SOC 2 Type 1
In ArbeitAudit-Fenster Q3 2026. Gap-Analyse abgeschlossen Februar 2026, Kontroll-Matrix gefuehrt nach den AICPA-TSC-Kriterien. Type 2 folgt Q1 2027.
Wir bauen GRIP OS fuer europaeische Betreiber, die umsatzkritische Daten verarbeiten. Diese Seite buendelt alles, was ein potenzieller Design-Partner, Investor oder Security-Reviewer vor der Unterzeichnung braucht: SOC-2-Status, EU-Datenresidenz, DSGVO-Bereitschaft, Audit-Log-Zugang und Sophie-Zitations-Audit-Trail. Fuer alles weitere: security@caugia.com.
Compliance-Posture
EU-Datenresidenz
LiveWorkspace-Daten liegen in Supabase eu-north-1 (Stockholm). Keine Kundendaten ueberqueren den Atlantik fuer die Speicherung. Vercel-Edge serviert die UI aus EU-Regionen.
DSGVO
BereitAuftragsverarbeitungsvertrag auf Anfrage. Unterauftragsverarbeiter-Liste oeffentlich. Auskunft, Berichtigung, Loeschung und Datenuebertragbarkeit innerhalb von 30 Tagen.
DSGVO-Bereitschaft
Caugia SASU ist Verantwortlicher fuer Besucherdaten und Auftragsverarbeiter fuer Workspace-Kundendaten. Wir verarbeiten das Notwendige und speichern nur so lange wie noetig.
- ✓Rechtsgrundlagen pro Verarbeitungstaetigkeit dokumentiert (Vertrag, berechtigtes Interesse, Einwilligung fuer Marketing).
- ✓Auskunftsanfragen innerhalb von 30 Tagen beantwortet. Loeschung in 7 Tagen fuer nicht archivierte Daten.
- ✓Unterauftragsverarbeiter-Liste auf /legal/data-residency veroeffentlicht. 14 Tage Vorlauf bei Aenderungen.
- ✓Anforderung an EU-Vertreter entfaellt: Niederlassung in Frankreich, einzelne juristische Person.
- ✓Grenzueberschreitende Uebertragungen auf Speicher-Ebene blockiert. Nur Stockholm.
Audit-Log-Zugang
Compliance-Teams erhalten einen scoped read-only Zugang zum Plattform-Audit-Log: wer eingeloggt war, welche Daten gelesen oder geschrieben wurden, welche Sophie-Zitationen ausgeloest wurden und von welcher IP. CSV-Export plus manipulationssichere Hash-Kette serverseitig.
Audit-Log-Zugang anfordern→Sophie-Audit-Trail
Sophie arbeitet nach einem Zitations-Disziplin-Vertrag: jede Aussage muss auf eine reale Entity-Slug im Live-Knowledge-Graph zeigen. Jede Antwort ist nachvollziehbar.
- →Zitationsformat [framework:slug] [paper:slug] [blog:slug]. Jeder Slug zeigt auf eine reale Entitaet im Live-Knowledge-Graph (sophie_frameworks, sophie_papers, sophie_blogs). Anzahl haengender Verweise wird woechentlich auditiert via /api/cron/sophie-hallucination.
- →Confidence-Score (0,0-1,0) berechnet und pro Turn persistiert aus Archetyp-Resolution + Framework-Coverage + Knowledge-Coverage Signalen. Niedrig-Confidence-Turns (< 0,5) werden als 'low' in der Response markiert und in sophie_turn_logs.confidence_level gespeichert.
- →Jede zitierte Entitaet traegt Quell-URL, Autor, Jahr und Authority-Score in der entsprechenden Library-Zeile. Verfuegbar via /api/sophie/resolve.
- →Halluzinations-Report: jeden Montag um 04:00 UTC auditiert der /api/cron/sophie-hallucination Cron die letzten 7 Tage Zitationen, prueft jeden entity_slug, und sendet dem Team Halluzinationsrate + Slug-Aufschluesselung.
- →Recht auf Erklaerung: jede Sophie-Antwort traegt den Zitationsblock in der Response, und die framework_applications + knowledge_hits Arrays erlauben jedem Aufrufer eine Ein-Klick-"Quellen anzeigen"-Affordance.
Dokumente und Live-Beweis
Direkte Links zu den Quellen. Alles unten ist oeffentlich.
Sicherheitsposition
Bedrohungsmodell, Auth-Guards, Datenisolation, Secret-Handling, Backups und Incident-Response.
SECURITY.md oeffnen→
Architektur
Runtime-Topologie, Datenfluss, Tenant-Modell und AWS + EU-Infrastruktur-Footprint.
ARCHITECTURE.md oeffnen→
SOC-2-Kontroll-Matrix
30-Kontroll-Selbstbewertung, aktueller Status, Ziel-Audit-Daten, Remediation-Owner.
Checkliste oeffnen→
Plattform-Status
Echtzeit-Gesundheit fuer GRIP OS, Sophie und die vier oeffentlichen Demo-Workspaces.
Statusseite oeffnen→
Kontakt
Sicherheits-Disclosure: security@caugia.com. Datenschutzanfragen: privacy@caugia.com. Kommerzielle und Design-Partner-Anfragen: contact@caugia.com.
Zuletzt aktualisiert: 2026-04-24.