Vienna-launched e-signature platform (eversign GmbH, 2017), acquired by Apryse (US/PDFTron) in 2022, rebranded as Xodo Sign.
- FROM
- —
- CLOUD ACT
- DIRECT
Zusammenfassung aus Eigentümerschaft und CLOUD-Act-Risiko.
E-Signatur-Modul des Swiss-Post-eigenen Tresorit, die einzige Zero-Knowledge-E2E-Option im Verzeichnis mit eIDAS-qualifizierten Signaturen (über QTSP Evrotrust); läuft auf Azure (Standard-EU-Region Irland).
Tresorit eSign aus der Kategorie E-Signatur bietet EU-Hosting mit Ireland als Hosting-Standort, doch ein US-Mutterkonzern oder Unterauftragsverarbeiter hinterlässt ein materielles CLOUD-Act-Risiko.
Tresorit eSign is the electronic-signature module of Tresorit AG (Zurich; sole shareholder Swiss Post, the Swiss state-owned operator) and is the directory's only e-signature option combining zero-knowledge end-to-end encryption with eIDAS Qualified Electronic Signatures, the latter issued through a partnership with the EU Qualified Trust Service Provider Evrotrust (Bulgaria) rather than by Tresorit itself; ISO/IEC 27001:2022 certified, runs on Microsoft Azure with a default EU storage region of Ireland and customer-selectable EU residency. CLOUD Act exposure is material because Azure is a US-owned hyperscaler in the at-rest path, but the zero-knowledge architecture means Azure holds ciphertext only and Tresorit holds no keys; held at 4/5 by that US storage sub-processor and the absence of a public standalone DPA URL (request-based), with state-anchored Swiss-Post ownership and the E2E + QES combination as the offsetting strengths. For pure-EU-sovereignty buyers the one category option with no US-owned infrastructure in the at-rest path is Skribble (CH, cloud_act_exposure: none); the Namirial-group QTSPs (Universign FR, Signaturit ES) are no longer a cleaner alternative here, since their 2025 Bain Capital (US private-equity) ownership and AWS-at-rest hosting put them at material too, without Tresorit's zero-knowledge mitigation.
Wie stark Kundendaten US-Behörden nach dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ausgesetzt sind.
Wo die letztliche Kontrolle über das Betreiberunternehmen liegt.
Tresorit eSign ist das E-Signatur-Modul der Tresorit AG (Pfingstweidstrasse 60b, 8005 Zürich; CHE-349.825.210), des Zero-Knowledge-Ende-zu-Ende-verschlüsselten Cloud-Speicher-Unternehmens, das seit 2021 eine hundertprozentige Tochter der Schweizerischen Post (des staatlichen Schweizer Post- und Digitaldienstleisters) ist. Etwa 2022 als Produkt eingeführt, ist eSign der einzige E-Signatur-Eintrag im Verzeichnis, der echte Zero-Knowledge-Ende-zu-Ende-Verschlüsselung des Dokumenten-Workflows mit vollständigen eIDAS-qualifizierten elektronischen Signaturen (QES) verbindet. Tresorit ist selbst kein qualifizierter Vertrauensdiensteanbieter; die QES-Stufe wird über eine Partnerschaft mit Evrotrust, einem in der EU gelisteten QTSP (Bulgarien), ausgestellt, und eine qualifizierte Signatur erfordert ID/Reisepass plus Video-Identifikation des Unterzeichners gemäß eIDAS. Das Produkt bietet außerdem einfache elektronische Signaturen, Long Term Validation (Signaturgültigkeit für 5, 10 oder mehr Jahre), ausfüllbare Felder per Drag-and-drop und das Signieren von jedem Gerät ohne Tresorit-Konto.
Für ein EU-Souveränitäts-Audit entspricht die Haltung dem Speicher-Eintrag von Tresorit. Die Infrastruktur ist Microsoft Azure, mit der Standard-Datenregion in Irland (EU) und kundenwählbarer EU-Residenz (Deutschland, Frankreich, Niederlande u. a.) in den Business- und Enterprise-Tarifen; das Unternehmen ist ISO/IEC 27001:2022 zertifiziert (TÜV Rheinland) und GDPR-konform. Das Verzeichnis verzeichnet cloud_act_exposure: material, weil Azure ein US-eigener Hyperscaler im Ruhedaten-Pfad ist; die Zero-Knowledge-Architektur bedeutet jedoch, dass Azure nur Chiffretext speichert und Tresorit keine Schlüssel hält, sodass eine erzwungene Offenlegung keinen lesbaren Inhalt ergibt. Die beiden Transparenzlücken aus dem Speicher-Eintrag gelten auch hier: keine öffentliche eigenständige DPA-URL (DPA auf Anfrage) und die Liste der Auftragsverarbeiter wird über das Hilfecenter statt einer dedizierten Rechtsseite veröffentlicht. Eigentum ist schweizerisch-staatlich verankert (ownership_signal: other: Schweiz, mit der Schweizerischen Post als Alleinaktionärin).
Die Preise sind kostenpflichtig: Lizenzen kosten rund 5 €/Monat pro Nutzer, mit Pro-Signatur-Preisen von etwa 0,3 € für eine einfache und 2,5 € für eine EU-qualifizierte Signatur sowie einem kleinen Gratis-Kontingent (etwa 10 einfache und 6 qualifizierte Signaturen) zur Evaluierung. Am besten geeignet für regulierte Teams (Recht, Gesundheitswesen, Finanzen, sicherheitsbewusste Unternehmen), die bereits auf Tresorits verschlüsselten Speicher setzen und qualifizierte Signaturen im selben Ende-zu-Ende-verschlüsselten Arbeitsbereich wünschen. Wer die sauberste Eigentums- und Auftragsverarbeiter-Story für reine EU-Workflows priorisiert, sollte Skribble (Schweiz, ohne CLOUD-Act-Bezug) in Betracht ziehen; die QTSP der Namirial-Gruppe, Universign (Frankreich) und Signaturit (Spanien), einst der Maßstab, tragen inzwischen dieselbe material-Exposition (AWS im Ruhezustand) sowie einen US-Private-Equity-Eigentümer (Bain Capital, 2025) und bieten anders als Tresorit eSign keine Zero-Knowledge-Verschlüsselung zum Ausgleich. Das Unterscheidungsmerkmal von Tresorit eSign bleibt die Kombination aus Zero-Knowledge-Verschlüsselung und QES, die keine der anderen gelisteten Optionen erreicht.
Transactional and notification emails (data in Ireland/EU)
Primary hosting (E2E-encrypted content stored in Ireland/EU) and application performance monitoring
Transactional and notification emails
Payment processing
Two-factor authentication (voice and SMS)
Customer support tools
Subscription billing, invoicing and management
EU Qualified Trust Service Provider; issuance of eIDAS Qualified Electronic Signatures and signer identity verification
Affiliate sub-processor delivering Tresorit services
Affiliate sub-processor delivering Tresorit services
| Vendor | Country | Purpose | Owner |
|---|---|---|---|
| Amazon Simple Email Service (SES) | United States | Transactional and notification emails (data in Ireland/EU) | US |
| Microsoft Azure | United States | Primary hosting (E2E-encrypted content stored in Ireland/EU) and application performance monitoring | US |
| SendGrid (Twilio) | United States | Transactional and notification emails | US |
| Stripe | United States | Payment processing | US |
| Twilio | United States | Two-factor authentication (voice and SMS) | US |
| Zendesk | United States | Customer support tools | US |
| Zuora | United States | Subscription billing, invoicing and management | US |
| Evrotrust Technologies AD | Bulgaria | EU Qualified Trust Service Provider; issuance of eIDAS Qualified Electronic Signatures and signer identity verification | EU |
| Tresorit GmbH | Germany | Affiliate sub-processor delivering Tresorit services | EU |
| Tresorit Kft. | Hungary | Affiliate sub-processor delivering Tresorit services | EU |
Vienna-launched e-signature platform (eversign GmbH, 2017), acquired by Apryse (US/PDFTron) in 2022, rebranded as Xodo Sign.
Barcelona-based Spanish digital-trust group (Signaturit, a Namirial company; parent Namirial acquired by Bain Capital, US PE, 2025), 4 QTSPs with highest eIDAS qualifications; platform hosted at rest on AWS.
Trondheim-based pan-European eIDAS QTSP for digital identity, e-ID and qualified e-signatures; Nordic Capital-owned, EEA-hosted on US hyperscalers.