Zum Inhalt springen
Unabhängig verifiziert · Quartalsweises Re-Audit
EU VETTED

Tresorit eSign

VERIFIZIERT
E-Signatur · Switzerland
Gegründet 2011 · tresorit.com/m/esign ↗

E-Signatur-Modul des Swiss-Post-eigenen Tresorit, die einzige Zero-Knowledge-E2E-Option im Verzeichnis mit eIDAS-qualifizierten Signaturen (über QTSP Evrotrust); läuft auf Azure (Standard-EU-Region Irland).

Kurzfassung

Tresorit eSign aus der Kategorie E-Signatur bietet EU-Hosting mit Ireland als Hosting-Standort, doch ein US-Mutterkonzern oder Unterauftragsverarbeiter hinterlässt ein materielles CLOUD-Act-Risiko.

Bewertungsnotizen

Tresorit eSign is the electronic-signature module of Tresorit AG (Zurich; sole shareholder Swiss Post, the Swiss state-owned operator) and is the directory's only e-signature option combining zero-knowledge end-to-end encryption with eIDAS Qualified Electronic Signatures, the latter issued through a partnership with the EU Qualified Trust Service Provider Evrotrust (Bulgaria) rather than by Tresorit itself; ISO/IEC 27001:2022 certified, runs on Microsoft Azure with a default EU storage region of Ireland and customer-selectable EU residency. CLOUD Act exposure is material because Azure is a US-owned hyperscaler in the at-rest path, but the zero-knowledge architecture means Azure holds ciphertext only and Tresorit holds no keys; held at 4/5 by that US storage sub-processor and the absence of a public standalone DPA URL (request-based), with state-anchored Swiss-Post ownership and the E2E + QES combination as the offsetting strengths. For pure-EU-sovereignty buyers the one category option with no US-owned infrastructure in the at-rest path is Skribble (CH, cloud_act_exposure: none); the Namirial-group QTSPs (Universign FR, Signaturit ES) are no longer a cleaner alternative here, since their 2025 Bain Capital (US private-equity) ownership and AWS-at-rest hosting put them at material too, without Tresorit's zero-knowledge mitigation.

CLOUD ACT
OWNERSHIP
SUB-PROCS
10 · 7 US
Geprüfte Signale
Jurisdiktion
  • EU-/Angemessenheits-Hosting
  • EU-/Angemessenheits-Betreiber
  • Keine US-CLOUD-Act-Exposition
Transparenz
  • Öffentlicher AVV
  • Unterauftragsverarbeiter offengelegt
  • Open-Source-Clients
  • Zertifizierung durch Dritte
JUMP TO
OVERVIEW

Über Tresorit eSign

Tresorit eSign ist das E-Signatur-Modul der Tresorit AG (Pfingstweidstrasse 60b, 8005 Zürich; CHE-349.825.210), des Zero-Knowledge-Ende-zu-Ende-verschlüsselten Cloud-Speicher-Unternehmens, das seit 2021 eine hundertprozentige Tochter der Schweizerischen Post (des staatlichen Schweizer Post- und Digitaldienstleisters) ist. Etwa 2022 als Produkt eingeführt, ist eSign der einzige E-Signatur-Eintrag im Verzeichnis, der echte Zero-Knowledge-Ende-zu-Ende-Verschlüsselung des Dokumenten-Workflows mit vollständigen eIDAS-qualifizierten elektronischen Signaturen (QES) verbindet. Tresorit ist selbst kein qualifizierter Vertrauensdiensteanbieter; die QES-Stufe wird über eine Partnerschaft mit Evrotrust, einem in der EU gelisteten QTSP (Bulgarien), ausgestellt, und eine qualifizierte Signatur erfordert ID/Reisepass plus Video-Identifikation des Unterzeichners gemäß eIDAS. Das Produkt bietet außerdem einfache elektronische Signaturen, Long Term Validation (Signaturgültigkeit für 5, 10 oder mehr Jahre), ausfüllbare Felder per Drag-and-drop und das Signieren von jedem Gerät ohne Tresorit-Konto.

Für ein EU-Souveränitäts-Audit entspricht die Haltung dem Speicher-Eintrag von Tresorit. Die Infrastruktur ist Microsoft Azure, mit der Standard-Datenregion in Irland (EU) und kundenwählbarer EU-Residenz (Deutschland, Frankreich, Niederlande u. a.) in den Business- und Enterprise-Tarifen; das Unternehmen ist ISO/IEC 27001:2022 zertifiziert (TÜV Rheinland) und GDPR-konform. Das Verzeichnis verzeichnet cloud_act_exposure: material, weil Azure ein US-eigener Hyperscaler im Ruhedaten-Pfad ist; die Zero-Knowledge-Architektur bedeutet jedoch, dass Azure nur Chiffretext speichert und Tresorit keine Schlüssel hält, sodass eine erzwungene Offenlegung keinen lesbaren Inhalt ergibt. Die beiden Transparenzlücken aus dem Speicher-Eintrag gelten auch hier: keine öffentliche eigenständige DPA-URL (DPA auf Anfrage) und die Liste der Auftragsverarbeiter wird über das Hilfecenter statt einer dedizierten Rechtsseite veröffentlicht. Eigentum ist schweizerisch-staatlich verankert (ownership_signal: other: Schweiz, mit der Schweizerischen Post als Alleinaktionärin).

Die Preise sind kostenpflichtig: Lizenzen kosten rund 5 €/Monat pro Nutzer, mit Pro-Signatur-Preisen von etwa 0,3 € für eine einfache und 2,5 € für eine EU-qualifizierte Signatur sowie einem kleinen Gratis-Kontingent (etwa 10 einfache und 6 qualifizierte Signaturen) zur Evaluierung. Am besten geeignet für regulierte Teams (Recht, Gesundheitswesen, Finanzen, sicherheitsbewusste Unternehmen), die bereits auf Tresorits verschlüsselten Speicher setzen und qualifizierte Signaturen im selben Ende-zu-Ende-verschlüsselten Arbeitsbereich wünschen. Wer die sauberste Eigentums- und Auftragsverarbeiter-Story für reine EU-Workflows priorisiert, sollte Skribble (Schweiz, ohne CLOUD-Act-Bezug) in Betracht ziehen; die QTSP der Namirial-Gruppe, Universign (Frankreich) und Signaturit (Spanien), einst der Maßstab, tragen inzwischen dieselbe material-Exposition (AWS im Ruhezustand) sowie einen US-Private-Equity-Eigentümer (Bain Capital, 2025) und bieten anders als Tresorit eSign keine Zero-Knowledge-Verschlüsselung zum Ausgleich. Das Unterscheidungsmerkmal von Tresorit eSign bleibt die Kombination aus Zero-Knowledge-Verschlüsselung und QES, die keine der anderen gelisteten Optionen erreicht.

SUB-PROCESSORS

Unterauftragsverarbeiter-Karte · 10

Quelle ↗
  • Amazon Simple Email Service (SES) US
    United States

    Transactional and notification emails (data in Ireland/EU)

  • Microsoft Azure US
    United States

    Primary hosting (E2E-encrypted content stored in Ireland/EU) and application performance monitoring

  • SendGrid (Twilio) US
    United States

    Transactional and notification emails

  • Stripe US
    United States

    Payment processing

  • Twilio US
    United States

    Two-factor authentication (voice and SMS)

  • Zendesk US
    United States

    Customer support tools

  • Zuora US
    United States

    Subscription billing, invoicing and management

  • Evrotrust Technologies AD EU
    Bulgaria

    EU Qualified Trust Service Provider; issuance of eIDAS Qualified Electronic Signatures and signer identity verification

  • Tresorit GmbH EU
    Germany

    Affiliate sub-processor delivering Tresorit services

  • Tresorit Kft. EU
    Hungary

    Affiliate sub-processor delivering Tresorit services

7 von 10 Unterauftragsverarbeitern sind in den USA registriert. CLOUD-Act-Risiko anwendbar.
CERTIFICATIONS

Rahmenwerke & Zertifizierungen

ISO/IEC 27001
AKTIV
FEATURES

Funktionsmatrix

Qualifizierte Signatur (QES) Ja
Fortgeschrittene Signatur (AES) Nein
Audit-Trail Ja
Vorlagen Nein
Identitätsprüfung Ja
API / Webhooks Nein
INTEGRATION & ZUGRIFF
REST API No
SSO (SAML / OIDC) Yes
COMPLIANCE & GOVERNANCE
Audit log Yes
Self-host / on-prem option No
PRICING

Preise & Tarife

KOSTENPFLICHTIG
ab €5/Monat
Preisseite ansehen ↗
PUBLIC DOCUMENTS

Öffentliche Dokumente

Anbieter veröffentlicht keinen öffentlichen AVV. Ohne öffentlich zugänglichen Auftragsverarbeitungsvertrag können kleine EU-Kunden den Verarbeitervertrag nicht selbst abschließen. Dies wird als fehlender öffentlicher AVV vermerkt (siehe So prüfen wir).
  • Auftragsverarbeitungsvertrag (AVV)
    — fehlt
    fehlt
  • Liste der Unterauftragsverarbeiter
    support.tresorit.com/hc…
    Öffnen ↗
  • Nutzungsbedingungen
    tresorit.com/legal…
    Öffnen ↗
ALTERNATIVES

Alternativen in dieser Kategorie

Eversign (Xodo Sign)
Austria · Gegründet 2017
US-VERBUNDEN

Vienna-launched e-signature platform (eversign GmbH, 2017), acquired by Apryse (US/PDFTron) in 2022, rebranded as Xodo Sign.

Öffentl. AVV Subprozessoren Open Source
FROM
CLOUD ACT
DIRECT
Signaturit (Namirial)
Spain · Gegründet 2013
EU-GEHOSTET

Barcelona-based Spanish digital-trust group (Signaturit, a Namirial company; parent Namirial acquired by Bain Capital, US PE, 2025), 4 QTSPs with highest eIDAS qualifications; platform hosted at rest on AWS.

Öffentl. AVV Subprozessoren Open Source
FROM
CLOUD ACT
MATERIAL
Signicat
Norway · Gegründet 2006
EU-GEHOSTET

Trondheim-based pan-European eIDAS QTSP for digital identity, e-ID and qualified e-signatures; Nordic Capital-owned, EEA-hosted on US hyperscalers.

Öffentl. AVV Subprozessoren Open Source
FROM
CLOUD ACT
MATERIAL