Sicherheit & Vertrauen
Ihre Verträge verdienen mehr als ein Versprechen.
Bei elektronischen Signaturen zählt am Ende eines: der Nachweis. Diese Seite zeigt transparent, wie dosign Ihre Dokumente schützt – vom Swiss Hosting über die Verschlüsselung bis zum kryptografischen Integritätsbeweis, den jeder selbst überprüfen kann.
Die gesamte Plattform läuft auf Servern in der Schweiz. Ihre Dokumente, Signaturdaten und Protokolle werden in der Schweiz gespeichert und verlassen das Land nicht für die Kernverarbeitung. Das vereinfacht Ihre Datenschutz-Dokumentation nach revDSG erheblich.
Sämtliche Verbindungen zu dosign.ch sind TLS-verschlüsselt. HTTP Strict Transport Security (HSTS) stellt sicher, dass Browser ausschliesslich verschlüsselt kommunizieren – auch bei Signatur-Links, die Sie an Empfänger versenden.
Beim Abschluss jedes Signaturvorgangs berechnet dosign einen kryptografischen SHA-256-Prüfwert des finalen PDFs. Jede noch so kleine nachträgliche Veränderung am Dokument führt zu einem anderen Prüfwert und wird damit sofort erkennbar.
Zusätzlich zum Prüfwert holt dosign für jedes abgeschlossene Dokument einen Zeitstempel einer unabhängigen Zeitstempelstelle nach dem Standard RFC 3161 ein. Damit ist belegt, dass das Dokument zu einem bestimmten Zeitpunkt in exakt diesem Zustand vorlag.
Jeder Schritt eines Signaturvorgangs wird protokolliert: Versand der Einladung, Öffnen des Dokuments, Zustimmung und Unterschrift – mit Zeitpunkten und technischen Nachweisdaten. Das Unterzeichnungsprotokoll erhalten Sie als PDF zu jedem abgeschlossenen Dokument.
Jedes mit dosign signierte PDF lässt sich jederzeit kostenlos und ohne Konto auf Echtheit prüfen. Die Verifikation berechnet nur den Prüfwert der hochgeladenen Datei – das Dokument selbst wird dabei nicht gespeichert.
Passwörter werden ausschliesslich als sichere Hashes gespeichert, niemals im Klartext. Signatur-Links sind lange, zufällige Einmal-Token und gegen automatisiertes Durchprobieren mit Ratenbegrenzung geschützt. Dokumente sind strikt dem jeweiligen Konto zugeordnet.
Scheduler, Warteschlangen und Systemzustand werden laufend automatisch überwacht. Sicherheitsupdates der eingesetzten Komponenten spielen wir zeitnah ein, und die Plattform läuft auf aktuellen, unterstützten Versionen.
Responsible Disclosure
Sicherheitslücke entdeckt? Sagen Sie es uns zuerst.
Wir sind dankbar für Hinweise von Sicherheitsforschenden. Melden Sie Schwachstellen vertraulich an support@dosign.ch – wir bestätigen den Eingang, beheben bestätigte Probleme mit Priorität und halten Sie über den Fortschritt auf dem Laufenden. Bitte geben Sie uns angemessen Zeit zur Behebung, bevor Sie Details veröffentlichen.
Maschinenlesbare Angaben nach RFC 9116: dosign.ch/.well-known/security.txt
Häufige Fragen
Sicherheit bei dosign
Die wichtigsten Fragen zu Datenstandort, Integrität und Schwachstellen-Meldung.
Wo werden meine Dokumente gespeichert?
Auf Servern in der Schweiz. Dokumente, Signaturdaten und Unterzeichnungsprotokolle werden in der Schweiz gespeichert; die Übertragung erfolgt durchgehend TLS-verschlüsselt.
Wie stellt dosign sicher, dass ein Dokument nicht verändert wurde?
Über einen kryptografischen SHA-256-Prüfwert des finalen PDFs, kombiniert mit einem vertrauenswürdigen Zeitstempel nach RFC 3161. Jede nachträgliche Änderung führt zu einem abweichenden Prüfwert und ist damit nachweisbar. Über die öffentliche Verifikation lässt sich jedes signierte PDF jederzeit prüfen.
Können Empfänger meiner Signatur-Links von Dritten erraten werden?
Signatur-Links enthalten lange, zufällig erzeugte Token, die praktisch nicht zu erraten sind. Zusätzlich begrenzt eine Ratenbegrenzung automatisierte Zugriffsversuche.
Wie melde ich eine Sicherheitslücke?
Per E-Mail an support@dosign.ch mit dem Betreff «Security». Die maschinenlesbaren Angaben dazu stehen unter dosign.ch/.well-known/security.txt. Wir bestätigen den Eingang, beheben bestätigte Schwachstellen mit Priorität und halten die meldende Person auf dem Laufenden.
Vertrauen ist überprüfbar
Testen Sie den Nachweis mit einem echten Dokument.
Signieren Sie ein PDF, laden Sie das Unterzeichnungsprotokoll herunter und prüfen Sie das Ergebnis über die öffentliche Verifikation – kostenlos und ohne Kreditkarte.