung.ai ausschließlich Anbieter mit europäischer Bereitstellung: OpenAI-Modelle über Microsoft Azure und Claude-Modelle über AWS, jeweils in EU-Regionen.
Isolation pro Kunde
Strikt getrenntEigene Instanz pro Kunde
Jeder Kunde erhält eine eigene Instanz, bereitgestellt in unserem eigenen Rechenzentrum und vollständig unabhängig von den Instanzen anderer Kunden. Daten, Konfiguration und Ausführung bleiben strikt getrennt.
Zugriffe per Firewall-Regeln begrenzt
Auf Instanz-Ebene lässt sich über Firewall-Regeln klar begrenzen, welche Zugriffe möglich sind — von außen wie in Richtung der Kundensysteme.
Datenumgang
Fluss & AufbewahrungDatenfluss
Wir trennen bewusst zwischen Problemaufnahme, kontrollierter Ausführung und dokumentierter Rückmeldung. Nicht jede Information muss automatisch jeden Ausführungspfad erreichen.
Retention
Audit- und Betriebsdaten werden nur so lange vorgehalten, wie sie für Nachvollziehbarkeit, Sicherheit, Support und abgestimmte Kundenprozesse benötigt werden. Details klären wir im Security-Review und in der AVV.
Souveränität & Governance
Leitlinie & ProzessDatensouveränität als Leitlinie
Langfristig ist das Ziel, so unabhängig wie möglich von externen Anbietern zu sein. Open-Source- und gehostete Prinzipien bleiben strategischer Kern.
Verbesserungsprozess
Security und Governance werden nicht als statischer Zustand verstanden. Review, Produktverbesserung und operative Rückmeldung fließen kontinuierlich in das Modell ein.
Governance
Kontrolle bleibt technisch erzwungen
Sicherheitsversprechen müssen sich in Architektur und Bedienlogik wiederfinden. Deshalb begrenzen wir Ausführungspfade technisch und nicht nur kommunikativ.
Wrapper Actions statt freier Code- oder Shell-Ausführung
Least Privilege pro Agent, Scope und Endpunkt
Kill Switch und sichtbare Freigaben in interaktiven Kontexten
Klare Rollen zwischen Interaktionsagenten und Execution-Agents
Betriebsweisen
Autonomie ist bewusst abgestuft
Die Frage ist nicht, ob ein System autonom arbeiten kann, sondern unter welchen Bedingungen es das darf. Deshalb arbeiten wir mit klaren Betriebsweisen statt mit impliziter Blackbox-Automatisierung.
Betriebsweise 1
Jede relevante Aktion bleibt freigabepflichtig. Geeignet für frühe Piloten, sensible Umgebungen und Teams mit maximalem Kontrollanspruch.
Betriebsweise 2
Nach initialer Freigabe arbeitet der Agent innerhalb eines definierten Nutzerkontexts weiter. Die erlaubten Methoden bleiben trotzdem klar begrenzt.
Betriebsweise 3
Nach initialer Freigabe sind definierte Client-Admin-Aktionen möglich. Auch hier gilt: kein freier Shell-Zugriff, nur vordefinierte Ausführungspfade.
Nächster Schritt
Security-Review und Pilot können direkt abgestimmt werden.
Wenn du sehen willst, wie Freigaben, Audit-Logging, Hosting in Deutschland und kontrollierte Ausführung im Produkt zusammenspielen, zeigen wir dir das im gemeinsamen Review.