dosign.ch

Sicherheit & Vertrauen

Ihre Verträge verdienen mehr als ein Versprechen.

Bei elektronischen Signaturen zählt am Ende eines: der Nachweis. Diese Seite zeigt transparent, wie dosign Ihre Dokumente schützt – vom Swiss Hosting über die Verschlüsselung bis zum kryptografischen Integritätsbeweis, den jeder selbst überprüfen kann.

Hosting & Datenhaltung in der Schweiz SHA-256 + RFC-3161-Zeitstempel Öffentlich verifizierbar
Swiss Hosting – Daten bleiben in der Schweiz

Die gesamte Plattform läuft auf Servern in der Schweiz. Ihre Dokumente, Signaturdaten und Protokolle werden in der Schweiz gespeichert und verlassen das Land nicht für die Kernverarbeitung. Das vereinfacht Ihre Datenschutz-Dokumentation nach revDSG erheblich.

Durchgehende Transportverschlüsselung (TLS)

Sämtliche Verbindungen zu dosign.ch sind TLS-verschlüsselt. HTTP Strict Transport Security (HSTS) stellt sicher, dass Browser ausschliesslich verschlüsselt kommunizieren – auch bei Signatur-Links, die Sie an Empfänger versenden.

Dokumentenintegrität: SHA-256-Prüfwert

Beim Abschluss jedes Signaturvorgangs berechnet dosign einen kryptografischen SHA-256-Prüfwert des finalen PDFs. Jede noch so kleine nachträgliche Veränderung am Dokument führt zu einem anderen Prüfwert und wird damit sofort erkennbar.

Vertrauenswürdiger Zeitstempel (RFC 3161)

Zusätzlich zum Prüfwert holt dosign für jedes abgeschlossene Dokument einen Zeitstempel einer unabhängigen Zeitstempelstelle nach dem Standard RFC 3161 ein. Damit ist belegt, dass das Dokument zu einem bestimmten Zeitpunkt in exakt diesem Zustand vorlag.

Lückenloser Audit-Trail

Jeder Schritt eines Signaturvorgangs wird protokolliert: Versand der Einladung, Öffnen des Dokuments, Zustimmung und Unterschrift – mit Zeitpunkten und technischen Nachweisdaten. Das Unterzeichnungsprotokoll erhalten Sie als PDF zu jedem abgeschlossenen Dokument.

Öffentliche Dokument-Verifikation

Jedes mit dosign signierte PDF lässt sich jederzeit kostenlos und ohne Konto auf Echtheit prüfen. Die Verifikation berechnet nur den Prüfwert der hochgeladenen Datei – das Dokument selbst wird dabei nicht gespeichert.

Zugriffskontrolle und Missbrauchsschutz

Passwörter werden ausschliesslich als sichere Hashes gespeichert, niemals im Klartext. Signatur-Links sind lange, zufällige Einmal-Token und gegen automatisiertes Durchprobieren mit Ratenbegrenzung geschützt. Dokumente sind strikt dem jeweiligen Konto zugeordnet.

Überwachter Betrieb und aktuelle Software

Scheduler, Warteschlangen und Systemzustand werden laufend automatisch überwacht. Sicherheitsupdates der eingesetzten Komponenten spielen wir zeitnah ein, und die Plattform läuft auf aktuellen, unterstützten Versionen.

Responsible Disclosure

Sicherheitslücke entdeckt? Sagen Sie es uns zuerst.

Wir sind dankbar für Hinweise von Sicherheitsforschenden. Melden Sie Schwachstellen vertraulich an support@dosign.ch – wir bestätigen den Eingang, beheben bestätigte Probleme mit Priorität und halten Sie über den Fortschritt auf dem Laufenden. Bitte geben Sie uns angemessen Zeit zur Behebung, bevor Sie Details veröffentlichen.

Maschinenlesbare Angaben nach RFC 9116: dosign.ch/.well-known/security.txt

Eingangsbestätigung Priorisierte Behebung bestätigter Lücken Keine rechtlichen Schritte bei gutgläubiger Meldung

Häufige Fragen

Sicherheit bei dosign

Die wichtigsten Fragen zu Datenstandort, Integrität und Schwachstellen-Meldung.

Wo werden meine Dokumente gespeichert?

Auf Servern in der Schweiz. Dokumente, Signaturdaten und Unterzeichnungsprotokolle werden in der Schweiz gespeichert; die Übertragung erfolgt durchgehend TLS-verschlüsselt.

Wie stellt dosign sicher, dass ein Dokument nicht verändert wurde?

Über einen kryptografischen SHA-256-Prüfwert des finalen PDFs, kombiniert mit einem vertrauenswürdigen Zeitstempel nach RFC 3161. Jede nachträgliche Änderung führt zu einem abweichenden Prüfwert und ist damit nachweisbar. Über die öffentliche Verifikation lässt sich jedes signierte PDF jederzeit prüfen.

Können Empfänger meiner Signatur-Links von Dritten erraten werden?

Signatur-Links enthalten lange, zufällig erzeugte Token, die praktisch nicht zu erraten sind. Zusätzlich begrenzt eine Ratenbegrenzung automatisierte Zugriffsversuche.

Wie melde ich eine Sicherheitslücke?

Per E-Mail an support@dosign.ch mit dem Betreff «Security». Die maschinenlesbaren Angaben dazu stehen unter dosign.ch/.well-known/security.txt. Wir bestätigen den Eingang, beheben bestätigte Schwachstellen mit Priorität und halten die meldende Person auf dem Laufenden.

Vertrauen ist überprüfbar

Testen Sie den Nachweis mit einem echten Dokument.

Signieren Sie ein PDF, laden Sie das Unterzeichnungsprotokoll herunter und prüfen Sie das Ergebnis über die öffentliche Verifikation – kostenlos und ohne Kreditkarte.