Architektur

Wo Ihre Daten laufen — und wo nicht.

«Self-hosted» ist schnell gesagt. Diese Seite zeigt, was es bei Tendeo konkret bedeutet: welche Verbindungen es gibt, was durch jede einzelne fliesst — und warum Ihr Angebotswissen dabei nie zu uns gelangt. Verständlich für den Fachbereich, präzise genug für Ihre IT.

Ihr Azure-Tenant — hier lebt alles
Tendeo — ein ContainerWeb-Oberfläche, API und alle Hintergrund-Jobs (Analyse, Radar, Backup) in einem Image. Kein weiterer Dienst nötig.
Microsoft Entra IDLogin, Rollen und Länder-/Team-Zugriff über Ihre bestehenden Sicherheitsgruppen — kein eigener Benutzerstamm.
Datenbank & DateiablagePostgreSQL und Blob Storage in Ihrem Abo: Ausschreibungen, Wissensdatenbank, Schätzungen, Angebote, Logs.
SharePoint (eine Site)Tendeo darf genau eine von Ihnen freigegebene Angebots-Site lesen (Wissen) und beschreiben (Dossier-Ablage) — sonst nichts.
Tägliche SicherungKomplette Datenbank + Dokumente als Archiv in Ihren eigenen Blob-Speicher — auf Wunsch in einer anderen Region.
Ausserhalb — nur drei ausgehende Wege
→ ausgehend · Ihr Vertrag
Ihr KI-AnbieterDer einzige Fluss mit Dokumentinhalt — mit Ihrem eigenen API-Key. Wählbar: Claude, OpenAI, Azure OpenAI (bleibt im Tenant), Gemini, Mistral oder on-prem.
→ ausgehend · keine Kundendaten
Update-Registry (Hersteller)Tendeo holt sich nachts signierte, versionierte Images ab. Es wird nichts hochgeladen — der Kanal transportiert nur Software zu Ihnen.
→ ausgehend · nur Suchbegriffe
AusschreibungsplattformenDer Tender-Radar fragt simap.ch, TED und oeffentlichevergabe.de mit Stichworten/CPV-Codes ab — nie mit Ihren Dokumenten.
✕ existiert nicht
Datenfluss zum HerstellerKeine Telemetrie, keine Nutzungsstatistik, keine Lizenz-Onlineprüfung. Wir könnten Ihre Daten nicht sehen, selbst wenn wir wollten.

Das Grundprinzip: Tendeo baut ausschliesslich ausgehende Verbindungen auf. Es gibt keinen Weg von aussen hinein — weder für uns als Hersteller noch für Dritte. Ihre IT kann das nicht nur glauben, sondern in der Firewall erzwingen und in den eigenen Logs nachprüfen.

Die Datenflüsse im Detail

Fünf Fragen, fünf klare Antworten.

Jeder Abschnitt erklärt einen Datenfluss erst in einfachen Worten — und darunter steht für Ihre IT, wie er technisch umgesetzt ist.

01

Wer darf rein? — Anmeldung über Ihr Microsoft-Konto

Ihre Mitarbeitenden melden sich mit dem gewohnten Firmen-Login an — demselben wie für Outlook oder Teams. Es gibt keine separaten Tendeo-Passwörter, die verwaltet oder vergessen werden könnten. Wer was sehen darf (welches Land, welches Team, welche Rolle), steuern Sie zentral in Ihrem Microsoft Entra ID, genau wie bei jeder anderen internen Anwendung.

Für die IT
  • Login per OpenID Connect / MSAL gegen Ihren Entra-Tenant; Tendeo speichert keine Passwörter und keinen eigenen Benutzerstamm.
  • Rollen (Reader / Contributor / Admin) als Entra App Roles; Länder-/Team-Sichtbarkeit über den groups-Claim Ihrer Sicherheitsgruppen.
  • Einrichtung mit einem einmaligen Skript (setup_entra.ps1, ~10 Minuten Entra-Admin) — danach ist die IT raus, Zuweisungen macht der Fachbereich im Entra-Portal.
02

Wie kommt Ihr Wissen hinein? — SharePoint, Agent oder Upload

Tendeo wird gut, weil es Ihre früheren Angebote, Referenzen und Zertifikate kennt. Dieses Wissen holt es sich aus Ihren bestehenden Ablagen — und zwar innerhalb Ihres Hauses: Entweder liest Tendeo eine einzige, von Ihnen bestimmte SharePoint-Site, oder ein kleiner Sync-Agent bringt Dateien von Ordnern und Netzlaufwerken zur Tendeo-Instanz. In beiden Fällen wandern die Dokumente nur von einem Ort in Ihrem Haus an einen anderen Ort in Ihrem Haus. Fertige Angebots-Dossiers legt Tendeo auf Wunsch wieder in dieselbe SharePoint-Site zurück — erst nach Freigabe durch eine zweite Person.

Für die IT
  • SharePoint-Variante: Microsoft Graph app-only mit Sites.Selected — die App wird per Site-Permission (Rolle write: lesen für den Wissens-Sync, schreiben für die Dossier-Ablage) auf genau EINE Site berechtigt. Kein tenant-weiter Zugriff, kein M365 Copilot nötig; inkrementeller Delta-Sync.
  • Ohne Graph-Freigabe: Der Tendeo Sync-Agent (PowerShell oder Container) läuft in Ihrem Netz, nutzt nur Dateizugriffe, die der ausführende Nutzer ohnehin hat, und spricht ausschliesslich ausgehend HTTPS mit Ihrer Tendeo-Instanz. Keine App-Registrierung, kein Admin-Consent.
  • Der Ingest-Token des Agents ist auf die Ingest-Endpoints beschränkt, wird serverseitig nur als SHA-256-Hash gespeichert und ist jederzeit rotier-/widerrufbar. Alternativ: Watch-Folder am Container oder manueller Upload (auch ZIP).
  • Dossier-Upload nach SharePoint nur nach Vier-Augen-Freigabe (atomar, mit Entscheidungs-Historie) — und nur in die eine freigegebene Site.
03

Was sieht die KI? — Der einzige Fluss mit Dokumentinhalt

Für die Analyse schickt Tendeo den Text der Ausschreibung und die passenden Einträge aus Ihrer Wissensdatenbank an ein grosses Sprachmodell — das ist der einzige Punkt, an dem Inhalte Ihr Haus verlassen können. Entscheidend: Das geschieht über Ihren eigenen Vertrag und API-Schlüssel mit dem KI-Anbieter, den Sie auswählen. Wir als Hersteller sitzen nicht dazwischen und sehen weder Anfragen noch Ergebnisse. Und wenn gar nichts das Haus verlassen soll: Mit Azure OpenAI bleiben die Aufrufe in Ihrem eigenen Azure-Tenant, mit einem on-prem-Modell sogar komplett auf Ihrer Hardware.

Für die IT
  • Übertragen werden pro Analyse: extrahierter Dokumenttext, relevante Wissenseinträge und die Prompts — direkt vom Container zum konfigurierten LLM-Endpoint (TLS), authentisiert mit Ihrem Key. Keine Zwischenstation beim Hersteller.
  • Provider per LLM_PROVIDER umschaltbar: anthropic (Standard, 1M-Kontext), openai, azure_openai (Datenverkehr bleibt im eigenen Tenant), gemini, mistral (EU) oder custom — jeder OpenAI-kompatible Endpoint, z.B. on-prem Ollama/vLLM (null externe Aufrufe).
  • Die Datennutzung regelt Ihr Vertrag mit dem Anbieter — die Business-APIs der grossen Anbieter verwenden Kundendaten standardmässig nicht zum Training. Sie können den Egress in der Firewall auf genau diesen einen Endpoint beschränken.
  • Schutz vor Prompt-Injection: Dokumentinhalte werden strikt als Daten behandelt, unsichtbare Zeichen entfernt, Manipulationsversuche im Bericht ausgewiesen.
04

Wie kommen Updates? — Tendeo holt sie ab, niemand greift zu

Updates funktionieren wie bei Ihrem Smartphone: Tendeo schaut nachts nach, ob eine neue Version bereitliegt, und installiert sie selbst — nach einer geprüften Datensicherung, mit automatischem Zurückrollen, falls etwas nicht startet. Der entscheidende Unterschied zu Fernwartung: Wir verbinden uns nie mit Ihrem System. Ihre Installation holt sich die Software ab; auf dem Weg dorthin fliessen keine Ihrer Daten. In der App sehen Sie, welche Version ansteht, können sofort aktualisieren oder Updates pausieren.

Für die IT
  • Ein Updater-Sidecar prüft ausgehend per HTTPS ein Versions-Manifest (kleines JSON: neueste Versionsnummer + Release-Notes-Link) und zieht neue Images mit einem kundenindividuellen, read-only Pull-Token aus unserer privaten Registry. Kein eingehender Zugriff, kein SSH, keine Fernwartung.
  • Ablauf je Update: verifiziertes Backup des Daten-Volumes (schlägt es fehl, wird nichts verändert) → Image-Pull → Neustart mit automatischer Schema-Migration → Health-Gate → bei Fehlschlag automatischer Rollback auf die Vorversion.
  • Was unsere Server dabei erfahren: dass Ihr Pull-Token das Manifest bzw. Image abgerufen hat — mehr nicht. Beide Kanäle sind abschaltbar; dann aktualisieren Sie manuell per update.sh (identischer Ablauf inkl. Backup und Health-Gate).
05

Wo landet die Datensicherung? — In Ihrem Speicher, nirgends sonst

Tendeo sichert sich täglich selbst: die komplette Datenbank und alle Dokumente, verpackt in ein Archiv. Ziel ist Ihr eigener Azure-Speicher — auf Wunsch ein separates Konto in einer anderen Region, damit die Sicherung auch einen Ausfall des Rechenzentrums überlebt. Die Sicherung verlässt Ihr Azure nie und liegt schon gar nicht bei uns. Zurückspielen können Sie sie jederzeit selbst, ein Wiederherstellungs-Werkzeug liefern wir mit.

Für die IT
  • Tägliches ZIP-Archiv (BACKUP_HOUR_UTC): alle Tabellen als portables JSONL (SQLite und Postgres) plus Dokumente bei lokaler Ablage; Ziel BACKUP_AZURE_CONNECTION_STRING (eigener Storage-Account/Region möglich), sonst /data/backups.
  • Aufbewahrung über BACKUP_RETENTION_DAYS (Standard 30); Status per GET /api/backup/status, manuell per Knopfdruck; Restore mit restore_backup.py in eine beliebige Ziel-DB — auch zum Verifizieren der Sicherung.
  • Zusätzlich erstellt jedes Update vorab einen verifizierten Volume-Snapshot; bei Azure-Postgres empfehlen wir ergänzend die eingebaute PITR.
Auf einen Blick

Jede Verbindung, ihr Inhalt, ihre Richtung.

Die vollständige Liste für den Security-Review — es gibt keine weiteren Verbindungen.

VerbindungZweckRichtungWas fliesst — und was nicht
Browser → TendeoTägliche Arbeitim TenantApp-Daten über TLS, Zugriff nur mit Entra-Login.
Tendeo → Entra IDLogin & RollenausgehendToken-Validierung. Keine Dokumente, keine Passwörter bei Tendeo.
Tendeo ↔ SharePointWissens-Sync + Dossier-Ablageim TenantDokumente der EINEN freigegebenen Site (Sites.Selected); bleibt komplett in Ihrem Microsoft 365.
Tendeo → KI-AnbieterAnalyse & TextvorschlägeausgehendDokumenttext + Wissensauszüge, mit Ihrem Key. Einziger Fluss mit Inhalt — wählbar bis «bleibt im Tenant» (Azure OpenAI) oder on-prem.
Updater → RegistryUpdates holenausgehendVersionsabfrage + Image-Download. Keine Kundendaten; abschaltbar (dann manuelles Update-Skript).
Backup → Ihr Blob-SpeicherTägliche Sicherungim TenantKomplette DB + Dokumente in Ihren eigenen Storage-Account (eigene Region möglich).
Radar → PlattformenAusschreibungssucheausgehendNur Suchbegriffe/CPV-Codes an simap.ch, TED, oeffentlichevergabe.de. Nie Ihre Dokumente.
Tendeo → E-Mail / TeamsBenachrichtigungenausgehendFristen, Radar-Treffer, Einladungen — an Ihre eigenen Mail-/Teams-Systeme, von Ihnen konfiguriert.
LizenzprüfungNutzungsrechtkeine VerbindungSignierte Offline-Lizenzdatei, lokal geprüft. Kein Phone-Home; abgelaufen heisst read-only, nie ausgesperrt.
Tendeo → HerstellerTelemetrie / Analytikexistiert nichtKein Telemetrie-Code, keine Nutzungsstatistik. Support-Diagnosen senden Sie aktiv und selbst.
Die Garantie

Warum Ihr Wissen nie zu uns abfliesst.

Nicht als Versprechen, sondern aus drei nachprüfbaren Gründen.

Es gibt keinen Kanal

Tendeo enthält keinen Telemetrie-Code und keine Online-Lizenzprüfung. Die einzigen Verbindungen zu uns — Versionscheck und Image-Download — transportieren Software zu Ihnen, nie Daten zu uns. Beide lassen sich vollständig abschalten.

Sie können es erzwingen

Weil alle Verbindungen ausgehend sind, kann Ihre IT den Netzwerkverkehr in der eigenen Firewall auf die Liste oben beschränken — und in den eigenen Logs verifizieren, dass es keine weiteren gibt. Vertrauen wird zur Konfigurationsfrage.

Die KI gehört zu Ihrem Vertrag

Der einzige Fluss mit Inhalten läuft über Ihren eigenen KI-Vertrag — nicht über uns. Sie bestimmen den Anbieter, bis hin zu Azure OpenAI im eigenen Tenant oder einem Modell auf eigener Hardware, bei dem gar nichts das Haus verlässt.

Überzeugen Sie Ihre IT in einem Termin.

Wir gehen die Architektur gemeinsam mit Ihrem Security-Team durch — Verbindung für Verbindung.

Demo anfragen