CRM, Buchhaltung, HR und Helpdesk auf einer Plattform zu vereinen, wirft echte Fragen auf. Hier ist, wie wir sie beantworten – durch Design, durch Architektur und standardmäßig. E-Mail [email protected] falls nichts unten genug ist.
Kein Badge-Theater. Hier ist die Architektur, die Ihre Daten schützt – nachvollziehbar daran, wie die Plattform gebaut und betrieben wird, nicht an einem gerahmten Zertifikat.
Die meisten Plattformen stecken jeden Kunden in eine große gemeinsame Datenbank und grenzen Sie nur durch ein account_id column. Mewayz doesn't. Each tenant gets its own database and environment — and every white-label partner gets a fully isolated box of their own.
Your records live in a database provisioned for your workspace alone — not a shared table separated by a filter. No noisy-neighbor performance, no cross-tenant query surface, no “one bad WHERE Klausel-leakt-alle“-Risiko.
Jeder White-Label-Partner erhält seinen eigenen Linux-Nutzer, seine eigene Datenbank und seinen eigenen Dateispeicher — automatisch, in etwa zwei Minuten. Die Kunden, Dateien und Daten eines Partners bleiben innerhalb der Box dieses Partners. Nichts wird vermischt.
Mewayz runs a separate app instance, database, and environment in each region. Your data is created and stays in the region you pick at signup — EU, US, or APAC — so residency and low latency are the default, not an add-on.
Das sind die Regeln, nach denen unser Sicherheitsteam entwirft. Sie sind nicht aspirativ – sie sind die Hürden, die eine Funktion bestehen muss, bevor sie ausgeliefert wird.
Wir verkaufen keine aggregierten Insights. Wir trainieren keine ML-Modelle auf Ihren Datensätzen. Wir lesen keine eingehenden E-Mails fürs Product-Market-Fit. Ihre Daten sind das Produkt, das wir hosten, kein Rohstoff.
Ein Klick in den Einstellungen exportiert alles in Standardformaten. Wir machen das Weggehen bewusst einfach. Der beste Kunde ist der, der weiß, dass er gehen kann, und sich dafür entscheidet, zu bleiben.
AES-256 im Ruhezustand. TLS 1.3 bei der Übertragung. Schlüsselverwaltung über AWS KMS mit der Option für kundenseitig verwaltete Schlüssel im Agency-Tarif. Keine „Wir verschlüsseln nur Premium-Kunden"-Abstufung.
Mitarbeiter greifen auf Kundendaten nur unter Audit zu, nur wenn ein Kunde ein Support-Ticket eröffnet hat, in dem er darum bittet, und nur für die Datensätze, die das Ticket betrifft. Jeder Zugriff wird unbefristet protokolliert.
Wählen Sie bei der Registrierung die Region EU, US oder APAC. Daten bleiben standardmäßig in der Region. Eine regionsübergreifende Replikation ist Opt-in, mit ausdrücklicher Zustimmung im AVV.
Wenn wir einen Sicherheitsvorfall haben, der Kundendaten betrifft, benachrichtigen wir betroffene Kunden innerhalb von 72 Stunden nach Bestätigung der Auswirkung. Keine Ausnahmen, keine PR-genehmigten Verzögerungsfenster.
Bei der Anmeldung wählen. Kann nach dem Laden von Daten nur über eine geplante Migration geändert werden. Sub-Auftragsverarbeiter pro Region im Trust-Portal aufgeführt.
| Region | Primäre AZs | Gehostet von | Backups | Unterauftragsverarbeiter |
|---|---|---|---|---|
| EU | Frankfurt · Dublin · Stockholm | AWS eu-central-1, eu-west-1, eu-north-1 | In der Region · 35 Tage | Nur EU |
| USA | Virginia · Oregon · Ohio | AWS us-east-1, us-west-2, us-east-2 | In der Region · 35 Tage | Nur USA |
| APAC | Singapur · Tokio · Mumbai | AWS ap-southeast-1, ap-northeast-1, ap-south-1 | In der Region · 35 Tage | Regional |
99,95 % Verfügbarkeits-SLA bei Business, 99,99 % bei Agency. Multi-AZ-Bereitstellungen mit automatischem Failover. Getestete DR-Runbooks, vierteljährlich ausgeführt. Öffentliche Statusseite unter status.mewayz.com.
Point-in-Time-Wiederherstellung zu jedem Zeitpunkt der letzten 35 Tage. Stündliche Snapshots für die letzten 7 Tage. Wiederherstellung monatlich getestet. RTO 4 Stunden; RPO 15 Minuten.
SSO über SAML 2.0 / OIDC ab Business+. SCIM-Provisionierung ab Agency. MFA für alle Admin-Konten verpflichtend. Rollenbasierter Zugriff mit 14 Standardrollen plus Builder für eigene Rollen.
Jede Aktion auf der Plattform wird in einem unveränderlichen Audit-Trail protokolliert. 7 Jahre aufbewahrt. Per Integration an Splunk / Datadog / Elastic streambar. Warnung bei verdächtigen Aktivitäten ist integriert.
Jährliche Sicherheitsüberprüfung jedes Unterauftragsverarbeiters. Tier-1-Anbieter (AWS, Stripe, Twilio) unter direktem Vertrag. Tier-2-Liste veröffentlicht; 30 Tage Vorankündigung, bevor neue hinzugefügt werden.
External pen-test twice a year. Internal red-team quarterly. Bug bounty program with HackerOne — rewards from $250 (low) to $10,000 (critical). Published scope, no NDAs needed.
Auf Infrastruktur, die wir selbst betreiben – unsere eigene Datenbank und unser Mailserver auf AWS EC2 hinter Cloudflare. Sie wird nicht an eine Kette von Drittanbieter-SaaS-Anbietern abgegeben. Genau das bedeutet „selbst gehosteter Stack“: Ihre Kerndaten bleiben innerhalb des Regimes, das wir kontrollieren. Zwei Ausnahmen, beide unter Ihrer Kontrolle: Kartendaten werden von Stripe (PCI DSS Level 1) verarbeitet, sodass wir nie rohe Kartennummern speichern, und KI-Funktionen rufen OpenAI, Anthropic oder Google mit Ihrem eigenen API-Schlüssel auf – den Sie konfigurieren oder deaktivieren können.
Ja. Wir haben einen Standard-AVV, den die meisten Beschaffungsteams unverändert akzeptieren. Individuelle AVVs werden von der Rechtsabteilung geprüft – in der Regel innerhalb von 5 Werktagen genehmigt.
In der Region, die Sie bei der Anmeldung auswählen. EU-Region-Daten bleiben in der EU. US in den USA. APAC in APAC. Keine stille regionsübergreifende Replikation.
Standardmäßig nein. Der Zugriff erfordert ein vom Kunden initiiertes Support-Ticket und eine explizite Rollenvergabe. Jeder Zugriff wird protokolliert und kann Ihnen auf Anfrage offengelegt werden.
Benachrichtigung betroffener Kunden innerhalb von 72 Stunden. Öffentlicher Vorfallbericht nach der Behebung. Wir richten Offenlegungen nicht nach Presse-Zyklen aus.
Kündigen Sie Ihr Konto unter Einstellungen → Konto. Nach 30 Tagen werden die Daten aus der Produktion gelöscht. Backups laufen nach 35 Tagen ab. Audit-Protokolle bewahren Konto-Metadaten 7 Jahre lang auf (gesetzliche Vorgabe); Inhaltsdaten werden gelöscht.
Nein. Kundendaten werden niemals zum Trainieren von Modellen verwendet. KI-Funktionen nutzen Kundendaten nur für die unmittelbare Anfrage (z. B. das Entwerfen einer E-Mail für diesen Kunden), und die Anfrage wird vom Modellanbieter nicht aufbewahrt.
E-Mail [email protected] mit den Details und Schritten zur Reproduktion. Bei kritischen Meldungen antworten wir innerhalb von 1 Werktag und koordinieren eine verantwortungsvolle Offenlegung.
We publish a trust portal with every report, sub-processor, and policy. Email [email protected] to get the latest.