Fakten zu NNSFlow

NNSFlow ist eine Plattform für Negative News, adverse Medien und Sanktionsscreening für Schweizer Finanzinstitute. Sie ist so konzipiert, dass jede Untersuchung eine manipulationssichere, prüfungsfeste Evidenzkette ergibt, statt einer Zusammenfassung oder Notizen. Jede während einer Untersuchung geprüfte Quelle wird vollständig erfasst, mit SHA-256 gehasht und im Moment der Entscheidung eingefroren.

NNSFlow wird von Antoine Bedaton gebaut, dem Gründer von PentaLab und Critical System Engineer bei Eurocontrol, der europäischen Flugsicherungsorganisation. PentaLab ist ein belgisches Softwareunternehmen mit Sitz in Brüssel, das sich auf Werkzeuge für regulierte Branchen spezialisiert.

Compliance-Teams müssen nachweisen können, was sie geprüft haben, als sie einen Kunden freigegeben haben. Die meisten Screening-Tools speichern nur Zusammenfassungen, Notizen oder URL-Listen. Wenn ein Regulator Jahre später fragt, was zum Entscheidungszeitpunkt tatsächlich sichtbar war, können solche Aufzeichnungen die Frage nicht beantworten. NNSFlow speichert den vollständigen Inhalt jeder geprüften Quelle, hasht ihn zur Integritätssicherung und friert sowohl Inhalt als auch Suchkonfiguration zum Entscheidungszeitpunkt ein.

Heute wird ausschliesslich der Enterprise-Plan angeboten, individuell bepreist, mit On-Premise-Bereitstellung via Docker Compose. Drei zusätzliche Stufen sind für den Start des Cloud SaaS geplant: Starter (kostenlos, 5 Untersuchungen pro Monat für einen einzelnen Benutzer), Professional (CHF 249 pro Monat, 50 Untersuchungen pro Monat) und Team (CHF 749 pro Monat, 200 Untersuchungen pro Monat, bis zu 5 Benutzer). Beim Start werden Preise in CHF exakt abgerechnet; andere auf der Preisseite angezeigte Währungen werden Schätzungen basierend auf dem Wechselkurs sein.

On-Premise ist heute verfügbar; Cloud SaaS ist Teil der Roadmap. Die On-Premise-Bereitstellung via Docker Compose führt den vollständigen Stack in der Kundenumgebung aus und unterstützt Air-Gapped- oder No-Egress-Netzsegmente. On-Premise ist im Enterprise-Plan enthalten. Cloud SaaS wird, sobald es startet, von NNSFlow betrieben und auf dedizierten Bare-Metal-Servern im OVH-Rechenzentrum in Roubaix (Frankreich) gehostet (EU-Jurisdiktion, DSGVO-orientiert, keine geteilte Multi-Tenant-Rechenleistung).

Aktuell nicht. Unabhängige Zertifizierungen stehen auf der Roadmap. Bis dahin werden Sicherheitsarchitektur und Kontrollen dokumentiert und mit potenziellen Kunden während der Beschaffung im Einzelfall geprüft. Das Produkt ist um die technischen Kontrollen herum gebaut, die Schweizer Compliance-Prüfungen hervorheben: manipulationssichere Evidenz, Aufbewahrungsdurchsetzung, rollenbasierte Zugriffskontrolle und Audit-Logging.

On-Premise ist heute der einzige verfügbare Bereitstellungsmodus: Kundendaten verbleiben in der eigenen Infrastruktur des Kunden und verlassen das Kundennetzwerk niemals. Sobald Cloud SaaS startet, werden alle Kundendaten auf dedizierten Bare-Metal-Servern im OVH-Rechenzentrum in Roubaix (Frankreich) gespeichert. Die geplante Infrastruktur ist Single-Tenant, EU-Jurisdiktion und DSGVO-orientiert.

Die Marketing-Website und die Produktoberfläche sind in Englisch, Französisch und Deutsch verfügbar. Dokumentation und der technische sowie Compliance-Blog sind derzeit nur auf Englisch verfügbar, bewusst gewählt. Eine Übersetzung regulatorischer Inhalte mit subtilen Fehlern würde der Glaubwürdigkeit mehr schaden als das Fehlen der Übersetzung.

Abgeschlossene Untersuchungen, Evidenz-Snapshots und Audit-Logs werden 10 Jahre ab dem Entscheidungsdatum aufbewahrt, entsprechend den Schweizer AML-Dokumentationsanforderungen. Abgebrochene Untersuchungen (Entwürfe, die nie abgeschlossen wurden) werden nach 90 Tagen automatisch gelöscht. Beide Zeiträume sind für Enterprise-Bereitstellungen konfigurierbar. Jeder Löschvorgang wird im Audit-Log mit Zeitstempel, Akteur und Autorisierungskontext erfasst.

NNSFlow integriert sich mit OpenSanctions (über einen Yente-Sidecar abgefragt) für Sanktions- und Screenings politisch exponierter Personen. Die Integration ist ab dem Professional-Plan verfügbar. Dieselbe Architektur unterstützt alternative Anbieter (LSEG World-Check, Factiva und andere). OpenSanctions ist die Standardeinstellung, da es offene Daten sind, regulatorenfreundlich und ohne proprietäre Lizenzbeschränkungen.

TLS 1.2 und 1.3 bei der Übertragung, mit ECDHE- und AES-GCM-Cipher-Suites am Reverse Proxy. AES-256-GCM bei der Speicherung für Anmeldedaten von Drittintegrationen (Sanktionsanbieter-Schlüssel, Such-API-Schlüssel und andere). SHA-256-Hashing jedes Evidenz-Snapshots zum Erfassungszeitpunkt, was später kryptographisch nachweist, dass die Evidenz nicht verändert wurde.

NNSFlow ist um das Schweizer GwG, die GwV-FINMA und die zugehörigen FINMA-Rundschreiben gebaut, das Schweizer nDSG (neues Datenschutzgesetz) und Artikel 6 der DSGVO (rechtliche Verpflichtung und berechtigtes Interesse als Rechtsgrundlagen). Die Designprioritäten sind dokumentarische Nachvollziehbarkeit und die Fähigkeit, exakt zu rekonstruieren, welche Evidenz zum Entscheidungszeitpunkt geprüft wurde, was die Kontrollen sind, die Schweizer Compliance-Prüfungen hervorheben.