Renewly ist ein Dual-Region-Dienst. Sie wählen Ihre Region bei der Registrierung, und Ihre Verträge, Kontodaten und Audit-Logs bleiben für die gesamte Lebensdauer des Workspace in dieser Region. Diese Seite ist die maßgebliche Übersicht der Subprozessoren, die Ihre Daten verarbeiten, und der zwei Extraktionsstufen, die heute die Regionsgrenze überschreiten.
EU oder USA, bei der Registrierung festgelegt, über die UI unveränderbar
Your contracts and account data are stored in the EU on Supabase eu-central-1 (AWS Frankfurt). Contract data extraction runs in the EU region via Google Vertex.
Your contracts and account data are stored in the United States on Supabase us-east-1 (AWS N. Virginia). Contract data extraction runs in the US region via Google Vertex.
Die Region wird bei der Registrierung festgelegt und kann nicht über die Einstellungen in der App geändert werden. Um einen Workspace zwischen Regionen zu migrieren, kontaktieren Sie den Support; das Operations-Team führt dann den Cutover-Prozess durch.
Zwei Extraktionsstufen, beide mit Opt-out
PDF text extraction is performed by our sub-processor Reducto. Data handling is governed by our agreement with Reducto; a per-org opt-out is available on request.
The validation pass runs via Anthropic Direct API for both EU and US customers. Anthropic operates under zero data retention for API traffic and does not use API data for model training, per Anthropic API terms. A per-org opt-out is available; an in-region migration is planned.
Wenn Ihr Compliance-Programm verlangt, dass auch eine der beiden Stufen in der Region läuft, kontaktieren Sie den Support; wir aktivieren dann das Opt-out-Flag für Ihren Workspace. Die betroffenen Stufen werden übersprungen (Extraktionen laufen weiterhin, mit etwas geringerer Genauigkeit allein im primären Durchlauf). Das eine Flag pro Organisation steuert beide Stufen.
Wer Ihre Vertragsdaten verarbeitet
| Anbieter | Zweck | Geteilte Daten | Residenz |
|---|---|---|---|
| Supabase | Database, file storage, authentication | Account data, contracts, extracted metadata, uploaded files | Customer-selected region: EU eu-central-1 (AWS Frankfurt) or US us-east-1 (AWS N. Virginia) |
| Vercel | Application hosting | Request logs, IP addresses | Single-instance; operational logs may transit regions Vercel operates in. |
| Stripe | Payment processing | Email, billing details (no contract data) | Global. Stripe handles payments under PCI Level 1. |
| Resend | Email notifications | Email address, notification content | US-based GDPR-compliant email service. |
| ReductoOpt-out | PDF text extraction (pre-LLM stage) | PDF text only — no account data or identifiers. | Sub-processor; data handling per our agreement with Reducto. Per-org opt-out available on request. |
| Google Vertex (Gemini) | Structured field extraction (primary LLM) | Parsed contract text only | Runs in-region: Google Vertex in the EU region for EU customers, in the US region for US customers. Zero retention and no model training on data, per Google Vertex terms. |
| Anthropic (Claude)Opt-out | Cross-check / validation pass (secondary LLM) | Parsed contract text only | Runs via Anthropic Direct API for both EU and US customers. Zero retention and no model training on API data, per Anthropic API terms. Per-org opt-out available; in-region migration planned. |
| Crisp | Live chat support | Email address, chat messages | Single-instance. |
Der operative Schatten, den Sie kennen sollten
Ihre Vertragsdaten liegen in der von Ihnen gewählten Region. Eine kleine Zahl von Infrastrukturanbietern, die wir für Hosting, Fehlerberichte, Job-Orchestrierung und Rate Limiting nutzen, sind Single-Instance-Dienste. Deren operative Logs (Request-Metadaten, IDs, Regions-Tags) können Ihre primäre Region verlassen, auch wenn der Vertragsinhalt selbst dies nicht tut. Vertragsinhalte werden nicht geloggt.
| Anbieter | Zweck | Geteilte Daten | Position |
|---|---|---|---|
| Sentry | Error and exception tracking | Stack traces and error context (PII redacted before logging) | Single-instance; events may transit outside the customer's primary region. |
| Inngest | Background job orchestration | Job payloads (region tag, IDs); contract content is not logged. | Single-instance worker plane; the `region` field on payloads is honoured so jobs run against the correct project. |
| Upstash Redis | Rate limiting | Counter keys (org/user identifiers) and counts; no contract content. | Per-region keys; the service itself is single-instance. |
Attribution pro Anbieter
Vercel + Supabase, SOC 2 Type II
Our hosting providers (Supabase and Vercel) hold SOC 2 Type II certification. Renewly itself is not in audit scope; the certifications belong to our infrastructure vendors.
Supabase carries ISO/IEC 27001:2022
Supabase is certified to ISO/IEC 27001:2022 across its full information security management system. Renewly itself is not in audit scope.
Compliant
Renewly is GDPR compliant. EU and EEA users have full rights to access, correct, delete, and export their personal data. We have a signed DPA with Supabase.
California residents have the right to know, access, and delete their personal information. We do not sell personal data.
PCI Level 1
Payments are processed by Stripe under PCI Level 1.
Mit Supabase besteht ein unterzeichneter DPA. Ein Renewly-DPA ist für Kunden, die einen benötigen, auf Anfrage verfügbar - kontaktieren Sie security@renewly.gg.
Für Datenübermittlungen aus dem EWR (und dem Vereinigten Königreich) stützt sich Renewly auf Standard Contractual Clauses (und, wo anwendbar, das UK International Data Transfer Addendum) mit den oben aufgeführten Subprozessoren.
Die vollständige Sicherheitsübersicht finden Sie unter /security. Für Fragen zur Datenresidenz in einfacher Sprache siehe den Hilfeartikel.