Souveränität ist die Voreinstellung,
kein Add-on.
XplicitTrust wird in Deutschland gebaut, betrieben und supportet, und arbeitet unter europäischem Recht. Identitäten, Audit-Logs und Policy-Daten bleiben in der Jurisdiktion, in der Sie arbeiten. Ihre Daten sind Ende-zu-Ende verschlüsselt.
Control-Plane in Deutschland. Tunnel rund um die Welt.
Die unspektakuläre, konkrete Variante digitaler Souveränität: wo die Daten liegen, wer Zugang rechtlich erzwingen kann, und welche Entscheidungen Sie selbst in der Hand haben.
Kundendaten und Admin-Konsole
In Deutschland. Eine juristische Person, ein Betreiber.
Die Control-Plane und die darin gehaltenen Daten, also Konten, Richtlinien, Posture-Ergebnisse und Audit-Historie, laufen in Deutschland. Ein Betreiber unter einem Satz europäischer Pflichten, keine Subprozessorenkette quer durch mehrere Jurisdiktionen.
Relays rund um die Welt, alle blind
Ende-zu-Ende verschlüsselt zwischen Endpunkten. Relays sehen Ihre Daten nicht.
Tunnel sind direkt zwischen den beiden Endpunkten verschlüsselt. Relays leiten Ciphertext von einem Peer zum anderen weiter. Sie terminieren keine Session, halten keine Schlüssel und sehen Ihren Traffic nicht. Das globale Relay-Netz wird so zum Performance-Feature, nicht zum Souveränitätsrisiko.
Identitäten bleiben bei Ihrem IdP
Microsoft Entra, Google, Keycloak, BareID, jeweils mit europäischer Datenresidenz.
Die Authentifizierung läuft gegen den Identity Provider, dem Sie schon vertrauen, in der europäischen Region, die Sie schon konfiguriert haben. Wir speichern keine Nutzer-Passwörter und vergeben keine parallelen Zugangsdaten. Wer in Ihrem IdP geht, geht auch in XplicitTrust.
Audit-Logs, die Ihnen gehören
Lesen, exportieren, löschen nach Ihrem Zeitplan.
Verbindungs-Events, Policy-Entscheidungen und Admin-Änderungen lesen Sie, exportieren sie ins SIEM und löschen sie nach Ihren Aufbewahrungsregeln. Retention ist eine Einstellung in der Konsole, keine Vertragsverhandlung.
DSGVO im Sinn, nicht nur auf dem Papier
Datensparsam by design, nicht als Häkchen. Die DSGVO existiert, um Menschen vor Überwachung zu schützen und ihnen die Kontrolle über ihre Daten zu geben. Die meisten Produkte erfüllen den Buchstaben. Wir folgen dem Sinn, indem wir gar nicht erst sammeln, was wir nicht brauchen.
Datensparsam by design
Wir sehen Ihren Traffic nicht. Wir fragen nicht ab, was wir nicht brauchen.
Tunnel sind Ende-zu-Ende verschlüsselt, die Control-Plane sieht keine Nutzerdaten. Identitäten bleiben bei Ihrem IdP, sie werden nicht in unserer Datenbank dupliziert. Telemetrie ist auf den Betrieb des Dienstes beschränkt, nicht auf Verhaltensprofile. Weniger Daten bei uns heißt weniger Daten, die verloren gehen können.
Kein Geschäftsmodell mit Ihren Daten
Vertrieb über Partner. Keine Werbung, kein Weiterverkauf, keine Drittanbieter-Tracker.
Wir verdienen unser Geld auf eine Weise: durch die Lizenzierung des Produkts an zertifizierte Partner, die es an Sie verkaufen. Es gibt kein Werbegeschäft, keinen Analytics-Weiterverkauf, kein Marketing-Pixel im Agent. Es gibt also keinen Anreiz, mehr zu sammeln, als der Dienst braucht.
Betroffenenrechte als Produkt-Features
Auskunft, Export, Löschung und Aufbewahrung sind Buttons in der Admin-Konsole.
Personenbezogene Daten lesen, exportieren und löschen sind Operationen in der Admin-Konsole, keine Workflows über Anwälte. Aufbewahrung ist pro Kunde konfigurierbar. Die Compliance-Geschichte steht im Produkt, nicht in einem Absatz, der in der AVV vergraben ist.
Eine kurze, namentliche Subprozessor-Liste
EU-only. Keine Sammelklausel über »mögliche Cloud-Anbieter«.
Die dritten Parteien, die wir für den Betrieb brauchen, stehen mit Namen und Jurisdiktion in der Liste. Die Liste ist kurz, in der EU, und jede Änderung wird angekündigt, nicht in einer generischen Klausel versteckt. Einfach zu prüfen, schwerer zu umgehen.
Herkunft und Hosting sind wichtig. Sie sind nicht alles.
Auch ein flaches Tunnelnetz auf einem souveränen Stack gibt einem Angreifer das ganze Netz, sobald eine Identität fällt. Souveränität ohne Architektur ist ein Papierversprechen.
Segmentierung nach Identität, Posture, Ort, Zeit
Eine kompromittierte Identität bleibt eine.
Jede Verbindung ist eine Identitäts-Entscheidung, geprüft gegen Geräte-Status, Standort und Uhrzeit. Ein kompromittierter Account erreicht nur, was die Policy erlaubt, unabhängig davon, wo das Gateway steht.
Ende-zu-Ende-Verschlüsselung zwischen Endpoints
Kein Plaintext-Traffic auf der Control-Plane.
Data-Plane-Traffic ist direkt zwischen den Endpoints verschlüsselt. Die Control-Plane besitzt Schlüssel, um zu autorisieren und zu orchestrieren, nicht, um Ihre Sessions zu lesen. Ein Relay-Ausfall oder eine Beschlagnahmung gibt keinen entschlüsselten Nutzer-Traffic preis.
Bausteine, die sich austauschen lassen
Souveränität ist nicht nur, wo die Bytes liegen. Sie ist auch, ob Sie gehen können, wenn Sie wollen. Die Protokolle und Schnittstellen unter XplicitTrust sind offen, dokumentiert und werden auch von anderen Anbietern genutzt.
Tunneling: offen und auditiert
Moderne, peer-reviewte Krypto auf einem öffentlichen Protokoll. Ihre Endpunkte bleiben interoperabel, nicht gefangen in einem proprietären Wire-Format.
Identitäten: OAuth 2.0 & OIDC
Offene, weit verbreitete Authentifizierungs-Standards. Kein proprietärer Broker zwischen Ihnen und Ihrem Verzeichnis.
Posture & Telemetrie: offene APIs
Dokumentierte Endpunkte für Events, Posture und Asset-Daten. Anbindung an SIEM, Asset-DB oder eigenes Audit-Tooling.
Compliance: DSGVO als Standard
Audit-Hooks für die Workflows, die europäische Auditoren erwarten, inklusive BSI IT-Grundschutz und NIS2.
In Deutschland entwickelt. In der EU betrieben. In Europa vertrieben.
Souveränität ist auch eine Frage, wen man anrufen kann. XplicitTrust wird über zertifizierte Partner mit europäischen Verträgen und europäischen Rechnungen verkauft und supportet, in der Sprache und Zeitzone Ihres Teams.
Engineering in Deutschland, Control-Plane in der EU
Produkt- und Plattform-Teams in Deutschland. Control-Plane über EU-Regionen verteilt, für Redundanz ohne den Block zu verlassen. Das Relay-Netz ist global, damit die Latenz niedrig bleibt; Tunnel sind Ende-zu-Ende verschlüsselt, die Relays transportieren ausschließlich Ciphertext. Juristische Person, Support-Verträge und Auftragsverarbeitungsvereinbarungen sind europäisch.
Europäische Partner, lokale Beziehung
Wir verkaufen ausschließlich über zertifizierte Partner. Die wichtigste Beziehung, die zu jemandem, der Ihre Umgebung kennt, ist die zu Ihrem Partner. Wir stehen dahinter.
Brauchen Sie ein souveränes Deployment?
Sagen Sie uns, welche Anforderungen an Datenresidenz, Zertifizierung oder Audit Sie haben. Wir vermitteln einen zertifizierten Partner in Ihrer Region und gehen die passenden Deployment-Optionen mit Ihnen durch.