Nur in der Schweiz verfügbar

Schweizerform ist derzeit ausschliesslich für Nutzerinnen und Nutzer in der Schweiz verfügbar. Die Kontoerstellung aus Ihrer Region ist eingeschränkt.
Schweizerform LogoSchweizerform

Sicherheitsarchitektur

Datenschutz durch Architektur

Schweizerform ist ein Zero-Knowledge-System. Jede Einreichung wird im Browser des Teilnehmers verschlüsselt, bevor sie die Seite verlässt, und die Schlüssel, die sie entsperren, existieren nie ausserhalb der Sitzung des Eigentümers. Diese Seite erklärt wie — und was wir dadurch nicht tun können.

Symmetrische Chiffre

AES-256-GCM

Asymmetrische Chiffre

RSA-OAEP 2048, SHA-256

Schlüsselableitung

PBKDF2-SHA-256 · 100 000

Hosting-Jurisdiktion

Schweiz — Infomaniak

Grundprinzipien

Drei Säulen des Vertrauens.

Sicherheit ist kein Feature, das wir oben auf einen Form-Builder gesetzt haben. Sie ist die Form, um die der Form-Builder herum gebaut wurde.

Prinzip 01

Schweizer Infrastruktur

Nicht „wird nicht". Kann nicht. Ein vertrauenswürdiger Betreiber ist ein zentraler Single Point of Failure — und ein Magnet für Gerichtsbeschlüsse, Insider-Bedrohungen und gestohlene Zugangsdaten. Unser System entfernt uns vollständig aus dem Entsperrpfad.

Prinzip 02

nFADP-konform

Eine „Datenresidenz"-Klausel im Vertrag ist Papier — die Zuständigkeit zu wechseln, kostet einen Vertragszusatz. Wir betreiben den gesamten Stack — Anwendung, Datenbank, Dateispeicher, E-Mail — auf Schweizer Infrastruktur. Kein US- oder EU-Anbieter sitzt jemals im Datenpfad.

Prinzip 03

Der Browser des Teilnehmers gehört dem Teilnehmer.

Die öffentliche Formularseite lädt keinerlei Drittanbieter-Skripte. Kein Google Analytics, kein Sentry, kein Mixpanel, kein Intercom, kein Werbe-Pixel. Das einzige Netzwerk, das der Teilnehmer berührt, ist unseres.

Schlüsselhierarchie

Vier Schichten von Schlüsseln. Keiner davon auf unseren Servern.

Ihr Access Code, in den Browser eingegeben, erzeugt im Speicher einen Master Key. Dieser Master Key öffnet den Form Key jedes Formulars. Der Form Key öffnet den privaten Schlüssel des Formulars. Dieser private Schlüssel öffnet jeden Einmal-Schlüssel jeder Einreichung. Die Kette endet in Ihrem Kopf — nie in unserer Datenbank.

Schicht 01 · Besitzergeheimnis

Access Code

Origin: Eine Passphrase, die Sie wählen (mindestens 6 Zeichen)

Storage: Nur im Kopf des Eigentümers — wird nie versendet

PBKDF2-SHA-256 · 100 000 Runden · 32-Byte-Salt

Schicht 02 · Abgeleitet

Master Key

Algorithm: AES-256-GCM (eingesetzt als Schlüssel-Verschlüsselungs-Schlüssel)

Storage: Nur im Browser-Speicher · wird beim Abmelden geleert

entpackt

Schicht 03 · Pro Formular

Form Key

Algorithm: AES-256-GCM · gebunden an form_key_creation

Storage: In der Datenbank gespeichert — aber nur die versiegelte Version, niemals offen

entpackt

Schicht 04 · Pro Formular

Privater RSA-Schlüssel des Formulars

Algorithm: RSA-OAEP 2048 · SHA-256 · gebunden an form_private_key

Storage: In der Datenbank, versiegelt unter dem Form Key

entpackt

Schicht 05 · Pro Einsendung

Submission Key

Algorithm: AES-256-GCM · gebunden an formId:submissionId

Storage: Versiegelt unter dem öffentlichen RSA-Schlüssel des Formulars

Lebenszyklus der Einsendung

Klartext geht in den Browser des Teilnehmers. Klartext verlässt den Browser des Eigentümers. Dazwischen liegen nur verschlüsselte Bytes.

Browser des Teilnehmers

Verschlüsseln → senden

  1. 1Lädt die öffentliche Formularseite. Erhält nur das öffentliche Schloss des Formulars (einen öffentlichen RSA-Schlüssel) — niemals den Schlüssel, der es öffnet.
  2. 2Bei passwortgeschütztem Formular bleiben die Fragen auf dem Server, bis das Passwort geprüft ist — die Fragenliste erreicht den Browser vorher gar nicht.
  3. 3Füllt die Antworten aus. Wählt die anzuhängenden Dateien aus.
  4. 4Der Browser erzeugt einen frischen AES-256 Submission Key über die eingebaute Web-Crypto-API — dieselbe, die mit Chrome, Firefox und Safari ausgeliefert wird.
  5. 5Verschlüsselt die Antwort-Nutzlast mit AES-GCM, gebunden an die Formular-ID und die Einreichungs-ID — damit sie nicht anderswo abgespielt werden kann.
  6. 6Verschlüsselt jede Datei einzeln. Erzeugt für jede einen zufälligen Dateinamen.
  7. 7Versiegelt den Submission Key mit dem öffentlichen RSA-Schloss des Formulars (OAEP, SHA-256).
  8. 8Sendet den versiegelten Schlüssel, den Initialisierungsvektor und die verschlüsselten Blobs an unsere API.

Schweizerform-Server

Speichern → vergessen

  1. 1Prüft Anfragegrösse, Rate-Limits und gegebenenfalls die Passwort-Challenge.
  2. 2Schreibt die verschlüsselten Blobs in den S3-kompatiblen Speicher von Infomaniak unter {userId}/forms/{formId}/submissions/{submissionId}/.
  3. 3Speichert den versiegelten Schlüssel und den Initialisierungsvektor in MySQL auf der Submission-Zeile. Das sind die einzigen „schlüsselförmigen" Daten, die wir aufbewahren — und ohne Ihren Access Code sind sie nutzlos.
  4. 4Erhöht den Antwortzähler des Formulars.
  5. 5Gibt 201 Created zurück. Damit endet die Beteiligung des Servers.
  6. 6Wir sehen nie Klartext. Wir leiten nie einen Schlüssel ab. Wir halten nie einen privaten Schlüssel.

Entschlüsselung — Besitzerseite

Wenn Sie eine Einreichung öffnen, durchläuft Ihr Browser die vierstufige Schlüsselkette rückwärts: Access Code → Master Key → Form Key → Privater Form-Schlüssel → Submission Key → lesbarer Inhalt. Das passiert alles lokal; nichts Entschlüsseltes verlässt jemals Ihr Gerät.

Bedrohungsmodell

Was ein Angreifer tun müsste, um Ihre Formulare zu lesen.

Wir haben diese Szenarien dokumentiert, damit unsere Kunden und ihre Sicherheitsteams sie prüfen können. Wenn Ihnen ein Fall einfällt, den wir nicht abdecken, schreiben Sie an support@schweizerform.ch.

AngreiferWas sie erhaltenWas wir dagegen tun
Datenbank-Dump geleakt oder gestohlenVersiegelte Daten-Blobs und versiegelte Schlüssel-Blobs. Kein lesbarer Inhalt.Alles ist mit AES-256-GCM verschlüsselt. Ohne den Access Code des Eigentümers entschlüsselt sich keine einzige Zeile.
Kompromittierter Server-Admin oder InsiderDasselbe wie oben. Unser serverseitiger Code sieht nie den Master Key oder irgendwelchen Klartext.Ein Append-only-Audit-Log dokumentiert intern jede privilegierte Aktion. Produktion folgt dem Least-Privilege-Prinzip; unsere Ingenieure können Einreichungen nicht über das Dashboard lesen.
Vorladung / rechtmässige OffenlegungsanordnungChiffretext-Blobs und Metadaten (Erstellungszeit, IP, Request-ID).Wir können einer gültigen Anordnung nachkommen und dabei nichts Lesbares herausgeben. Das dokumentieren wir auch öffentlich auf dieser Seite.
Gestohlenes Besitzer-Session-CookieZugang zur Dashboard-Hülle — aber jedes Formular bleibt hinter dem Access Code verschlossen, den wir nicht in der Sitzung speichern.Sitzungen sind kurzlebig und verlängern sich nur bei Aktivität. Der Access Code muss in jeder Sitzung erneut eingegeben werden und lebt ausschliesslich im Browser-Speicher.
Phishing / bösartige Browser-ErweiterungWas auch immer der Benutzer eintippt. Dies liegt ausserhalb unserer Vertrauensgrenze.Strikte Content Security Policy auf der öffentlichen Formularseite. Keine Drittanbieter-Skripte erlaubt. Im Onboarding warnen wir Eigentümer vor geteilten oder nicht vertrauenswürdigen Geräten.
Brute-Force auf den Access CodeEine langsame Wand aus 100 000 PBKDF2-Runden zwischen ihnen und einem einzigen Rateversuch.Jeder Versuch kostet in einem modernen Browser etwa 80 ms. Wir begrenzen Logins serverseitig, sperren Konten nach wiederholten Fehlschlägen und steuern Eigentümer in Richtung langer, schwer zu erratender Access Codes.
Gefälschte / wiederabgespielte EinsendungMüll-Bytes, die bei der Entschlüsselung die Authentifizierung nicht bestehen.Jeder Ciphertext ist an seine spezifische Formular- und Einreichungs-ID gebunden. Ein gegen ein anderes Formular abgespielter Blob besteht die Authentifizierung schlicht nicht und wird abgelehnt.

Infrastruktur

Jedes Byte, jeder Server, in der Schweiz.

Anwendungsserver, MySQL-Datenbank, S3-kompatibler Dateispeicher und transaktionale E-Mail laufen alle bei Infomaniak — einem zu 100 % schweizerisch besessenen, mitarbeiterkontrollierten Hosting-Anbieter. Die einzigen Aufrufe nach aussen sind eine kurze IP-Abfrage (3-Sekunden-Timeout, fail-closed) und Stripe für die Eigentümer-Abrechnung.

Stripe berührt nie Teilnehmerdaten. Es sieht nur die Abrechnungsdetails der Besitzer für das Abonnement selbst.

  • Anwendungsserver (Next.js)

    Infomaniak · CH

  • MySQL-Datenbank

    Infomaniak · CH

  • Object Storage (S3-kompatibel)

    Infomaniak · CH

  • Transaktionale E-Mail (SMTP)

    Infomaniak Mail · CH

  • DNS / Netzwerk-Edge

    Infomaniak Envoy · CH

  • Geo-IP-Auflösung

    ipinfo.io · nur Server-zu-Server

  • Abrechnung (nur Besitzer)

    Stripe · nur Eigentümer, niemals Daten der Teilnehmer

Ehrliche Grenzen

Dinge, die wir nicht tun können — und nicht vorgeben zu tun.

Zero-Knowledge schneidet in beide Richtungen. Hier ist, was Sie das kostet — klar formuliert.

Nicht möglich

Einen verlorenen Access Code wiederherstellen.

Ihr Access Code ist der Ausgangspunkt jedes Schlüssels, der Ihre Formulare schützt. Wir empfangen ihn nie, speichern ihn nie und mailen ihn nie. Geht er verloren, sind die unter ihm versiegelten Daten unwiederbringlich. Sie können ihn in Ihrem Konto ändern — das verschlüsselt jedes Formular unter dem neuen Code neu.

Nicht möglich

Ein Passwort zurücksetzen und "Ihre Daten automatisch entschlüsseln."

Manche „verschlüsselten" Dienste machen das — was im Stillen heisst, dass sie die Schlüssel ohnehin hatten. Wir nicht. Ein Passwort-Reset bringt Sie zurück ins Dashboard, aber zum Lesen jedes Formulars brauchen Sie immer noch Ihren Access Code.

Nicht möglich

Den Inhalt einer Einsendung für den Support nachschlagen.

Wenn Sie uns schreiben „was hat XY am Dienstag eingereicht?", können wir das wirklich nicht beantworten. Unser Support-Team sieht dieselben verschlüsselten Bytes wie alle anderen. Wir können bei Metadaten helfen: Zählwerte, Zeitstempel, Abrechnung.

Nicht möglich

KI / Analytik auf Einsendungsinhalten ausführen.

Wir trainieren keine KI-Modelle mit Ihren Formulardaten — denn wir besitzen Ihre Daten nicht in einer Form, mit der wir trainieren könnten. Aggregierte Zahlen stammen aus serverseitigen Metadaten, nie aus den Antworten selbst.

Was verschlüsselt ist, was nicht

Volle Einsicht in unsere Einsicht.

Manche Daten müssen lesbar bleiben, damit das System funktioniert — Ihre E-Mail-Adresse (für Passwort-Resets) und das öffentliche Schloss des Formulars (damit Teilnehmer dazu verschlüsseln können). Alles andere bleibt verschlüsselt.

DatenFür uns sichtbarWarum / wie geschützt
Formularantworten (Text, Zahlen, Auswahl)TeilweiseAES-256-GCM. Der Schlüssel verlässt nie den Browser des Eigentümers.
Datei-Uploads (PDFs, Bilder usw.)TeilweiseJede Datei wird mit demselben einmaligen Submission Key verschlüsselt. Originaldateinamen werden serverseitig durch zufällige IDs ersetzt.
Formulartitel, FragebezeichnungenTeilweiseAuf dem Formular-Datensatz gespeichert, damit die öffentliche Seite das Formular anzeigen kann. Vor Teilnehmern hinter Passwortschutz verborgen, bis das Passwort akzeptiert ist.
E-Mail + Name des BesitzersTeilweiseNötig für Login, Abrechnung, Einmalcodes und Passwort-Reset. Behandelt als personenbezogene Daten gemäss revDSG und DSGVO.
Passwort-Hash des BesitzersTeilweisebcrypt mit 12 Runden. Wir sehen nie das Passwort selbst, nur den Hash.
Einsendungs-Zeitstempel + IP des TeilnehmersTeilweiseNötig für Rate-Limiting und Audit. Die IP wird im Audit-Log festgehalten; sie erscheint nie im Klartext in der Formular-Nutzlast.
Einsendungs-Chiffretext + gepackter SchlüsselTeilweiseGespeichert in S3 und MySQL. Beides ist ohne die Schlüsselkette nutzlos, die in Ihrem Access Code endet.
Website-Analytics-Ereignisse (Betreiberseite)AggregiertPseudonym (gehashter Fingerabdruck), von uns auf eigenen Schweizer Servern gehostet. Wird nur für die Marketing-Seite und unsere interne Beobachtbarkeit genutzt — niemals für Antworten der Teilnehmer.

Compliance

Abgestimmt auf die Regeln, die für sensible Daten zählen.

Schweizerform ist kein Compliance-Häkchen-Tool, aber die Architektur ist so gestaltet, dass die Einhaltung dieser Regeln für unsere Kunden deutlich einfacher wird.

nDSG

Revidiertes Schweizer Datenschutzgesetz

In Kraft seit 1. September 2023. Wir richten uns nach den Anforderungen: Datenresidenz in der Schweiz, Bereitschaft zur Meldung von Datenpannen, Betroffenenrechte und Verschlüsselung personenbezogener Daten bei Speicherung und Übertragung.

Architektur abgestimmt · Compliant by Design

DSGVO

EU-Datenschutz-Grundverordnung

Kompatible Architektur: rechtliche Grundlage für die begrenzten Eigentümerdaten, die wir speichern; Daten der Teilnehmer verlassen die Schweiz nie (dafür sind keine Standardvertragsklauseln nötig); eine Datenverarbeitungsvereinbarung ist auf Anfrage für Geschäftskunden erhältlich.

Architektur abgestimmt · AVV auf Anfrage

HIPAA

US Health Insurance Portability & Accountability Act

Unsere kryptografischen Bausteine sind mit der HIPAA Security Rule kompatibel (Verschlüsselung, Zugriffskontrolle, Audit). Business Associate Agreements unterzeichnen wir derzeit nicht — sprechen Sie mit uns, wenn Sie eines benötigen, dann erläutern wir Ihnen die Roadmap.

Primitive kompatibel · BAA auf der Roadmap

Über die Verschlüsselung hinaus

Die langweiligen Kontrollen, die alles andere stützen.

Nur erweiterbares Audit-Log (Betreiberseite)

Wir führen ein internes, manipulationssicheres Protokoll jedes Logins, Einmalcodes, jeder Formular-Veröffentlichung und jedes Abrechnungsereignisses — mit IP, Browser und Request-ID — das wir für Sicherheitsprüfungen und Vorfallsreaktion nutzen. Es ist ein internes Werkzeug, kein kundenseitiges Dashboard.

Session & OTP

Sitzungen verlängern sich aktivitätsbasiert bis zu 7 Tagen, mit 128-Zeichen-Opaque-Tokens in HttpOnly + Secure + SameSite-Cookies. Bei Anmeldung und Passwort-Reset verwenden wir einen 6-stelligen Einmalcode.

Rate Limiting

Persistente Token-Bucket-Rate-Limits für Login, Einmalcodes, Passwortversuche und Access-Code-Versuche. Übersteht Neustarts und funktioniert über mehrere Instanzen hinweg.

CSRF-Schutz

Cross-Site Request Forgery wird durch ein Double-Submit-Token über die gesamte authentifizierte Oberfläche verhindert. Die öffentliche Formular-Route ist konstruktionsbedingt ausgenommen (keine Sitzung), aber rate-limited.

Strikte CSP & Header

Die öffentliche Formularseite verbietet Drittanbieter-Skripte auf Browser-Ebene per Content Security Policy. HSTS, X-Frame-Options und X-Content-Type-Options sind über die gesamte Oberfläche aktiv.

Hauseigene Fehler- & Website-Analyse

Unser Error-Logger und die Marketing-Site-Analytics laufen auf eigenen Schweizer Servern. Sentry, Google Analytics und Mixpanel kommen hier nicht vor — und Einreichungsdaten der Teilnehmer werden weder vom einen noch vom anderen System berührt.

Offenlegung

Etwas entdeckt?

Wir nehmen Sicherheitsmeldungen ernst und antworten innerhalb eines Werktags. Bitte gehen Sie verantwortungsvoll vor — auf Wunsch nennen wir Forschende namentlich.

Kontakt

support@schweizerform.ch

PGP-Schlüssel auf Anfrage. Bitte fügen Sie Schritte zur Reproduktion, Auswirkung und etwaige Logs bei — und keine echten Kundendaten im Bericht.

Häufige Fragen

Sicherheit, ohne Drumherumreden erklärt.

Ein Formularanbieter, der Ihre Formulare nicht lesen kann. Probieren Sie es jetzt aus.

Dieselbe Verschlüsselungsstärke bei jedem Plan — auch beim kostenlosen. Keine Kreditkarte erforderlich.