UpCloud

Customer Data stays in chosen EU DC; DPA integrated into ToS; non-EU ops staff technically prevented from accessing Customer Data; SCCs for international transfers. CISPE Code of Conduct adherent. Finnish-owned, GDPR-compliant.

DPA in ToS covers 'Relevant Personal Data'; customer DB on UpCloud's EU servers; non-EU ops staff technically prevented from accessing Customer Data. Billing/telemetry metadata routing not individually documented.

N/A (keine separate, physisch/logisch getrennte Sovereign-Cloud-Instanz nachweisbar).

Betrieb & Orchestrierung aus Europa (24/7/365) (stated).

Teilweise/unklar (globaler Footprint; EU Access Mgmt Policy für EU-DCs) (stated).

EU-owned (Finnland) (stated).

Ultimate Parent: UpCloud Oy (FI/EU). Kein US-Parent; Risiko extraterritorialer US-Zugriffspflichten deutlich geringer.

All customers contracted by UpCloud Oy (Finland, HQ Helsinki). DPA integrated into ToS with subprocessor list. CISPE Code of Conduct. EU Data Act disclosure confirms single Finnish entity for all customers globally. No US parent entity.

Kein unabhängiges Advisory Board dokumentiert. Finnisches Unternehmen.

Keine spezifische Dokumentation zu EU Root CA / Trust Services.

Finnisches Unternehmen. BSI C5 wird nicht adressiert.

ISO 27001 zertifiziertes ISMS (stated).

Finnisches Unternehmen. IT-Grundschutz wird nicht adressiert.

N/A

REST API + Terraform Provider (verified) + CLI (upctl) (stated).

IaaS: Cloud Servers (6 plan families incl. GPU), Managed K8s (UKS), Managed Databases (MySQL/PostgreSQL/Redis/Valkey), Object Storage (S3-compat), Block Storage, File Storage (NFS, new), Load Balancer, SDN Private Networks. No native PaaS/SaaS/AI services.

8 EU-DCs (u.a. FI, DE, NL, ES, PL, SE, DK) + weitere Regionen (stated).

ISO 27001 + standortbezogene DC-Zertifizierungen (u.a. SOC/PCI je Standort) (stated).

Permissions/Subaccounts + Object Storage User Access Policies dokumentiert; keine umfassenden Org-Guardrails belegt (partial).

Firewall Default Rule konfigurierbar; Best Practice: default 'drop' (secure-by-default via Konfiguration, Default unklar).

ISO/ISMS vorhanden (periodisch); keine Continuous/maschinenlesbare Verification öffentlich belegt.

In-house entwickelte Software reduziert Angriffsfläche. Privilegierter OS-Zugriff deaktiviert. ISO 27001. Aber: Ops/CP begrenzt transparent.

EU Access Management Policy (privileged access nur EU-MA für EU-DCs) (stated).

Official OpenTofu/Terraform provider (v5+, 50+ resources). Native SDKs (Go, Python, PHP). Ansible collection, Pulumi provider, Packer plugin, upctl CLI. Full REST API v1.3. All open-source.

Managed K8s; Terraform. Registry/Secret-Manager als Managed Service nicht nachgewiesen.

Monitoring/Health für Services (stated); Logs/Traces als Plattform-Service nicht belegt.

Fair Transfer Policy with zero-cost egress; per-plan transfer quotas published. Per-product docs (servers, storage, network) detail configurations & limits. Free trial limits documented. API for usage monitoring. Quota increases via support.

GitHub repos: sample-uks-microservices (HCL, Jan 2026), sample-uks-web-app-demo (WordPress+MySQL+UKS), uks-instructions (K8s examples). Open-source data platform tutorial (Trino/Lakekeeper/OPA on UKS).

Energieeffizienzmaßnahmen beschrieben, aber keine PUE-KPIs/Targets veröffentlicht. (Quelle: UpCloud ESG Program)

Commitment zu Carbon Footprint (Scope 1–3) und erneuerbaren Energien beschrieben, aber ohne öffentliche KPIs/Report in Quelle. (Quelle: UpCloud ESG Program)