Scaleway

Provider-spezifische Quellen (Sources) aus der aktuellen Datenbasis. Nutze den Compass für Scoring, Gewichtung und A/B-Vergleich.

Im Compass vergleichen

Provider Snapshot

Kriterium	Score
Kundeninhalte in der EU	4.0
Kundenerstellte Metadaten in der EU	3.0
Physisch & logisch getrennt	1.0
EU-basierter Betrieb & Support	3.0
Keine kritischen Non-EU Abhängigkeiten	4.0
Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft)	5.0
Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz)	5.0
Lokale Vertragseinheit & EU-Governance (Betriebsmodell)	4.0
Unabhängiges Beratungsgremium	0.0
EU-Stammzertifizierungsstelle / Vertrauensdienste	1.0
BSI C5	0.0
ISO 27001 / ISMS	4.0
IT-Grundschutz (BSI)	0.0
SecNumCloud (ANSSI)	2.0
Offene Standards / API-Portabilität	4.0
Dienstportfolio-Tiefe	4.5
Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE)	4.0
Prüfberichte / Nachweispaket	4.0
Richtliniendurchsetzung (Leitplanken)	2.0
Standardmäßig verweigert / Sicher ab Werk	1.0
Unabhängige Überprüfung (kontinuierlich)	2.0
Blackbox-Risiko (Betriebs-/Steuerungsebene)	2.0
Ausschluss von Betreiberzugriff (Workload-Umfang)	0.0
IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs)	4.0
SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s)	4.0
Beobachtbarkeit (Logs/Metriken/Traces, Alerting)	4.0
Limits/Quotas (Transparenz & Erhöhung)	2.0
Referenzarchitekturen / Landing Zones	2.0
Integrierter Sicherheits-Stack	3.8
Energieeffizienz / PUE & Zielwerte	5.0
CO₂-/Wasser-Reporting + erneuerbare Energiequellen	5.0

Scope: Cloud Suite (IaaS+PaaS)

Kundeninhalte in der EU: 4.0; Kundenerstellte Metadaten in der EU: 3.0; Physisch & logisch getrennt: 1.0; EU-basierter Betrieb & Support: 3.0; Keine kritischen Non-EU Abhängigkeiten: 4.0; Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft): 5.0; Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz): 5.0; Lokale Vertragseinheit & EU-Governance (Betriebsmodell): 4.0; Unabhängiges Beratungsgremium: 0.0; EU-Stammzertifizierungsstelle / Vertrauensdienste: 1.0; BSI C5: 0.0; ISO 27001 / ISMS: 4.0; IT-Grundschutz (BSI): 0.0; SecNumCloud (ANSSI): 2.0; Offene Standards / API-Portabilität: 4.0; Dienstportfolio-Tiefe: 4.5; Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE): 4.0; Prüfberichte / Nachweispaket: 4.0; Richtliniendurchsetzung (Leitplanken): 2.0; Standardmäßig verweigert / Sicher ab Werk: 1.0; Unabhängige Überprüfung (kontinuierlich): 2.0; Blackbox-Risiko (Betriebs-/Steuerungsebene): 2.0; Ausschluss von Betreiberzugriff (Workload-Umfang): 0.0; IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs): 4.0; SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s): 4.0; Beobachtbarkeit (Logs/Metriken/Traces, Alerting): 4.0; Limits/Quotas (Transparenz & Erhöhung): 2.0; Referenzarchitekturen / Landing Zones: 2.0; Integrierter Sicherheits-Stack: 3.8; Energieeffizienz / PUE & Zielwerte: 5.0; CO₂-/Wasser-Reporting + erneuerbare Energiequellen: 5.0

Sources / Evidence

Kundeninhalte in der EU

Europäischer Anbieter; Datenzentren/Services in Europa (stated).

Kundenerstellte Metadaten in der EU

Französisches Unternehmen (Paris). RZ in Frankreich. ISO 27001:2022. SecNumCloud in Progress (ANSSI, Jan 2025).

Physisch & logisch getrennt

Keine separate 'Sovereign Realm'-Architektur belegt; Standard-Tenant-Isolation/Projekttrennung → TBD (Scope).

EU-basierter Betrieb & Support

France-based in-house technical support teams (24/7) (stated); EU-only Privileged Access/Break-glass nicht öffentlich belegt.

Keine kritischen Non-EU Abhängigkeiten

Französisches Unternehmen (Iliad-Gruppe). Eigene RZ in FR. SecNumCloud-Qualifizierung in Progress.

Eigentümerstruktur / Muttergesellschaft (EU-Inhaberschaft)

Scaleway (FR) – Teil der Iliad Group (FR) (stated).

Beherrschender Einfluss & FISA-702-Risiko (Jurisdiktion ≠ Datenresidenz)

Scaleway (FR/EU), Teil der Iliad Group (FR/EU). Kein US-Parent; Risiko extraterritorialer US-Zugriffspflichten deutlich geringer.

Lokale Vertragseinheit & EU-Governance (Betriebsmodell)

Contracting entity: Scaleway SAS (FR); Governance nach EU/FR Recht (stated).

Unabhängiges Beratungsgremium

Kein unabhängiges Advisory Board dokumentiert.

EU-Stammzertifizierungsstelle / Vertrauensdienste

KMS (Key Manager) GA. Secret Manager verfügbar. Aber: Root CA / Trust Services nicht spezifisch dokumentiert.

BSI C5

Kein BSI‑C5 öffentlich gelistet (Compliance-/Zertifikate-Seite).

ISO 27001 / ISMS

ISO/IEC 27001:2022 (Download auf Security/Resilience-Seite) (stated).

IT-Grundschutz (BSI)

Kein IT‑Grundschutz-Zertifikat öffentlich gelistet (Stand: Recherche über Compliance-/Zertifikate-Seite).

SecNumCloud (ANSSI)

Eintritt in SecNumCloud-Qualifikationsprozess (Jan 2025) (stated).

Offene Standards / API-Portabilität

S3-kompatibles Object Storage + Terraform Provider (stated).

Dienstportfolio-Tiefe

Breites Public-Cloud-Portfolio (IaaS+ viele Managed/PaaS-Services) (stated).

Geografische Abdeckung & Redundanz (Regionen/AZ/RZ in EU/DE)

Mehrere europäische Regionen/Standorte – Redundanz je Setup/Region (stated).

Prüfberichte / Nachweispaket

ISO-Zertifikat als Download verfügbar; weitere Compliance-Infos auf Security/Resilience-Seite (stated).

Richtliniendurchsetzung (Leitplanken)

IAM Policies (Org/Project Scope) inkl. Conditions dokumentiert; Guardrails primär über IAM/Org-Struktur (partial).

Standardmäßig verweigert / Sicher ab Werk

Default nicht 'deny': Security Baseline nennt Default-SG mit inbound 'allow all'; kann via Security Group Policies restriktiv gesetzt werden.

Unabhängige Überprüfung (kontinuierlich)

Regelmäßige externe Audits über Zertifizierungen (ISO/HDS etc.) belegt; keine Continuous/maschinenlesbare Verification öffentlich belegt.

Blackbox-Risiko (Betriebs-/Steuerungsebene)

Audit Trail (IAM/Project Events) dokumentiert; Logs exportierbar. Transparenz zu Support-/Privileged-Access-Aktionen nicht vollständig öffentlich.

Ausschluss von Betreiberzugriff (Workload-Umfang)

Kein Confidential Computing-Angebot dokumentiert.

IaC & Automatisierung (Terraform/OpenTofu, SDKs, APIs)

Terraform Provider + API/CLI (stated).

SDLC/DevOps im Alltag (CI/CD, Registry, Secrets, K8s)

Breite DevOps/Security-Services (Container Registry, Secret Manager, IAM) + K8s/Serverless (stated).

Beobachtbarkeit (Logs/Metriken/Traces, Alerting)

Managed Observability (Cockpit) + Logs/Metrics/Traces Angebote (stated).

Limits/Quotas (Transparenz & Erhöhung)

Organization‑Quotas dokumentiert (per Org); Erhöhung via Account‑Level/Verifikation bzw. Support möglich (partial).

Referenzarchitekturen / Landing Zones

TBD.

Energieeffizienz / PUE & Zielwerte

Veröffentlicht PUE/WUE je Datacenter + Durchschnitt; 2024 avg PUE 1.37, DC-KPIs inkl. 100% Wind/Hydro (GO). (Quelle: Scaleway Environmental Leadership)

CO₂-/Wasser-Reporting + erneuerbare Energiequellen

ESG-Transparenz inkl. Scope 1–3, PUE/WUE, 100% Wind/Hydro (GO) und Environmental Impact Calculator (Carbon+Water). (Quelle: Scaleway Environmental Leadership)

Service catalog (core/security)

Expand to load the service catalog …