Leistungen
YuSMP Group entwickelt individuelle Enterprise-Plattformen für Mittelstands- und Fortune-1000-Unternehmen — regulierte Workloads, systemübergreifende Integrationen zwischen ERP, CRM und IDP sowie Engagements ab 250.000 EUR. DSGVO-, SOC 2 Type II (in Vorbereitung) und ISO-27001-Kontrollen sind vor dem Projektstart festgelegt, und jedes Engagement wird mit einem benannten Projektverantwortlichen und einem Executive Steering Committee auf beiden Seiten geführt. Ausschließlich Senior-Entwickler, Lieferung aus Jerewan, MEZ-Arbeitszeiten.
Enterprise-Software hat eine andere Qualität als ein Startup-MVP. Die Plattformen, die wir für Mittelstands- und Großunternehmen entwickeln, laufen drei bis fünf Jahre und länger, verarbeiten regulierte Daten (Finanzen, Gesundheit, Energie, öffentliche Verwaltung) und existieren in einem Integrationsdschungel — ERP, CRM, IDP, Data Lake, Dutzende interner Systeme — mit hohen SLA- und Verfügbarkeitsanforderungen. Wir besetzen Senior-Entwickler, einen benannten Solution Architect und einen dedizierten Security Lead, arbeiten innerhalb Ihres Governance-Modells statt daran vorbei und liefern von Tag eins nach Compliance-Audit-Standards. DSGVO-konform, ISO-27001-bereit, SOC 2 Type II in Vorbereitung, HIPAA-fähig, PCI DSS auf Anfrage. Praxisbeispiel in unserer REHAU-Fallstudie.
Ein Solution Architect ist ab Tag eins dabei, verantwortet das C4-Modell und das ADR-Log und führt einen expliziten Threat-Modelling-Durchgang durch, bevor eine Zeile Produktionscode geschrieben wird. Keine überraschenden Rewrites in Monat neun.
SAP S/4HANA, Oracle EBS, Salesforce, Workday, ServiceNow, Okta, Active Directory / Entra ID, MuleSoft, Boomi. Wir respektieren Ihre Freeze-Windows, iPaaS-Standards und Datenverträge.
DSGVO-konform, SOC 2 Type II in Vorbereitung, HIPAA-fähig, PCI DSS auf Anfrage, ISO-27001-bereit. Nachweise fließen direkt in die Arbeitsdokumente Ihres Prüfers, ohne den Release-Train zu verlangsamen.
Definierte RTO- und RPO-Ziele, mehrregionale Active-Active- oder Active-Passive-Deployments, vierteljährlich getestete DR-Runbooks, 24/7-On-Call mit dokumentierten Schweregraden und Post-Incident-Reviews.
Formales Change Management, Funktionstrennung zwischen Entwicklern und Genehmigern, signierte Commits, Dual-Approval-Produktions-Deployments und nachverfolgbare Genehmigungen vom Jira-Ticket bis zum Artefakt-Hash.
Standard-MSA, schriftliche SLAs, DSGVO-DPA, BAA auf Anfrage, ausgefüllte CAIQ- und SIG-Lite-Fragebögen, Subauftragnehmer-Register, Berufshaftpflicht- und Cyber-Versicherung — alles, was Ihr Vendor-Risk-Team fordert.
Sechs- bis achtwöchiger Architektur-Durchgang: C4-Modell, Integrationskarte, Threat-Model, Compliance-Gap-Analyse gegen Ihren SOC-2-, ISO-27001-, HIPAA- oder PCI-DSS-Scope und ein schriftlicher Lieferplan, der vom Steering Committee freigegeben wird.
CI/CD-Pipelines, Security-Baseline (SAST, SCA, Container- und IaC-Scans), Umgebungen (Dev, Stage, Pre-Prod, Prod), Secrets-Management in Vault, Observability mit Datadog oder Splunk, Runbooks vor dem Start der Feature-Arbeit.
Vierteljährliche Release-Trains, obligatorisches Code-Review mit Funktionstrennung, Change Management abgestimmt auf Ihr CAB, Freeze-Window-Disziplin und Audit-Nachweise als Nebenprodukt normaler Lieferung statt als Feuerwehreinsatz.
SRE-Squad, 24/7-On-Call, vierteljährliche DR-Tests, Kapazitätsplanung abgestimmt auf Ihre Geschäftsprognose, Unterstützung bei externen Audits und ein Feature-Stream, der weiter liefert, während die Plattform verfügbar bleibt.
Für definierte Module mit harten regulatorischen Fristen — SOX-Modul, PCI-DSS-Scope-Dienst, DSGVO-Betroffenenportal — mit Audit-Gates und meilensteinbasierter Abrechnung.
Standardmodell für Enterprise-Build-Phasen. Monatliche Abrechnung nach Rolle und Senioritätsstufe, transparente Zeitnachweise, vollständige Sichtbarkeit auf Kapazität und Ergebnisse durch vierteljährliche Business Reviews.
Langfristiger Plattform-Squad mit einem eingebetteten Engineering Manager, Solution Architect und Security Lead. Das Team, das Sie in Monat eins einarbeiten, ist das Team, das Sie in Jahr drei haben.
B2B-E-Commerce und Produktkonfigurator für einen globalen Polymerhersteller mit mehrregionaler Preisgestaltung, Lagerhaltung und Händler-Workflows.
Einheitlicher Krypto-Ökosystem-Hub, der mehrere Token bündelt — Live-Börsendaten, Suche, Charts, direkter Kaufeinstieg.
Offline-First-Ökosystem, das Papierjournale für die Reaktor-Prozesskontrolle ersetzt — Android, Admin und Controller-Dashboard.
DSGVO-konform · ISO-27001-bereit · SOC 2 Type II in Vorbereitung · HIPAA-fähig · PCI DSS auf Anfrage · CCPA-berücksichtigt
Nachweis-Pakete, Kontroll-Mappings und Audit-Unterstützung sind Teil des Engagements, keine Nachgedanken. Wir haben Prüfer gemeinsam mit Client-Security-Teams durch SOC-2- und ISO-27001-Reviews geführt.
Jedes Enterprise-Engagement beginnt mit einem benannten Solution Architect, einem expliziten C4-Modell, ADR-Log und Threat-Model. Entscheidungen werden schriftlich festgehalten und vom Steering Committee überprüft, bevor die Build-Phase beginnt.
Liefergesellschaft in Armenien, EU-Datenhaltung, US-Optionen auf Anfrage, MEZ-Arbeitstag mit garantierter Überlappung 9–13 Uhr ET für US-Ostküsten-Steering-Meetings und Incident Response.
Für Zahlungs-, Kredit- und Healthcare-Plattformen arbeiten wir innerhalb des PCI-DSS- und HIPAA-Scope und stimmen uns direkt mit Ihrem QSA, Security Officer oder externen Prüfer zu Zugang, Protokollierung, Funktionstrennung und minimalem Datenzugriff ab.
Ja. Wir unterzeichnen als Standard Master Services Agreements mit US- und EU-Einkaufsteams, einschließlich DPAs nach DSGVO Artikel 28, BAAs auf Anfrage für HIPAA-Workloads und Standardvertragsklauseln für grenzüberschreitende Daten. Wir schließen Lieferantensicherheitsbewertungen ab (CAIQ, SIG Lite, individuelle Fragebögen), stellen Nachweis-Pakete für ISO-27001-Kontrollen bereit und akzeptieren unternehmensspezifische Klauseln zu IP-Abtretung, Prüfungsrechten, Subauftragnehmer-Genehmigung, Versicherung und Kündigung. Durchschnittlicher Rechtsabschluss für ein Fortune-1000-MSA: vier bis sechs Wochen.
DSGVO-konform in der gesamten Lieferung: EU-Datenhaltung, benannter DSB-Kontakt, schriftliche SLAs für Meldepflichten bei Datenschutzverletzungen. ISO-27001-bereit mit einem internen ISMS, Asset-Register, Zugriffsüberprüfungen und vierteljährlicher Risikobewertung. SOC 2 Type II befindet sich mit einem Big-Four-Prüfer in Vorbereitung. Für Ihr Engagement ordnen wir Kontrollen eins zu eins Ihrem eigenen SOC-2- oder ISO-Scope zu, betreiben Entwickler auf verwalteten Endgeräten mit SSO, MFA, verschlüsselten Festplatten und isolierten Repositories und liefern Nachweise direkt in Ihre Audit-Arbeitsdokumente.
Wir setzen Integrationsentwickler ein, die Lieferungen an SAP S/4HANA (OData, IDoc, BAPI), Salesforce (Apex, Platform Events, Connect), Workday (RaaS, REST), Okta (SCIM, SAML, OAuth2) und Active Directory / Entra ID abgeschlossen haben. Das Standardmuster ist eine ereignisgesteuerte Integrationsschicht (Kafka oder RabbitMQ) mit idempotenten Consumern, Schema-Registry und einer dedizierten Integrations-Testsuite, die gegen Hersteller-Sandboxes läuft. Wir respektieren Change-Windows, Freeze-Perioden und Ihre bestehende iPaaS-Lösung (MuleSoft, Boomi, Workato), sofern vorhanden.
Ja. Wir konzipieren und betreiben Plattformen mit definierten RTO- und RPO-Zielen, mehrregionalen Active-Active- oder Active-Passive-Deployments auf AWS, Azure oder GCP sowie DR-Runbooks, die vierteljährlich getestet werden. Standardkomponenten: Kubernetes in zwei Regionen, verwaltetes Postgres oder Aurora mit Cross-Region-Replikation, Kafka MirrorMaker 2, Infrastructure as Code in Terraform, Secrets in Vault, Observability via Datadog oder Splunk. On-Call-Abdeckung 24/7 mit dokumentierten Vorfallschweregraden und Post-Incident-Reviews.
Jede Änderung ist vom Ticket bis zur Produktion nachverfolgbar: signierte Commits, obligatorisches Code-Review mit Funktionstrennung, automatisierte Sicherheitsscans (SAST, SCA, Container, IaC), CI/CD-Gates und in Jira und Git protokollierte Genehmigungen. Produktions-Deployments erfordern Dual-Approval und werden mit Zeitstempel, Akteur und Artefakt-Hash protokolliert. Wir integrieren uns in Ihr Change Advisory Board, respektieren Freeze-Windows und erstellen Nachweise auf Anfrage für SOX-, SOC-2-, ISO-27001-, PCI-DSS- und HIPAA-Audits, ohne den Release-Train zu verlangsamen.
Enterprise-Engagements beginnen bei 250.000 EUR für eine definierte Phase und laufen routinemäßig über 1–5 Mio. EUR über die Plattformlebenszeit. Ein typischer Verlauf: eine sechs- bis achtwöchige Discovery- und Architekturphase, ein sechs- bis neunmonatiger Build bis zur ersten Produktionsfreigabe, dann eine langfristige Run-Phase mit einem SRE-Squad und einem Feature-Stream. Teams umfassen acht bis fünfundzwanzig Entwickler mit einem eingebetteten Solution Architect, einem Security Lead und einem Engineering Manager. Wir committen auf namentlich benannte Positionen, transparente monatliche Abrechnung und vierteljährliche Business Reviews.
