TISAX-konformes Livestreaming. In Ihrer Compliance-Zone.
TISAX-compliant livestreaming. Inside your compliance zone.
Unveröffentlichte Modelle, vertrauliche Kampagnen, Footage aus dem Windkanal: Automotive-Inhalte verlassen das Haus nur über eine Pipeline, die den Anforderungen der Auftraggeber standhält. dfine.io streamt live mit Sub-1-Sekunde-Latenz bis UHD, wahlweise auf TISAX-geprüfter Infrastruktur in Frankfurt oder On-Premises auf Ihrer eigenen Hardware.
Unreleased models, confidential campaigns, wind-tunnel footage: automotive content only leaves the building through a pipeline that holds up to OEM requirements. dfine.io streams live with sub-1-second latency up to UHD, either on TISAX-assessed infrastructure in Frankfurt or on-premises on your own hardware.
TISAX-geprüfte Infrastruktur · FrankfurtOn-Premises möglichSub-1s · bis UHD
TISAX-assessed infrastructure · FrankfurtOn-premises availableSub-1s · up to UHD
Streaming-Option auf TISAX-geprüfter Infrastruktur (ENX-Label)Streaming option on TISAX-assessed infrastructure (ENX label)
Weg 1 · Ohne eigenes BlechPath 1 · No hardware of your own
Dedizierte Private Cloud, TISAX-geprüft
Dedicated private cloud, TISAX-assessed
Streaming Classic, gebucht auf Googles TISAX-geprüfter Infrastruktur in Frankfurt.Streaming Classic, booked on Google's TISAX-assessed infrastructure in Frankfurt.
Sub-1-Sekunde-Latenz, RTMPS optimiert, bis UHD.Sub-1-second latency, RTMPS optimized, up to UHD.
Geschützte Viewer-Links: Zugangscode- oder Passwortschutz, optional vertraulicher Login mit IP-Bindung.Protected viewer links: access-code or password protection, optional confidential login with IP binding.
Startklar in Tagen, nicht Monaten. Abrechnung in Euro.Ready in days, not months. Billed in euros.
Weg 2 · Maximale KontrollePath 2 · Maximum control
On-Premises auf Ihrer Hardware
On-premises on your hardware
Der Streaming-Server läuft in Ihrer Compliance-Zone, installiert und betreut von dfine.io.The streaming server runs inside your compliance zone, installed and managed by dfine.io.
Eigene Dienstleister gezielt freischalten: die gesamte Pipeline bleibt lückenlos nachvollziehbar.Grant access to your own vendors selectively: the entire pipeline stays fully traceable.
Kein Content verlässt Ihre Infrastruktur, Region-pinned.No content leaves your infrastructure, region-pinned.
Persönlicher Support vom Anbieter aus Berlin.Personal support from the Berlin-based vendor.
Was TISAX verlangt, und warum es Streaming betrifft.
What TISAX requires, and why it affects streaming.
TISAX (Trusted Information Security Assessment Exchange) ist der Prüfstandard der Automobilindustrie für Informationssicherheit, betrieben von der ENX Association auf Basis des VDA-ISA-Katalogs. Formal ist TISAX keine Zertifizierung, sondern ein Assessment mit Labels, die über die ENX-Plattform geteilt werden. OEMs und Zulieferer verlangen sie von Dienstleistern, sobald vertrauliche Inhalte verarbeitet werden, und ein Livestream mit einem unveröffentlichten Fahrzeug ist genau das. Wer hier mit generischen Streaming-Diensten arbeitet, fällt bei der Lieferantenprüfung durch. dfine.io bietet deshalb beide Wege: TISAX-geprüfte Infrastruktur oder Ihre eigene.
TISAX (Trusted Information Security Assessment Exchange) is the automotive industry's information security assessment standard, operated by the ENX Association and based on the VDA ISA catalogue. Formally, TISAX is not a certification but an assessment with labels, shared via the ENX platform. OEMs and suppliers require them from service providers as soon as confidential content is processed, and a livestream showing an unreleased vehicle is exactly that. Generic streaming services fail this supplier assessment. That's why dfine.io offers both routes: TISAX-assessed infrastructure or your own.
Die PipelineThe pipeline
Vom Set bis zur Abnahme, ohne Umweg.
From set to sign-off, no detours.
01 · INGEST
OBS oder Hardware-Encoder
OBS or hardware encoder
Signal direkt aus der Suite oder vom Set, RTMPS-verschlüsselt in die private Umgebung.
Signal straight from the suite or the set, RTMPS-encrypted into the private environment.
02 · PRIVATE VERARBEITUNG
Dedizierte Kapazität
Dedicated capacity
Kein Shared-Setup: Ihre Streams laufen auf dedizierter Kapazität, TISAX-geprüft oder on-premises.
No shared setup: your streams run on dedicated capacity, TISAX-assessed or on-premises.
03 · ABNAHME
Geschützte Viewer
Protected viewers
Zugangscode- oder passwortgeschützte Links im Browser, parallel farbecht auf dem Referenzmonitor via SDI/HDMI.
Access-code- or password-protected links in the browser, in parallel color-accurate on the reference monitor via SDI/HDMI.
SicherheitsarchitekturSecurity architecture
Die geteilte TISAX-Instanz im Detail.
The shared TISAX instance in detail.
Transparenz vorab, bevor Ihr Informationssicherheits-Team fragt: so ist die Private-Shared-Cloud-Variante aufgebaut. Bei On-Premises stellen sich die meisten dieser Punkte nicht, dort läuft alles auf Ihrer Hardware.
Transparency up front, before your information security team asks: this is how the private shared cloud variant is built. With on-premises most of these points don't arise, everything runs on your hardware.
Speichert der Streaming-Server Videodaten?Does the streaming server store video data?
Nein. Streaming ist bei uns eine reine Echtzeit-Durchleitung vom Ingest zur Ausspielung. Aufzeichnung und Cloud-Storage-Upload sind serverseitig deaktiviert; auf der Instanz existieren keine Video-Dateien und keine Buckets. Was bleibt, sind Metadaten wie Zeiten und Dauer, und die liegen nicht auf der Streaming-Instanz, sondern containerisiert in unserer zentralen Datenbank auf Hetzner in Nürnberg, nicht öffentlich erreichbar und anwendungsseitig zugriffskontrolliert.
No. Streaming here is pure real-time passthrough from ingest to playout. Recording and cloud storage upload are disabled server-side; no video files and no buckets exist on the instance. What remains is metadata such as times and duration, and that lives not on the streaming instance but containerized in our central database on Hetzner in Nuremberg, not publicly reachable and protected by application-level access controls.
Was teilen sich Kunden auf der Instanz, und was nicht?What do customers share on the instance, and what not?
Geteilt wird die Rechenleistung einer dedizierten, TISAX-konformen Compute-Instanz auf Google Cloud (europe-west3, Frankfurt), strikt getrennt von unserer regulären Infrastruktur auf Hetzner in Nürnberg. Nicht geteilt wird Storage, denn Videodaten werden gar nicht persistiert. Wer auch die Rechenleistung exklusiv braucht, bekommt eine dediziert fokussierte Engine oder betreibt den Server on-premises.
What is shared is the compute of a dedicated, TISAX-compliant instance on Google Cloud (europe-west3, Frankfurt), strictly separated from our regular infrastructure on Hetzner in Nuremberg. What is not shared is storage, because video data is never persisted. If you need exclusive compute as well, you get a dedicated-focus engine or run the server on-premises.
Wie bleibt jeder Stream bei seinem Kunden?How does each stream stay with its customer?
Über eindeutige Zugangs-Tokens je Kunde, die der Server bei jedem Verbindungsaufbau erneut prüft (Round-Trip-Authentifizierung). Die Ausspielung ist ebenso pro Stream geschützt: Zuschauer kommen nur per Zugangscode oder vertraulichem Login hinein. Metadaten hängen an organisationsgebundenen Datensätzen mit anwendungsseitigen Zugriffskontrollen, und der Datenbank-Port ist nicht öffentlich erreichbar. Da kein Video-Storage existiert, gibt es strukturell keinen gemeinsamen Speicher, über den Inhalte von einem Kunden zum anderen gelangen könnten.
Through unique per-customer access tokens that the server re-validates on every connection attempt (round-trip authentication). Playout is protected per stream as well: viewers only get in via access code or confidential login. Metadata is tied to organization-bound records with application-level access controls, and the database port is not publicly reachable. Since no video storage exists, there is structurally no shared storage through which content could travel from one customer to another.
Und der Weg dazwischen, ist der Transport abgesichert?And the path in between, is transport secured?
Durchgängig verschlüsselt: RTMPS beim Ingest, WebRTC bei der Ausspielung. Wiederholte Fehlversuche gegen die Stream-Authentifizierung erkennt die Infrastruktur automatisch und blockiert die Quelle.
Encrypted end to end: RTMPS on ingest, WebRTC on playout. The infrastructure automatically detects repeated failed attempts against stream authentication and blocks the source.
Die Instanz läuft auf Google Cloud, greift dann nicht der US CLOUD Act?The instance runs on Google Cloud, doesn't the US CLOUD Act apply?
Ja, Google ist ein US-Anbieter, und das verschweigen wir nicht. Der Server selbst steht allerdings nachweislich in Deutschland: die Instanz läuft in der Google-Cloud-Region europe-west3 in Frankfurt, der Standort ist dokumentiert und belegbar. Entscheidend ist zudem, was dort liegt: keine Videodaten, denn die Instanz leitet das Signal nur in Echtzeit durch und speichert nichts. Die Metadaten liegen bei Hetzner, einem deutschen Anbieter, mit der dfine.io GmbH als Vertragspartner. Wer auch das Restrisiko der Durchleitung ausschließen will, betreibt den Server on-premises, dann verlässt das Signal Ihre Infrastruktur gar nicht erst.
Yes, Google is a US provider, and we don't hide that. The server itself, however, verifiably sits in Germany: the instance runs in Google Cloud region europe-west3 in Frankfurt, and that location is documented and provable. What matters beyond that is what resides there: no video data, because the instance only passes the signal through in real time and stores nothing. Metadata lives with Hetzner, a German provider, with dfine.io GmbH as your contract partner. If you want to rule out even the passthrough residual risk, run the server on-premises, then the signal never leaves your infrastructure in the first place.
Welche Subdienstleister sind beteiligt?Which sub-processors are involved?
Alle Auftragsverarbeiter sind öffentlich dokumentiert, mit verlinkten Auftragsverarbeitungsverträgen (AVV nach Art. 28 DSGVO), in unserer Trust-&-Compliance-Übersicht. Keine versteckten Ketten: was dort steht, ist die vollständige Liste.
All processors are publicly documented, with linked data processing agreements (DPA per Art. 28 GDPR), in our Trust & Compliance overview. No hidden chains: what's listed there is the complete list.
Wird der Betrieb aktiv überwacht?Is the operation actively monitored?
Ja, aber auf Betriebsebene, nicht inhaltlich: Überwacht werden technische Metriken wie Bitrate, Laufzeit und Verbindungsstatus, darüber setzen wir Plan-Limits serverseitig durch. In den Stream selbst schaut dabei niemand hinein, das Signal wird durchgeleitet, nicht mitgesehen. Fehler- und Audit-Logs laufen EU-seitig zusammen. Und wenn etwas klemmt, erreichen Sie keine Ticket-Schleife, sondern uns direkt.
Yes, at the operational level, not the content level: what's monitored are technical metrics such as bitrate, runtime and connection status, which is how plan limits are enforced server-side. Nobody looks into the stream itself, the signal is passed through, not watched. Error and audit logs are aggregated EU-side. And if something jams, you don't reach a ticket loop, you reach us directly.
Wie werden Sicherheitsupdates eingespielt?How are security updates applied?
CVE-getrieben statt nach starrem Kalender: sobald für eingesetzte Komponenten neue Schwachstellen bekannt werden, spielen wir die Updates ein. Wartungsfenster liegen grundsätzlich nachts, damit laufende Produktionen nicht gestört werden. Zertifikate erneuern sich automatisiert.
CVE-driven rather than on a fixed calendar: as soon as new vulnerabilities become known for the components in use, we apply the updates. Maintenance windows are always at night so running productions are not disturbed. Certificates renew automatically.
Wie lange werden Metadaten aufbewahrt?How long is metadata retained?
Session-Metadaten (Zeiten, Dauer) werden nach 12 Monaten automatisiert gelöscht, über einen monatlichen Bereinigungs-Job. Videoinhalte werden ohnehin nie gespeichert.
Session metadata (times, duration) is deleted automatically after 12 months by a monthly pruning job. Video content is never stored in the first place.
Lässt sich der Arbeitsspeicher der Instanz verschlüsseln?Can the instance's memory be encrypted?
Auf dediziert fokussierten Engines ja: Confidential Computing verschlüsselt den RAM der VM mit einem hardware-generierten Schlüssel (AMD SEV/SEV-SNP bzw. Intel TDX), auf den weder Cloud-Anbieter noch Hypervisor noch Nachbar-VMs Zugriff haben. Das schützt gegen kompromittierte Hypervisoren und Insider-Zugriffe. Der Overhead ist bei rechenlastigen Workloads gering, bei netzwerkintensiven Streaming-Workloads spürbar höher, deshalb ist es auf der geteilten Variante standardmäßig nicht aktiv.
On dedicated-focus engines, yes: confidential computing encrypts the VM's RAM with a hardware-generated key (AMD SEV/SEV-SNP or Intel TDX) that neither the cloud provider nor the hypervisor nor neighboring VMs can access. It protects against compromised hypervisors and insider access. The overhead is small for compute-bound workloads and noticeably higher for network-heavy streaming workloads, which is why it is not active on the shared variant by default.
Sprechen wir über Ihr Setup.
Let's talk about your setup.
Wir antworten persönlich und sagen ehrlich, ob wir helfen können.
We reply personally and tell you honestly whether we can help.