TrustRespond.ai
TrustRespond.ai: B2B-Vendor-Security-Fragebögen in etwa 12 Sekunden automatisieren.
Der Enterprise-Compliance-Engpass
Jedes B2B-SaaS-Unternehmen im Enterprise-Vertrieb bekommt Vendor-Security-Fragebögen: grosse Excel-Dateien der IT mit Detailfragen zu Datensicherheit, SOC 2 und Richtlinien. Manuelles Mappen interner Dokumente kostet Wochen, Formatierungen brechen, Kontext geht verloren und Sales-Zyklen verzoegern sich.
Die Lösung
TrustRespond.ai verwandelt diesen mehrtägigen Engpass in einen automatisierten Ablauf: Compliance-PDFs werden sicher in eine Vektordatenbank eingespeist, der Excel-Fragebogen des Kunden gelesen, Fragen mit einer fortgeschrittenen RAG-Pipeline (Gemini) gemappt und eine vollständig befüllte Datei ausgegeben—das Original-Layout bleibt erhalten.
Die Plattform ist für Enterprise-Sicherheit und Skalierung ausgelegt: mandanten-isolierte Daten, serverseitige Orchestrierung und Stripe-basierte Tarife, sodass Nutzung und Kontingente in der Datenbank verbindlich gepflegt werden—nicht im fragilen Client-State.
Architektur & Datenfluss
Dokumente werden gechunked und in pgvector eingebettet; die Fragebogen-Generierung läuft über die App-Schicht mit Gemini über das Vercel AI SDK. Stripe-Webhooks halten Abo-Status und Org-Kontingente mit Postgres synchron.
Technischer Stack
- Framework: Next.js 15 (App Router) für server-first Architektur und zusammenhängende API-Routen.
- Datenbank & Auth: Supabase (PostgreSQL) mit Authentifizierung, Row Level Security (RLS) und persistentem App-State.
- Vektorsuche: pgvector zum Speichern und Abfragen von Dokument-Embeddings.
- KI: Google Gemini 2.5 Flash über das Vercel AI SDK—schnell, grosses Kontextfenster, zuverlässiges strukturiertes JSON für Mapping und Excel.
- Monetarisierung: Stripe Checkout und Webhooks für Tarife und Kontingente pro Organisation.
- UI: Tailwind CSS mit Enterprise-Look—Glasflächen, tiefe Navy-Hintergründe, Smaragd-Akzente.
Zentrale Engineering-Herausforderungen
PostgreSQL-Statement-Limits bei der Ingestion
Problem: Grosse PDFs (100+ Seiten) erzeugen viele Embedding-Zeilen. Ein einzelner Massen-Insert mit hunderten Vektoren kann Postgres/Supabase-Komplexitätsgrenzen treffen und mit Fehlern wie statement_too_complex (54001) abbrechen.
Lösung: Ich habe ein Batch-Utility gebaut, das Inserts in kleinere Pakete teilt (z. B. ~50 Zeilen pro Batch), sie sequentiell verarbeitet und Speicher sowie Datenbanklast auch bei sehr grossen Dokumenten beherrschbar hält.
RLS-Rekursion bei Vektor-Lesezugriffen
Problem: Die Fragebogen-Generierung griff über eine RPC auf Vektoren zu, während RLS-Policies Hilfsfunktionen wie current_org_id() nutzten—das konnte bei komplexen Reads so tief rekursieren, dass Stack-Limits erreicht wurden.
Lösung: Ich habe den internen RAG-Retrieval-Pfad isoliert: serverseitige Reads mit der Service-Role und strikt begrenzten Abfragen bleiben schnell und rekursionsfrei; Mandantenisolation bleibt an der API-Grenze erzwungen.
Stripe-Webhooks als Source of Truth
Problem: Client-seitigen State für Billing und Limits zu vertrauen ist ein Sicherheitsrisiko; Upgrades müssen sofort und verbindlich in der Datenbank landen.
Lösung: Ich habe eine robuste Tabelle org_questionnaire_usage implementiert: Ein Stripe-Webhook-Listener auf dem Next.js-Server validiert die Signatur und nutzt einen sicheren RPC-Aufruf, um Enterprise-Limits für die passende org_id sofort freizuschalten.
Nutzererfahrung
Die UI ist bewusst premium: Dark-Glass-Enterprise-Ästhetik, ausgereifte Drag-and-Drop-Zonen und Analyse-Oberflächen (inkl. Dry-Run-artiger Mapping-Ansichten), die sich wie ein High-End-B2B-Tool anfühlen.
Ergebnis
Das System nimmt einen unübersichtlichen 200-Zeilen-Excel-Fragebogen und füllt ihn mit Antworten, die auf privaten, sicher eingebetteten Dokumenten basieren. Die Verarbeitung liegt bei etwa 12 Sekunden pro Lauf und ersetzt viele Stunden manuelle Arbeit pro Kunde—ein Beweis, dass schwere Compliance-Workflows mit der richtigen Architektur automatisierbar sind.