QRSpec v1.0 — Jetzt verfügbarQRSpec v1.0 — Now AvailableQRSpec v1.0 — Maintenant disponibleQRSpec v1.0 — Ora disponibile

Der fehlende Standard für QR-Codes im öffentlichen RaumThe missing standard for QR codes in public spacesLe standard manquant pour les QR codes dans l'espace publicLo standard mancante per i codici QR nello spazio pubblico

Maschinenlesbare Governance-Artefakte, automatisierter Compliance-Scanner und Vertragsklausel-Bibliothek für sichere QR-Deployments.Machine-readable governance artifacts, automated compliance scanner and contract clause library for secure QR deployments.Artefacts de gouvernance lisibles par machine, scanner de conformité automatisé et bibliothèque de clauses contractuelles pour des déploiements QR sécurisés.Artefatti di governance leggibili da macchina, scanner di conformità automatizzato e biblioteca di clausole contrattuali per deployment QR sicuri.

Scanner testen →Try Scanner →Tester le scanner →Prova lo scanner → Spec ansehenView SpecVoir la spéc.Vedi la specifica
18 ControlsControlsContrôlesControlli
3 ProfileProfilesProfilsProfili
3 JurisdiktionenJurisdictionsJuridictionsGiurisdizioni
CHF denominiertdenominatedlibellédenominato
Was ist QRSpecWhat is QRSpecQu'est-ce que QRSpecCos'è QRSpec

Der erste Governance-Standard für öffentliche QR-DeploymentsThe first governance standard for public QR deploymentsLe premier standard de gouvernance pour les déploiements QR publicsIl primo standard di governance per i deployment QR pubblici

QR-Codes im öffentlichen Raum — an Parkautomaten, in Behördengebäuden, auf Speisekarten, an ÖV-Haltestellen — unterliegen heute keinem einheitlichen Sicherheits- oder Betriebsstandard. ISO 18004 regelt die Symbologie, EMVCo den Payment-Payload, WCAG die Web-Accessibility. Aber niemand regelt, wie ein QR-Code im öffentlichen Raum sicher deployed, inventarisiert, überwacht und im Schadenfall behandelt wird.QR codes in public spaces — at parking meters, in government buildings, on menus, at transit stops — are not subject to any uniform security or operational standard today. ISO 18004 governs symbology, EMVCo the payment payload, WCAG web accessibility. But nobody governs how a QR code in public space is securely deployed, inventoried, monitored, and handled in case of compromise.Les QR codes dans l'espace public — aux parcmètres, dans les bâtiments administratifs, sur les menus, aux arrêts de transports publics — ne sont soumis à aucun standard uniforme de sécurité ou d'exploitation aujourd'hui. ISO 18004 régit la symbologie, EMVCo le payload de paiement, WCAG l'accessibilité web. Mais personne ne régit comment un QR code dans l'espace public est déployé de manière sécurisée, inventorié, surveillé et traité en cas de compromission.I codici QR nello spazio pubblico — ai parchimetri, negli edifici amministrativi, sui menù, alle fermate dei trasporti pubblici — non sono oggi soggetti ad alcuno standard uniforme di sicurezza o operativo. ISO 18004 regola la simbologia, EMVCo il payload di pagamento, WCAG l'accessibilità web. Ma nessuno regola come un codice QR nello spazio pubblico viene deployato in modo sicuro, inventariato, monitorato e gestito in caso di compromissione.

QRSpec schliesst diese Lücke. Der Standard definiert 18 Controls in 10 Kategorien, gestaffelt nach drei Risikoprofilen (Information, Transaktion, Authentifizierung) und drei Assurance Levels (Basic, Substantial, High). Jede Kontrolle ist maschinenlesbar, auditierbar und in Vergabeunterlagen referenzierbar.QRSpec closes this gap. The standard defines 18 controls in 10 categories, tiered by three risk profiles (Information, Transaction, Authentication) and three assurance levels (Basic, Substantial, High). Every control is machine-readable, auditable, and referenceable in procurement documents.QRSpec comble cette lacune. Le standard définit 18 contrôles répartis en 10 catégories, échelonnés selon trois profils de risque (Information, Transaction, Authentification) et trois niveaux d'assurance (Basic, Substantial, High). Chaque contrôle est lisible par machine, auditable et référençable dans les documents d'acquisition.QRSpec colma questa lacuna. Lo standard definisce 18 controlli in 10 categorie, suddivisi per tre profili di rischio (Informazione, Transazione, Autenticazione) e tre livelli di garanzia (Basic, Substantial, High). Ogni controllo è leggibile da macchina, auditabile e referenziabile nei documenti di approvvigionamento.

QRSpec ist kein Beratungsprodukt. Es ist eine offene Governance-Norm mit operativen Artefakten: Checklisten, Vertragsklauseln, Audit-Kit, Incident-Response-Playbook und einem automatisierten Compliance-Scanner.QRSpec is not a consulting product. It is an open governance standard with operational artifacts: checklists, contract clauses, audit kit, incident response playbook, and an automated compliance scanner.QRSpec n'est pas un produit de conseil. C'est un standard de gouvernance ouvert avec des artefacts opérationnels : checklists, clauses contractuelles, kit d'audit, playbook de réponse aux incidents et un scanner de conformité automatisé.QRSpec non è un prodotto di consulenza. È uno standard di governance aperto con artefatti operativi: checklist, clausole contrattuali, kit di audit, playbook di risposta agli incidenti e uno scanner di conformità automatizzato.

🏛️
NCSC/BACS warntNCSC/BACS warnsLe NCSC/BACS met en gardeIl NCSC/BACS avverte Das BACS dokumentiert Sticker-Angriffe auf TWINT-QR-Codes, Redirect-Manipulation und QR-Phishing im öffentlichen Raum — mit dokumentierten Verlusten bis CHF 3'000 pro Opfer.BACS documents sticker attacks on TWINT QR codes, redirect manipulation, and QR phishing in public spaces — with documented losses up to CHF 3,000 per victim.Le BACS documente les attaques par autocollant sur les QR codes TWINT, la manipulation de redirections et le QR phishing dans l'espace public — avec des pertes documentées jusqu'à CHF 3'000 par victime.Il BACS documenta gli attacchi con adesivi sui codici QR TWINT, la manipolazione dei redirect e il QR phishing nello spazio pubblico — con perdite documentate fino a CHF 3'000 per vittima.
📐
ISO 18004 reicht nichtISO 18004 is not enoughISO 18004 ne suffit pasISO 18004 non basta Der Symbologie-Standard regelt Kodierung und Fehlerkorrektur — nicht Deployment-Governance, Haftungsketten oder Incident Response.The symbology standard governs encoding and error correction — not deployment governance, liability chains, or incident response.Le standard de symbologie régit l'encodage et la correction d'erreurs — pas la gouvernance de déploiement, les chaînes de responsabilité ou la réponse aux incidents.Lo standard di simbologia regola la codifica e la correzione degli errori — non la governance del deployment, le catene di responsabilità o la risposta agli incidenti.
💳
EMVCo lässt eine LückeEMVCo leaves a gapEMVCo laisse une lacuneEMVCo lascia una lacuna EMV QRCPS standardisiert den Zahlungs-Payload, aber nicht die physische Signage-Integrität oder das Asset-Management.EMV QRCPS standardizes the payment payload, but not physical signage integrity or asset management.EMV QRCPS standardise le payload de paiement, mais pas l'intégrité physique des panneaux indicateurs ni la gestion des actifs.EMV QRCPS standardizza il payload di pagamento, ma non l'integrità fisica della segnaletica né la gestione degli asset.
Das ProblemThe ProblemLe problèmeIl problema

QR-Codes sind allgegenwärtig — Governance fehltQR codes are everywhere — governance is missingLes QR codes sont partout — la gouvernance fait défautI codici QR sono ovunque — la governance manca

Behörden warnen, liefern aber keine operativen Kontrollsysteme. QRSpec schliesst diese Lücke.Authorities warn, but provide no operational control systems. QRSpec closes this gap.Les autorités mettent en garde, mais ne fournissent aucun système de contrôle opérationnel. QRSpec comble cette lacune.Le autorità avvertono, ma non forniscono alcun sistema di controllo operativo. QRSpec colma questa lacuna.

🎯

Sticker-AngriffeSticker AttacksAttaques par autocollantAttacchi con adesivi

Physische QR-Codes werden durch manipulierte Aufkleber ersetzt und leiten Nutzer auf Phishing-Seiten.Physical QR codes are replaced with manipulated stickers, redirecting users to phishing sites.Les QR codes physiques sont remplacés par des autocollants manipulés, redirigeant les utilisateurs vers des sites de phishing.I codici QR fisici vengono sostituiti con adesivi manipolati, reindirizzando gli utenti verso siti di phishing.

💳

TWINT-Sticker-BetrugTWINT Sticker FraudFraude aux autocollants TWINTFrode adesivi TWINT

Betrüger überkleben TWINT-QR-Sticker an Parkautomaten und in Restaurants. Nutzer zahlen auf betrügerische Konten. BACS/NCSC dokumentiert Verluste von CHF 420 bis CHF 3'000 pro Opfer.Fraudsters cover TWINT QR stickers at parking meters and in restaurants. Users pay into fraudulent accounts. BACS/NCSC documents losses of CHF 420 to CHF 3,000 per victim.Des fraudeurs recouvrent les autocollants QR TWINT aux parcmètres et dans les restaurants. Les utilisateurs paient sur des comptes frauduleux. Le BACS/NCSC documente des pertes de CHF 420 à CHF 3'000 par victime.I truffatori coprono gli adesivi QR TWINT ai parchimetri e nei ristoranti. Gli utenti pagano su conti fraudolenti. Il BACS/NCSC documenta perdite da CHF 420 a CHF 3'000 per vittima.

🔀

Redirect-VerschleierungRedirect ObfuscationDissimulation par redirectionOffuscamento dei redirect

URL-Shortener und mehrstufige Weiterleitungen verbergen das tatsächliche Ziel vor dem Nutzer.URL shorteners and multi-step redirects hide the actual destination from the user.Les raccourcisseurs d'URL et les redirections en plusieurs étapes dissimulent la destination réelle à l'utilisateur.Gli accorciatori di URL e i redirect a più passaggi nascondono la destinazione reale all'utente.

📋

Kein Asset-InventarNo Asset InventoryAucun inventaire des actifsNessun inventario degli asset

Betreiber haben keinen Überblick, welche QR-Codes im Einsatz sind und ob diese noch aktuell sind.Operators have no overview of which QR codes are deployed and whether they are still current.Les opérateurs n'ont aucune vue d'ensemble des QR codes déployés et de leur actualité.Gli operatori non hanno una visione d'insieme dei codici QR deployati e della loro attualità.

⚖️

Haftungs-GrauzoneLiability Grey ZoneZone grise de responsabilitéZona grigia di responsabilità

Fehlende vertragliche Regelungen zwischen Betreibern, Druckdienstleistern und IT-Lieferanten.Missing contractual agreements between operators, print service providers, and IT suppliers.Absence d'accords contractuels entre opérateurs, prestataires d'impression et fournisseurs IT.Assenza di accordi contrattuali tra operatori, fornitori di stampa e fornitori IT.

Für wenFor WhomPour quiPer chi

QRSpec richtet sich an Organisationen, die QR-Codes verantwortenQRSpec is for organizations that operate QR codesQRSpec s'adresse aux organisations qui exploitent des QR codesQRSpec si rivolge alle organizzazioni che gestiscono codici QR

🏙️

Kommunen & BehördenMunicipalities & AuthoritiesCommunes & autoritésComuni & autorità

Parkleitsysteme, öffentliche Wegweiser, Bürgerdienste. Sie tragen die Betreiberhaftung für QR-Codes im öffentlichen Raum und brauchen prüfbare Mindeststandards für Vergabe und Betrieb.Parking guidance systems, public signage, citizen services. They bear operator liability for QR codes in public spaces and need auditable minimum standards for procurement and operation.Systèmes de guidage de stationnement, panneaux indicateurs publics, services aux citoyens. Elles assument la responsabilité d'opérateur pour les QR codes dans l'espace public et ont besoin de standards minimaux auditables pour l'acquisition et l'exploitation.Sistemi di gestione parcheggio, segnaletica pubblica, servizi ai cittadini. Assumono la responsabilità di operatore per i codici QR nello spazio pubblico e necessitano di standard minimi auditabili per l'approvvigionamento e l'esercizio.

Parking-Lösung →Parking Solution →Solution parking →Soluzione parcheggio →
🚌

Verkehrsbetriebe & ÖVTransit Operators & Public TransportOpérateurs de transport & transports publicsOperatori di trasporto & trasporti pubblici

Ticketing-QRs, Fahrplaninformation, Echtzeit-Abfahrten. Hohe Nutzungsfrequenz in unüberwachten Räumen — genau dort, wo Sticker-Angriffe am häufigsten auftreten.Ticketing QRs, timetable information, real-time departures. High usage frequency in unmonitored spaces — exactly where sticker attacks occur most frequently.QR de billetterie, informations horaires, départs en temps réel. Fréquence d'utilisation élevée dans des espaces non surveillés — exactement là où les attaques par autocollant sont les plus fréquentes.QR per biglietteria, informazioni sugli orari, partenze in tempo reale. Alta frequenza d'uso in spazi non sorvegliati — esattamente dove gli attacchi con adesivi sono più frequenti.

🏨

Gastronomie & TourismusHospitality & TourismHôtellerie & tourismeRistorazione & turismo

Speisekarten, Bewertungslinks, Audio-Guides, Besucherleitsysteme. QR-Codes sind hier UX-Standard — aber ohne Inventar, ohne Kontrollzyklus, ohne Fallback.Menus, review links, audio guides, visitor guidance systems. QR codes are UX standard here — but without inventory, without control cycles, without fallback.Menus, liens d'avis, audioguides, systèmes de guidage des visiteurs. Les QR codes sont un standard UX ici — mais sans inventaire, sans cycles de contrôle, sans solution de repli.Menù, link per recensioni, audioguide, sistemi di orientamento per i visitatori. I codici QR sono uno standard UX qui — ma senza inventario, senza cicli di controllo, senza soluzione di riserva.

🛡️

VersicherungsbrokerInsurance BrokersCourtiers en assurancesBroker assicurativi

QR-Fraud fällt durch klassische Cyber-Deckungen. QRSpec liefert prüfbare Controls als Obliegenheitsnachweis und schliesst die Lücke zwischen Cyber- und Crime-Policen.QR fraud falls through standard cyber coverage. QRSpec provides auditable controls as proof of due diligence and closes the gap between cyber and crime policies.La fraude QR échappe aux couvertures cyber standard. QRSpec fournit des contrôles auditables comme preuve de diligence raisonnable et comble le fossé entre les polices cyber et criminalité.La frode QR sfugge alle coperture cyber standard. QRSpec fornisce controlli auditabili come prova di diligenza ragionevole e colma il divario tra le polizze cyber e criminalità.

Für Versicherer →For Insurers →Pour assureurs →Per assicuratori →
🏗️

Facility Management

Gebäudezutrittssysteme, Wartungsprotokolle, Besuchermanagement. QR-basierte Authentifizierung erfordert Profil C — das höchste Assurance Level.Building access systems, maintenance logs, visitor management. QR-based authentication requires Profile C — the highest assurance level.Systèmes de contrôle d'accès aux bâtiments, journaux de maintenance, gestion des visiteurs. L'authentification par QR nécessite le Profil C — le niveau d'assurance le plus élevé.Sistemi di controllo accessi agli edifici, registri di manutenzione, gestione dei visitatori. L'autenticazione tramite QR richiede il Profil C — il livello di garanzia più elevato.

🖨️

Druckdienstleister & IntegratorenPrint Service Providers & IntegratorsPrestataires d'impression & intégrateursFornitori di stampa & integratori

Wer QR-Signage produziert und installiert, muss QRSpec-konforme Labels, Tamper-Evidence und Baseline-Dokumentation liefern. Die Clause Library definiert die vertraglichen Anforderungen.Anyone producing and installing QR signage must deliver QRSpec-compliant labels, tamper evidence, and baseline documentation. The Clause Library defines the contractual requirements.Quiconque produit et installe des panneaux indicateurs QR doit fournir des étiquettes conformes à QRSpec, des preuves de manipulation et une documentation de référence. La bibliothèque de clauses définit les exigences contractuelles.Chiunque produca e installi segnaletica QR deve fornire etichette conformi a QRSpec, evidenze di manomissione e documentazione di riferimento. La biblioteca di clausole definisce i requisiti contrattuali.

Für Beschaffung →For Procurement →Pour l'acquisition →Per l'approvvigionamento →
ProfileProfilesProfilsProfili

Drei Profile für jeden AnwendungsfallThree profiles for every use caseTrois profils pour chaque cas d'utilisationTre profili per ogni caso d'uso

Von einfachen Informations-QR-Codes bis zu hochsicherheitsrelevanten Authentifizierungsanwendungen.From simple informational QR codes to high-security authentication applications.Des QR codes informationnels simples aux applications d'authentification haute sécurité.Dai semplici codici QR informativi alle applicazioni di autenticazione ad alta sicurezza.

Profil A Information
  • Speisekarten, Wegweiser, InfotafelnMenus, signage, information boardsMenus, panneaux indicateurs, panneaux d'informationMenù, segnaletica, pannelli informativi
  • HTTPS + kein Shortener erforderlichHTTPS + no shortener requiredHTTPS + pas de raccourcisseur requisHTTPS + nessun accorciatore richiesto
  • Assurance: Basic / Substantial / High
  • Geringes SchadenspotenzialLow damage potentialFaible potentiel de dommageBasso potenziale di danno
Profil B TransaktionTransactionTransactionTransazione
  • Zahlungen, Ticketing, BestellungenPayments, ticketing, ordersPaiements, billetterie, commandesPagamenti, biglietteria, ordini
  • TLS-Validierung + Domain-MatchTLS validation + domain matchValidation TLS + correspondance de domaineValidazione TLS + corrispondenza del dominio
  • Assurance: Substantial / High
  • Mittleres SchadenspotenzialMedium damage potentialPotentiel de dommage moyenPotenziale di danno medio
Profil C AuthentifizierungAuthenticationAuthentificationAutenticazione
  • Login, Zutrittskontrolle, eIDLogin, access control, eIDConnexion, contrôle d'accès, eIDLogin, controllo accessi, eID
  • Assurance: Substantial oder High (Pflicht)Assurance: Substantial or High (required)Assurance : Substantial ou High (requis)Assurance: Substantial o High (richiesto)
  • Maximale KontrollanforderungenMaximum control requirementsExigences de contrôle maximalesRequisiti di controllo massimi
  • Hohes SchadenspotenzialHigh damage potentialPotentiel de dommage élevéPotenziale di danno elevato
Scanner Demo

Ist Ihre QR-Ziel-URL konform?Is your QR target URL compliant?Votre URL cible QR est-elle conforme ?Il vostro URL target QR è conforme?

Geben Sie die URL ein, auf die Ihr QR-Code verweist. Der Scanner prüft sie gegen die QRSpec-Kontrollregeln — direkt in Ihrem Browser, ohne Datenübertragung an einen Server.Enter the URL your QR code points to. The scanner checks it against QRSpec control rules — directly in your browser, with no data sent to a server.Saisissez l'URL vers laquelle pointe votre QR code. Le scanner la vérifie selon les règles de contrôle QRSpec — directement dans votre navigateur, sans envoi de données à un serveur.Inserite l'URL a cui punta il vostro codice QR. Lo scanner lo verifica secondo le regole di controllo QRSpec — direttamente nel vostro browser, senza invio di dati a un server.

🔒
Was wird geprüft?What is checked?Qu'est-ce qui est vérifié ?Cosa viene verificato? HTTPS-Pflicht, URL-Shortener, Domain-Übereinstimmung, verbotene Schemata, TLS-Implikation, Redirect-Ketten, IP-Adressen, verdächtige Ports und Pfade.HTTPS requirement, URL shorteners, domain match, forbidden schemes, TLS implication, redirect chains, IP addresses, suspicious ports and paths.Exigence HTTPS, raccourcisseurs d'URL, correspondance de domaine, schémas interdits, implication TLS, chaînes de redirection, adresses IP, ports et chemins suspects.Requisito HTTPS, accorciatori di URL, corrispondenza del dominio, schemi vietati, implicazione TLS, catene di redirect, indirizzi IP, porte e percorsi sospetti.
🏷️
Was ist die "Deklarierte Domain"?What is the "Declared Domain"?Qu'est-ce que le « domaine déclaré » ?Cos'è il «dominio dichiarato»? Die Domain, die auf dem physischen QR-Label neben dem Code steht (z.B. "stadt-locarno.ch"). Der Scanner prüft, ob die URL tatsächlich zu dieser Domain gehört.The domain printed on the physical QR label next to the code (e.g. "stadt-locarno.ch"). The scanner checks whether the URL actually belongs to this domain.Le domaine imprimé sur l'étiquette QR physique à côté du code (p. ex. « stadt-locarno.ch »). Le scanner vérifie si l'URL appartient effectivement à ce domaine.Il dominio stampato sull'etichetta QR fisica accanto al codice (p. es. «stadt-locarno.ch»). Lo scanner verifica se l'URL appartiene effettivamente a questo dominio.
Client-seitig und kostenlosClient-side and freeCôté client et gratuitLato client e gratuito Diese Demo läuft komplett in Ihrem Browser. Für TLS-Zertifikatsprüfung, Redirect-Analyse und Content-Integrity benötigen Sie die Scanner API.This demo runs entirely in your browser. For TLS certificate validation, redirect analysis, and content integrity you need the Scanner API.Cette démo fonctionne entièrement dans votre navigateur. Pour la validation de certificat TLS, l'analyse de redirection et l'intégrité du contenu, vous avez besoin de l'API Scanner.Questa demo funziona interamente nel vostro browser. Per la validazione del certificato TLS, l'analisi dei redirect e l'integrità del contenuto, avete bisogno dell'API Scanner.
Probieren Sie diese URLs:Try these URLs:Essayez ces URL :Provate questi URL:
Die vollständige URL, auf die der QR-Code verweistThe full URL the QR code points toL'URL complète vers laquelle pointe le QR codeL'URL completo a cui punta il codice QR
Die Domain, die auf dem physischen Label neben dem QR-Code stehtThe domain printed on the physical label next to the QR codeLe domaine imprimé sur l'étiquette physique à côté du QR codeIl dominio stampato sull'etichetta fisica accanto al codice QR

Diese Demo ist eine technische Vorprüfung, keine Sicherheitsgarantie. Prüfungsumfang: Liability Scope This demo is a technical pre-check, not a security guarantee. Scope of review: Liability Scope Cette démo est une vérification technique préliminaire, pas une garantie de sécurité. Portée de la vérification : Liability Scope Questa demo è una verifica tecnica preliminare, non una garanzia di sicurezza. Ambito della verifica: Liability Scope

KontrollkatalogControl CatalogCatalogue de contrôlesCatalogo dei controlli

18 Controls — das Rückgrat des Standards18 Controls — the backbone of the standard18 contrôles — la colonne vertébrale du standard18 controlli — la spina dorsale dello standard

Jede Kontrolle definiert eine prüfbare Anforderung an Ihren QR-Deployment. Je nach Risikoprofil ist sie verpflichtend, empfohlen oder optional.Each control defines an auditable requirement for your QR deployment. Depending on the risk profile, it is required, expected, or optional.Chaque contrôle définit une exigence auditable pour votre déploiement QR. Selon le profil de risque, il est requis, attendu ou optionnel.Ogni controllo definisce un requisito auditabile per il vostro deployment QR. A seconda del profilo di rischio, è richiesto, atteso o opzionale.

R RequiredPflicht. Ohne diese Kontrolle keine Konformität.Mandatory. No conformity without this control.Obligatoire. Pas de conformité sans ce contrôle.Obbligatorio. Nessuna conformità senza questo controllo.
E ExpectedEmpfohlen. Abweichung muss begründet werden.Recommended. Deviation must be justified.Recommandé. Tout écart doit être justifié.Raccomandato. Ogni deviazione deve essere giustificata.
O OptionalGute Praxis. Nicht zwingend für Konformität.Good practice. Not required for conformity.Bonne pratique. Non requis pour la conformité.Buona pratica. Non richiesto per la conformità.
Filtern nach Profil:Filter by profile:Filtrer par profil :Filtra per profilo:
🔗

URL-SicherheitURL SecuritySécurité URLSicurezza URL

Stellt sicher, dass die Ziel-URL vertrauenswürdig, nicht verschleiert und nicht manipuliert ist.Ensures the target URL is trustworthy, not obfuscated, and not manipulated.Garantit que l'URL cible est fiable, non dissimulée et non manipulée.Garantisce che l'URL target sia affidabile, non offuscato e non manipolato.

5 Controls
QRS-URL-01 HTTPS-PflichtHTTPS RequiredHTTPS requisHTTPS richiestoJede QR-Ziel-URL muss über eine verschlüsselte Verbindung erreichbar sein.Every QR target URL must be accessible via an encrypted connection.Chaque URL cible QR doit être accessible via une connexion chiffrée.Ogni URL target QR deve essere accessibile tramite una connessione crittografata. R R R
QRS-URL-02 Kein URL-ShortenerNo URL ShortenerPas de raccourcisseur d'URLNessun accorciatore di URLZiel-Domain muss direkt erkennbar sein. bit.ly, tinyurl.com etc. sind verboten.Target domain must be directly recognizable. bit.ly, tinyurl.com etc. are forbidden.Le domaine cible doit être directement identifiable. bit.ly, tinyurl.com etc. sont interdits.Il dominio target deve essere direttamente identificabile. bit.ly, tinyurl.com ecc. sono vietati. R R R
QRS-URL-03 Redirect-Tiefe max. 2Max. 2 Redirect DepthMax. 2 niveaux de redirectionMax. 2 livelli di redirectWeiterleitungsketten sind begrenzt. Jeder Zwischenschritt wird auf SSRF geprüft.Redirect chains are limited. Each intermediate step is checked for SSRF.Les chaînes de redirection sont limitées. Chaque étape intermédiaire est vérifiée contre le SSRF.Le catene di redirect sono limitate. Ogni passaggio intermedio viene verificato contro SSRF. E R R
QRS-URL-04 Domain-MatchURL-Domain muss mit der auf dem physischen QR-Label deklarierten Domain übereinstimmen.URL domain must match the domain declared on the physical QR label.Le domaine de l'URL doit correspondre au domaine déclaré sur l'étiquette QR physique.Il dominio dell'URL deve corrispondere al dominio dichiarato sull'etichetta QR fisica. E R R
QRS-URL-05 Kein ausführbares SchemaNo Executable SchemePas de schéma exécutableNessuno schema eseguibilejavascript:, data:, file: und ftp: sind als QR-Ziel strikt untersagt.javascript:, data:, file: and ftp: are strictly forbidden as QR targets.javascript:, data:, file: et ftp: sont strictement interdits comme cibles QR.javascript:, data:, file: e ftp: sono strettamente vietati come target QR. R R R
🛡️

TLS / ZertifikatTLS / CertificateTLS / CertificatTLS / Certificato

Gewährleistet, dass die verschlüsselte Verbindung tatsächlich vertrauenswürdig ist.Ensures the encrypted connection is actually trustworthy.Garantit que la connexion chiffrée est réellement fiable.Garantisce che la connessione crittografata sia effettivamente affidabile.

2 Controls
QRS-CERT-01 Gültiges TLS-ZertifikatValid TLS CertificateCertificat TLS valideCertificato TLS validoMindestens TLS 1.2. Zertifikatskette muss vertrauenswürdig und nicht abgelaufen sein.Minimum TLS 1.2. Certificate chain must be trustworthy and not expired.Minimum TLS 1.2. La chaîne de certificats doit être fiable et non expirée.Minimo TLS 1.2. La catena di certificati deve essere affidabile e non scaduta. E R R
QRS-CERT-02 HSTS-HeaderServer erzwingt HTTPS für alle zukünftigen Verbindungen. Verhindert Downgrade-Angriffe.Server enforces HTTPS for all future connections. Prevents downgrade attacks.Le serveur impose HTTPS pour toutes les connexions futures. Empêche les attaques par rétrogradation.Il server impone HTTPS per tutte le connessioni future. Impedisce gli attacchi di downgrade. O E R
📦

Payload

Analysiert den Inhalt des QR-Codes selbst — URL, EMV-Zahlungsdaten oder Freitext.Analyzes the QR code content itself — URL, EMV payment data, or free text.Analyse le contenu du QR code lui-même — URL, données de paiement EMV ou texte libre.Analizza il contenuto del codice QR stesso — URL, dati di pagamento EMV o testo libero.

3 Controls
QRS-PAY-01 Payload-Typ klassifiziertPayload Type ClassifiedType de payload classifiéTipo di payload classificatoAutomatische Erkennung ob der QR-Inhalt eine URL, ein EMV-Payment oder Freitext ist.Automatic detection whether the QR content is a URL, EMV payment, or free text.Détection automatique si le contenu QR est une URL, un paiement EMV ou du texte libre.Rilevamento automatico se il contenuto QR è un URL, un pagamento EMV o testo libero. R R R
QRS-PAY-02 URL-Compliance bei URL-PayloadURL Compliance for URL PayloadConformité URL pour payload URLConformità URL per payload URLWenn der Payload eine URL enthält, gelten alle URL-Sicherheitskontrollen.If the payload contains a URL, all URL security controls apply.Si le payload contient une URL, tous les contrôles de sécurité URL s'appliquent.Se il payload contiene un URL, si applicano tutti i controlli di sicurezza URL. R R R
QRS-PAY-03 EMV-QR-StrukturEMV QR StructureStructure EMV QRStruttura EMV QRBei Zahlungs-QRs: TLV-Parsing, Pflicht-Tags (Merchant, Betrag, Währung) validiert.For payment QRs: TLV parsing, mandatory tags (merchant, amount, currency) validated.Pour les QR de paiement : analyse TLV, tags obligatoires (commerçant, montant, devise) validés.Per i QR di pagamento: analisi TLV, tag obbligatori (esercente, importo, valuta) validati. O R R
📋

Asset-InventarAsset InventoryInventaire des actifsInventario degli asset

Stellt sicher, dass jeder QR-Code registriert, einem Verantwortlichen zugeordnet und regelmässig geprüft wird.Ensures every QR code is registered, assigned to a responsible person, and regularly reviewed.Garantit que chaque QR code est enregistré, attribué à un responsable et régulièrement révisé.Garantisce che ogni codice QR sia registrato, assegnato a un responsabile e regolarmente verificato.

2 Controls
QRS-ASSET-01 Asset-Register-EintragAsset Register EntryInscription au registre des actifsIscrizione nel registro degli assetJeder QR-Code ist mit Standort, Ziel-URL, Owner, Erstelldatum und Risikoprofil dokumentiert.Every QR code is documented with location, target URL, owner, creation date, and risk profile.Chaque QR code est documenté avec emplacement, URL cible, propriétaire, date de création et profil de risque.Ogni codice QR è documentato con posizione, URL target, proprietario, data di creazione e profilo di rischio. E R R
QRS-ASSET-02 Review-Zyklus dokumentiertReview Cycle DocumentedCycle de révision documentéCiclo di revisione documentatoPhysische Sichtprüfung und URL-Validierung in regelmässigen Abständen (max. 12 Monate).Physical visual inspection and URL validation at regular intervals (max. 12 months).Inspection visuelle physique et validation de l'URL à intervalles réguliers (max. 12 mois).Ispezione visiva fisica e validazione dell'URL a intervalli regolari (max. 12 mesi). O E R
🏗️

Physischer SchutzPhysical ProtectionProtection physiqueProtezione fisica

Verhindert, dass QR-Codes unbemerkt überklebt, ersetzt oder manipuliert werden.Prevents QR codes from being unnoticeably covered, replaced, or manipulated.Empêche que les QR codes soient couverts, remplacés ou manipulés de manière inaperçue.Impedisce che i codici QR vengano coperti, sostituiti o manipolati senza che ci si accorga.

2 Controls
QRS-PHYS-01 Tamper-EvidenceManipulationsnachweis: integrierter Druck oder Sicherheitssiegel. Sticker-Overlays ohne Indikator verboten.Tamper evidence: integrated print or security seal. Sticker overlays without indicator are forbidden.Preuve de manipulation : impression intégrée ou sceau de sécurité. Les surcouches d'autocollants sans indicateur sont interdites.Evidenza di manomissione: stampa integrata o sigillo di sicurezza. Le sovrapposizioni di adesivi senza indicatore sono vietate. O E R
QRS-PHYS-02 Betreiber-KennzeichnungOperator IdentificationIdentification de l'opérateurIdentificazione dell'operatoreName, Zweck, Domain und Supportkontakt dauerhaft lesbar neben dem QR-Code.Name, purpose, domain, and support contact permanently readable next to the QR code.Nom, objectif, domaine et contact de support lisibles en permanence à côté du QR code.Nome, scopo, dominio e contatto di supporto leggibili in permanenza accanto al codice QR. E R R
⚖️

Rechtliche AnforderungenLegal RequirementsExigences légalesRequisiti legali

Stellt Compliance mit Datenschutz- und Informationspflichten auf der QR-Zielseite sicher.Ensures compliance with data protection and information obligations on the QR target page.Garantit la conformité aux obligations de protection des données et d'information sur la page cible QR.Garantisce la conformità agli obblighi di protezione dei dati e di informazione sulla pagina target QR.

2 Controls
QRS-LEGAL-01 Datenschutz-HinweisPrivacy NoticeAvis de confidentialitéInformativa sulla privacyDie QR-Zielseite informiert über Datenverarbeitung (revDSG, GDPR). Kein Tracking ohne Consent.The QR target page informs about data processing (revDSG, GDPR). No tracking without consent.La page cible QR informe sur le traitement des données (nLPD, RGPD). Pas de suivi sans consentement.La pagina target QR informa sul trattamento dei dati (nLPD, RGPD). Nessun tracciamento senza consenso. E R R
QRS-LEGAL-02 Impressum / Betreiber-IdentitätImprint / Operator IdentityMentions légales / Identité de l'opérateurNote legali / Identità dell'operatoreName und Kontaktdaten des QR-Betreibers sind auf der Zielseite abrufbar.Name and contact details of the QR operator are available on the target page.Le nom et les coordonnées de l'opérateur QR sont disponibles sur la page cible.Il nome e i recapiti dell'operatore QR sono disponibili sulla pagina target. E R R
🚨

Incident Response

Definiert, was passiert wenn ein QR-Code kompromittiert wird — Abschaltung, Meldekette, Forensik.Defines what happens when a QR code is compromised — deactivation, notification chain, forensics.Définit ce qui se passe quand un QR code est compromis — désactivation, chaîne de notification, forensique.Definisce cosa succede quando un codice QR viene compromesso — disattivazione, catena di notifica, analisi forense.

2 Controls
QRS-INC-01 Kill-SwitchQR-Ziel kann innerhalb von 1 Stunde auf sichere Warnseite umgeleitet oder deaktiviert werden.QR target can be redirected to a safe warning page or deactivated within 1 hour.La cible QR peut être redirigée vers une page d'avertissement sécurisée ou désactivée dans l'heure.Il target QR può essere reindirizzato a una pagina di avviso sicura o disattivato entro 1 ora. O E R
QRS-INC-02 Incident-Response-PlanDokumentierter Ablauf: Meldung → Triage → Sicherung → Deaktivierung → Forensik → Meldepflicht.Documented process: Report → Triage → Secure → Deactivate → Forensics → Notification obligation.Processus documenté : Signalement → Triage → Sécurisation → Désactivation → Forensique → Obligation de signalement.Processo documentato: Segnalazione → Triage → Messa in sicurezza → Disattivazione → Analisi forense → Obbligo di notifica. O E R

Control-IDs auf dieser Seite (QRS-*) sind Kurzformen. Die kanonischen IDs in Spezifikation und API lauten QRSpec-CTRL-001 bis QRSpec-CTRL-018. Control IDs on this page (QRS-*) are shorthand. Canonical IDs in the specification and API are QRSpec-CTRL-001 through QRSpec-CTRL-018. Les identifiants de contrôle sur cette page (QRS-*) sont des abréviations. Les identifiants canoniques dans la spécification et l'API sont QRSpec-CTRL-001 à QRSpec-CTRL-018. Gli identificativi di controllo su questa pagina (QRS-*) sono abbreviazioni. Gli identificativi canonici nella specifica e nell'API sono QRSpec-CTRL-001 a QRSpec-CTRL-018.

Zusammenfassung: Profil A (Information) erfordert 7 Controls als Pflicht, 6 als Empfehlung und 5 als optional. Profil B (Transaktion) erhöht auf 14 Pflicht, 4 Empfehlung. Profil C (Authentifizierung) macht alle 18 Controls zur Pflicht oder Empfehlung — kein Control ist optional. Summary: Profile A (Information) requires 7 controls as mandatory, 6 as expected, and 5 as optional. Profile B (Transaction) increases to 14 mandatory, 4 expected. Profile C (Authentication) makes all 18 controls mandatory or expected — no control is optional.Résumé : Le Profil A (Information) exige 7 contrôles obligatoires, 6 attendus et 5 optionnels. Le Profil B (Transaction) passe à 14 obligatoires, 4 attendus. Le Profil C (Authentification) rend les 18 contrôles obligatoires ou attendus — aucun contrôle n'est optionnel.Riepilogo: Il Profil A (Informazione) richiede 7 controlli obbligatori, 6 attesi e 5 opzionali. Il Profil B (Transazione) sale a 14 obbligatori, 4 attesi. Il Profil C (Autenticazione) rende tutti i 18 controlli obbligatori o attesi — nessun controllo è opzionale.
Was Sie erhaltenWhat You ReceiveCe que vous recevezCosa ricevete

7 Governance-Artefakte — sofort einsetzbar7 governance artifacts — ready to deploy7 artefacts de gouvernance — prêts à l'emploi7 artefatti di governance — pronti all'uso

Jedes Artefakt ist versioniert, maschinenlesbar und in Vergabeunterlagen referenzierbar. Kein Consulting, keine Workshops — Download und Implementierung.Every artifact is versioned, machine-readable, and referenceable in procurement documents. No consulting, no workshops — download and implement.Chaque artefact est versionné, lisible par machine et référençable dans les documents d'acquisition. Pas de conseil, pas d'ateliers — téléchargez et implémentez.Ogni artefatto è versionato, leggibile da macchina e referenziabile nei documenti di approvvigionamento. Nessuna consulenza, nessun workshop — scaricate e implementate.

01

QRSpec Standard v1.0

Der Kernstandard: 3 Profile, 3 Assurance Levels, 18 Controls in 10 Kategorien. Basis für alle weiteren Artefakte.The core standard: 3 profiles, 3 assurance levels, 18 controls in 10 categories. Foundation for all other artifacts.Le standard de base : 3 profils, 3 niveaux d'assurance, 18 contrôles répartis en 10 catégories. Fondation de tous les autres artefacts.Lo standard di base: 3 profili, 3 livelli di garanzia, 18 controlli in 10 categorie. Fondazione di tutti gli altri artefatti.

Starter + Professional + Enterprise
02

Label Specification

Pflichtfelder-Layout für physische QR-Labels: Betreibername, Zweck, Domain, Asset-ID, Supportkontakt. Mit Grössen- und Materialvorgaben.Required field layout for physical QR labels: operator name, purpose, domain, asset ID, support contact. With size and material specifications.Disposition requise des champs pour les étiquettes QR physiques : nom de l'opérateur, objectif, domaine, ID d'actif, contact de support. Avec spécifications de taille et de matériau.Layout richiesto dei campi per le etichette QR fisiche: nome dell'operatore, scopo, dominio, ID asset, contatto di supporto. Con specifiche di dimensione e materiale.

Starter + Professional + Enterprise
03

Procurement Clause Set

10 Standardklauseln für Vergabeunterlagen: Domainbindung, Manipulationsschutz, Inventory-Pflicht, Kill-Switch-SLA, Haftungszuordnung.10 standard clauses for procurement documents: domain binding, tamper protection, inventory obligation, kill-switch SLA, liability assignment.10 clauses standard pour les documents d'acquisition : liaison de domaine, protection contre la manipulation, obligation d'inventaire, SLA kill-switch, attribution de responsabilité.10 clausole standard per i documenti di approvvigionamento: vincolo di dominio, protezione contro la manipolazione, obbligo di inventario, SLA kill-switch, attribuzione di responsabilità.

Professional + Enterprise
04

Insurance Alignment Guide

Mapping von QRSpec-Controls zu Versicherungsobliegenheiten. Coverage Gap Analysis, Broker-Kommunikationsvorlagen, Schweizer Markt-Referenzen.Mapping of QRSpec controls to insurance obligations. Coverage gap analysis, broker communication templates, Swiss market references.Correspondance des contrôles QRSpec avec les obligations d'assurance. Analyse des lacunes de couverture, modèles de communication pour courtiers, références du marché suisse.Corrispondenza dei controlli QRSpec con gli obblighi assicurativi. Analisi delle lacune di copertura, modelli di comunicazione per broker, riferimenti del mercato svizzero.

Professional + Enterprise
05

Audit-Kit + Evidence-Templates

Prüfprotokoll pro Control, Evidence-Checkliste, Abnahmeformular mit Baseline-Foto-Spec. Macht QRSpec-Compliance nachweisbar.Audit protocol per control, evidence checklist, acceptance form with baseline photo spec. Makes QRSpec compliance verifiable.Protocole d'audit par contrôle, checklist de preuves, formulaire d'acceptation avec spécification de photo de référence. Rend la conformité QRSpec vérifiable.Protocollo di audit per controllo, checklist delle evidenze, modulo di accettazione con specifica della foto di riferimento. Rende la conformità QRSpec verificabile.

Professional + Enterprise
06

Incident Response Playbook

Ablauf-Templates für QR-Manipulation: Meldung → Triage → physische Sicherung → Deaktivierung → Forensik → Meldepflicht (ISG/CSV).Process templates for QR manipulation: Report → Triage → physical securing → deactivation → forensics → notification obligation (ISG/CSV).Modèles de processus pour la manipulation QR : Signalement → Triage → sécurisation physique → désactivation → forensique → obligation de signalement (LSI/CSV).Modelli di processo per la manipolazione QR: Segnalazione → Triage → messa in sicurezza fisica → disattivazione → analisi forense → obbligo di notifica (LSI/CSV).

Professional + Enterprise
07

Accessibility Compliance Kit

WCAG 2.2 AA Mapping, Fallback-Design-Patterns, ADA/Section-508-Checkliste. QR darf nie alleiniger Zugang sein.WCAG 2.2 AA mapping, fallback design patterns, ADA/Section 508 checklist. QR must never be the only access method.Correspondance WCAG 2.2 AA, design patterns de repli, checklist ADA/Section 508. Le QR ne doit jamais être le seul moyen d'accès.Corrispondenza WCAG 2.2 AA, design pattern di riserva, checklist ADA/Section 508. Il QR non deve mai essere l'unico mezzo di accesso.

Professional + Enterprise
Pricing

Transparente CHF-PreiseTransparent CHF PricingTarification transparente en CHFPrezzi trasparenti in CHF

Alle Preise in CHF, inkl. MwSt. Keine versteckten Kosten, kein Sales-Kontakt nötig.All prices in CHF, incl. VAT. No hidden costs, no sales contact required.Tous les prix en CHF, TVA incluse. Pas de coûts cachés, pas de contact commercial requis.Tutti i prezzi in CHF, IVA inclusa. Nessun costo nascosto, nessun contatto commerciale richiesto.

Governance Artifact Library

7 Governance-Dokumente als Einmalkauf — Spezifikationen, Checklisten, Vertragsklauseln, Audit-Kit und Insurance Guide. Einmal kaufen, unbegrenzt nutzen, in Ausschreibungen referenzieren.7 governance documents as a one-time purchase — specifications, checklists, contract clauses, audit kit, and insurance guide. Buy once, use unlimited, reference in tenders.7 documents de gouvernance en paiement unique — spécifications, checklists, clauses contractuelles, kit d'audit et guide d'assurance. Achetez une fois, utilisez sans limite, référencez dans les appels d'offres.7 documenti di governance con pagamento unico — specifiche, checklist, clausole contrattuali, kit di audit e guida assicurativa. Acquistate una volta, utilizzate senza limiti, referenziate nei bandi di gara.

Starter Bundle
CHF 249
einmaligone-timepaiement uniquepagamento unico
  • QRSpec Spec + ChecklistenQRSpec Spec + ChecklistsQRSpec Spec + ChecklistsQRSpec Spec + Checklist
  • Profil A/B/C DefinitionenProfile A/B/C DefinitionsDéfinitions Profil A/B/CDefinizioni Profil A/B/C
  • Assurance-Level-DokumentAssurance Level DocumentDocument de niveau d'assuranceDocumento sul livello di garanzia
  • Jurisdiktion CHJurisdiction CHJuridiction CHGiurisdizione CH
Jetzt kaufen →Buy Now →Acheter →Acquista →
Professional Bundle
CHF 649
einmaligone-timepaiement uniquepagamento unico
  • Alle 7 ArtefakteAll 7 artifactsLes 7 artefactsTutti i 7 artefatti
  • Klausel-Bibliothek CHClause Library CHBibliothèque de clauses CHBiblioteca di clausole CH
  • Audit-Kit + Evidence-Templates
  • IR-Playbook + Insurance Guide
Jetzt kaufen →Buy Now →Acheter →Acquista →
Enterprise Bundle
CHF 1'490
einmaligone-timepaiement uniquepagamento unico
  • Professional Bundle
  • 1 Jahr Scanner API Basic1 Year Scanner API Basic1 an Scanner API Basic1 anno Scanner API Basic
  • Alle 3 Jurisdiktionen (CH/EU/US)All 3 Jurisdictions (CH/EU/US)Les 3 juridictions (CH/EU/US)Le 3 giurisdizioni (CH/EU/US)
  • JSON-Schema-Bundle
Jetzt kaufen →Buy Now →Acheter →Acquista →

Compliance Scanner API

Automatisierte Prüfung Ihrer QR-Code-Deployments gegen alle QRSpec-Kontrollen. Täglich bis stündlich, für 50 bis unbegrenzte Assets. API-Zugang, Dashboard, Webhooks.Automated scanning of your QR code deployments against all QRSpec controls. Daily to hourly, for 50 to unlimited assets. API access, dashboard, webhooks.Analyse automatisée de vos déploiements QR selon tous les contrôles QRSpec. Quotidien à horaire, pour 50 à un nombre illimité d'actifs. Accès API, tableau de bord, webhooks.Analisi automatizzata dei vostri deployment QR secondo tutti i controlli QRSpec. Da giornaliera a oraria, per 50 a un numero illimitato di asset. Accesso API, dashboard, webhook.

Basic
CHF 49
pro Monatper monthpar moisal mese
  • bis 50 Assetsup to 50 assetsjusqu'à 50 actifsfino a 50 asset
  • Täglich · Module 1–3Daily · Modules 1–3Quotidien · Modules 1–3Giornaliero · Moduli 1–3
  • Dashboard + Alerts
Abonnieren →Subscribe →S'abonner →Abbonati →
Standard
CHF 199
pro Monatper monthpar moisal mese
  • bis 500 Assetsup to 500 assetsjusqu'à 500 actifsfino a 500 asset
  • Täglich + On-Demand · Module 1–5Daily + On-Demand · Modules 1–5Quotidien + à la demande · Modules 1–5Giornaliero + su richiesta · Moduli 1–5
  • API-Zugang + ReportsAPI Access + ReportsAccès API + rapportsAccesso API + report
Abonnieren →Subscribe →S'abonner →Abbonati →
Professional
CHF 499
pro Monatper monthpar moisal mese
  • bis 5'000 Assetsup to 5,000 assetsjusqu'à 5'000 actifsfino a 5'000 asset
  • Stündlich + On-Demand · Alle ModuleHourly + On-Demand · All ModulesHoraire + à la demande · Tous les modulesOrario + su richiesta · Tutti i moduli
  • Webhooks + SLA-Monitoring
Abonnieren →Subscribe →S'abonner →Abbonati →
Enterprise
ab CHF 999from CHF 999dès CHF 999da CHF 999
pro Monatper monthpar moisal mese
  • Unlimited Assets
  • Whitelabel + Custom Rules
  • Dedicated Endpoint
Abonnieren →Subscribe →S'abonner →Abbonati →

Certification Mark Coming Q4 2026

Offizielles QRSpec-Zertifikat für Ihre QR-Deployments. Automatisierte Prüfung über die Scanner API, 30-Tage Qualifying-Phase, SVG-Badge für Web und Print, jährliche Re-Zertifizierung.Official QRSpec certificate for your QR deployments. Automated scanning via Scanner API, 30-day qualifying phase, SVG badge for web and print, annual re-certification.Certificat QRSpec officiel pour vos déploiements QR. Analyse automatisée via l'API Scanner, phase de qualification de 30 jours, badge SVG pour web et impression, re-certification annuelle.Certificato QRSpec ufficiale per i vostri deployment QR. Analisi automatizzata tramite l'API Scanner, fase di qualificazione di 30 giorni, badge SVG per web e stampa, ri-certificazione annuale.

Profil A Basic
CHF 990
pro Jahrper yearpar anall'anno
  • Einzelstandort, bis 20 AssetsSingle location, up to 20 assetsSite unique, jusqu'à 20 actifsSede unica, fino a 20 asset
  • 30-Tage Qualifying-Phase30-day qualifying phasePhase de qualification de 30 joursFase di qualificazione di 30 giorni
  • SVG-Badge für Web + PrintSVG badge for web + printBadge SVG pour web + impressionBadge SVG per web + stampa
  • Jährliche Re-ZertifizierungAnnual re-certificationRe-certification annuelleRi-certificazione annuale
Notify me →
Profil B Substantial
CHF 2'490
pro Jahrper yearpar anall'anno
  • Betreiber, bis 200 AssetsOperator, up to 200 assetsOpérateur, jusqu'à 200 actifsOperatore, fino a 200 asset
  • 30-Tage Qualifying-Phase30-day qualifying phasePhase de qualification de 30 joursFase di qualificazione di 30 giorni
  • SVG-Badge + physisches Label-TemplateSVG badge + physical label templateBadge SVG + modèle d'étiquette physiqueBadge SVG + modello di etichetta fisica
  • Jährliche Re-ZertifizierungAnnual re-certificationRe-certification annuelleRi-certificazione annuale
  • Verification-URL pro AssetVerification URL per assetURL de vérification par actifURL di verifica per asset
Notify me →
Profil C High
CHF 4'900
pro Jahrper yearpar anall'anno
  • Enterprise / kritische InfrastrukturEnterprise / critical infrastructureEntreprise / infrastructure critiqueEnterprise / infrastruttura critica
  • 30-Tage Qualifying-Phase30-day qualifying phasePhase de qualification de 30 joursFase di qualificazione di 30 giorni
  • SVG-Badge + physisches Label-TemplateSVG badge + physical label templateBadge SVG + modèle d'étiquette physiqueBadge SVG + modello di etichetta fisica
  • Jährliche Re-ZertifizierungAnnual re-certificationRe-certification annuelleRi-certificazione annuale
  • 24/7 Monitoring-SLA
Notify me →
Municipality
CHF 9'900
pro Jahrper yearpar anall'anno
  • Gesamte Kommune, unlimited AssetsEntire municipality, unlimited assetsCommune entière, actifs illimitésComune intero, asset illimitati
  • Alle Profile (A/B/C) inkludiertAll profiles (A/B/C) includedTous les profils (A/B/C) inclusTutti i profili (A/B/C) inclusi
  • Dedicated Verification-Portal
  • Jährliche Re-ZertifizierungAnnual re-certificationRe-certification annuelleRi-certificazione annuale
  • Case Study & Referenz-NennungCase study & reference listingÉtude de cas & référencementCaso di studio & menzione come referenza
Notify me →

Clause Generator Coming Q4 2026

KI-gestützte Engine für massgeschneiderte QRSpec-Vertragsklauseln. Wählen Sie Jurisdiktion, Profil und Use Case — erhalten Sie sofort einsetzbare Klauseln in Ihrer Rechtssprache.AI-powered engine for tailored QRSpec contract clauses. Select jurisdiction, profile, and use case — receive ready-to-use clauses in your legal language.Moteur alimenté par l'IA pour des clauses contractuelles QRSpec sur mesure. Sélectionnez juridiction, profil et cas d'utilisation — recevez des clauses prêtes à l'emploi dans votre langue juridique.Motore basato sull'IA per clausole contrattuali QRSpec su misura. Selezionate giurisdizione, profilo e caso d'uso — ricevete clausole pronte all'uso nella vostra lingua giuridica.

Starter
CHF 99
pro Monatper monthpar moisal mese
  • 10 Generierungen/Monat10 generations/month10 générations/mois10 generazioni/mese
  • DE + EN
  • Profil A/B/C SupportProfile A/B/C supportSupport Profil A/B/CSupporto Profil A/B/C
  • Markdown-Export
Notify me →
Professional
CHF 249
pro Monatper monthpar moisal mese
  • 50 Generierungen/Monat50 generations/month50 générations/mois50 generazioni/mese
  • DE/FR/IT/EN
  • Alle Profile + Assurance LevelsAll profiles + assurance levelsTous les profils + niveaux d'assuranceTutti i profili + livelli di garanzia
  • Markdown + DOCX Export
  • Use-Case Templates (Parking, ÖV, Behörde)Use case templates (Parking, Transit, Government)Modèles par cas d'utilisation (Stationnement, Transport, Gouvernement)Modelli per caso d'uso (Parcheggio, Trasporti, Governo)
Notify me →
Enterprise
CHF 399
pro Monatper monthpar moisal mese
  • Unlimited GenerierungenUnlimited generationsGénérations illimitéesGenerazioni illimitate
  • Alle Sprachen + Custom TemplatesAll languages + custom templatesToutes les langues + modèles personnalisésTutte le lingue + modelli personalizzati
  • API-Zugang für MassenverarbeitungAPI access for bulk processingAccès API pour traitement en masseAccesso API per elaborazione in massa
  • Custom Clause Library
  • Eigene Jurisdiktions-ProfileCustom jurisdiction profilesProfils juridictionnels personnalisésProfili giurisdizionali personalizzati
Notify me →
FAQ

Häufige FragenFrequently Asked QuestionsQuestions fréquentesDomande frequenti

Ist QRSpec ein offizieller ISO/IEC-Standard?Is QRSpec an official ISO/IEC standard?QRSpec est-il un standard ISO/IEC officiel ?QRSpec è uno standard ISO/IEC ufficiale?

Nein. QRSpec ist ein offener Governance-Standard für Deployment, Betrieb und Audit von QR-Codes im öffentlichen Raum. ISO 18004 regelt die QR-Symbologie (Kodierung, Fehlerkorrektur). QRSpec ergänzt diese um Aspekte, die ISO nicht abdeckt: physische Signage-Integrität, Asset-Management, Haftungsketten, Incident Response und Versicherungs-Alignment. Eine Einreichung bei eCH (Schweizer E-Gov-Standards) ist in Vorbereitung.No. QRSpec is an open governance standard for deployment, operation, and audit of QR codes in public spaces. ISO 18004 governs QR symbology (encoding, error correction). QRSpec supplements it with aspects ISO does not cover: physical signage integrity, asset management, liability chains, incident response, and insurance alignment. A submission to eCH (Swiss e-government standards) is in preparation.Non. QRSpec est un standard de gouvernance ouvert pour le déploiement, l'exploitation et l'audit des QR codes dans l'espace public. ISO 18004 régit la symbologie QR (encodage, correction d'erreurs). QRSpec le complète avec des aspects non couverts par l'ISO : intégrité physique des panneaux indicateurs, gestion des actifs, chaînes de responsabilité, réponse aux incidents et alignement assurantiel. Une soumission à eCH (standards suisses de cyberadministration) est en préparation.No. QRSpec è uno standard di governance aperto per il deployment, l'esercizio e l'audit dei codici QR nello spazio pubblico. ISO 18004 regola la simbologia QR (codifica, correzione degli errori). QRSpec lo integra con aspetti non coperti dall'ISO: integrità fisica della segnaletica, gestione degli asset, catene di responsabilità, risposta agli incidenti e allineamento assicurativo. Una presentazione a eCH (standard svizzeri di e-government) è in preparazione.

Brauche ich QRSpec, wenn ich nur Info-QR-Codes verwende?Do I need QRSpec if I only use informational QR codes?Ai-je besoin de QRSpec si je n'utilise que des QR codes informationnels ?Ho bisogno di QRSpec se utilizzo solo codici QR informativi?

Auch Informations-QR-Codes (Profil A) können manipuliert werden — das NCSC dokumentiert Fälle, in denen Info-QRs auf Phishing-Seiten umgeleitet wurden. Profil A hat bewusst niedrigere Anforderungen als Profil B/C, aber Basis-Controls wie HTTPS-Pflicht, Shortener-Verbot und Asset-Inventar sind auch hier empfohlen. Das Starter Bundle (CHF 249) deckt Profil A ab.Even informational QR codes (Profile A) can be manipulated — the NCSC documents cases where info QRs were redirected to phishing sites. Profile A deliberately has lower requirements than Profile B/C, but basic controls like HTTPS requirement, shortener prohibition, and asset inventory are recommended here too. The Starter Bundle (CHF 249) covers Profile A.Même les QR codes informationnels (Profil A) peuvent être manipulés — le NCSC documente des cas où des QR informationnels ont été redirigés vers des sites de phishing. Le Profil A a volontairement des exigences plus faibles que les Profils B/C, mais des contrôles de base comme l'exigence HTTPS, l'interdiction des raccourcisseurs et l'inventaire des actifs sont également recommandés. Le Starter Bundle (CHF 249) couvre le Profil A.Anche i codici QR informativi (Profil A) possono essere manipolati — il NCSC documenta casi in cui QR informativi sono stati reindirizzati verso siti di phishing. Il Profil A ha volutamente requisiti più bassi rispetto ai Profil B/C, ma controlli di base come l'obbligo HTTPS, il divieto di accorciatori e l'inventario degli asset sono comunque raccomandati. Lo Starter Bundle (CHF 249) copre il Profil A.

Was ist der Unterschied zwischen den Bundles?What is the difference between the bundles?Quelle est la différence entre les bundles ?Qual è la differenza tra i bundle?

Das Starter Bundle enthält den Core-Standard, Profile, Assurance Levels und zwei operative Checklisten — geeignet für Organisationen mit reinen Info-QRs in der Schweiz. Das Professional Bundle enthält alle 7 Artefakte inkl. Klausel-Bibliothek, Audit-Kit, Insurance Alignment Guide und IR-Playbook — für Betreiber mit Zahlungs- oder Auth-QRs. Das Enterprise Bundle ergänzt ein Jahr Scanner API Basic und alle drei Jurisdiktionsvarianten (CH/EU/US).The Starter Bundle contains the core standard, profiles, assurance levels, and two operational checklists — suitable for organizations with purely informational QRs in Switzerland. The Professional Bundle contains all 7 artifacts incl. clause library, audit kit, insurance alignment guide, and IR playbook — for operators with payment or auth QRs. The Enterprise Bundle adds one year of Scanner API Basic and all three jurisdiction variants (CH/EU/US).Le Starter Bundle contient le standard de base, les profils, les niveaux d'assurance et deux checklists opérationnelles — adapté aux organisations avec des QR purement informationnels en Suisse. Le Professional Bundle contient les 7 artefacts incl. bibliothèque de clauses, kit d'audit, guide d'alignement assurantiel et playbook IR — pour les opérateurs avec des QR de paiement ou d'authentification. L'Enterprise Bundle ajoute un an de Scanner API Basic et les trois variantes juridictionnelles (CH/EU/US).Lo Starter Bundle contiene lo standard di base, i profili, i livelli di garanzia e due checklist operative — adatto alle organizzazioni con QR puramente informativi in Svizzera. Il Professional Bundle contiene tutti i 7 artefatti incl. biblioteca di clausole, kit di audit, guida all'allineamento assicurativo e playbook IR — per operatori con QR di pagamento o autenticazione. L'Enterprise Bundle aggiunge un anno di Scanner API Basic e tutte e tre le varianti giurisdizionali (CH/EU/US).

Können die Artefakte in Ausschreibungen referenziert werden?Can the artifacts be referenced in tenders?Les artefacts peuvent-ils être référencés dans les appels d'offres ?Gli artefatti possono essere referenziati nei bandi di gara?

Ja, das ist einer der Hauptanwendungsfälle. Die Procurement Clause Sets sind so formuliert, dass sie direkt in Vergabeunterlagen nach BöB (Schweiz), EU-Vergaberichtlinie oder FAR (USA) eingebettet werden können. Jede Klausel hat eine eindeutige ID (QRSpec-CL-CH-*), ist parametrisierbar und referenziert die zugehörigen Controls.Yes, that is one of the primary use cases. The Procurement Clause Sets are formulated so they can be directly embedded in procurement documents under BöB (Switzerland), EU Procurement Directive, or FAR (USA). Each clause has a unique ID (QRSpec-CL-CH-*), is parameterizable, and references the corresponding controls.Oui, c'est l'un des principaux cas d'utilisation. Les jeux de clauses d'acquisition sont formulés de manière à pouvoir être directement intégrés dans les documents de marchés publics selon la LMP (Suisse), la directive européenne sur les marchés publics ou le FAR (USA). Chaque clause a un identifiant unique (QRSpec-CL-CH-*), est paramétrable et référence les contrôles correspondants.Sì, è uno dei principali casi d'uso. I set di clausole di approvvigionamento sono formulati in modo da poter essere integrati direttamente nei documenti dei bandi pubblici secondo la LAPub (Svizzera), la direttiva europea sugli appalti pubblici o il FAR (USA). Ogni clausola ha un identificativo unico (QRSpec-CL-CH-*), è parametrizzabile e fa riferimento ai controlli corrispondenti.

Wie funktioniert die Versicherungs-Integration?How does the insurance integration work?Comment fonctionne l'intégration assurantielle ?Come funziona l'integrazione assicurativa?

Der Insurance Alignment Guide (Teil des Professional Bundle) mappt jede QRSpec-Kontrolle auf typische Versicherungsobliegenheiten. Er identifiziert Coverage Gaps bei QR-Fraud (insbesondere die „voluntary parting"-Lücke zwischen Cyber und Crime) und liefert Broker-Kommunikationsvorlagen. Betreiber können gegenüber Versicherern argumentieren, dass QRSpec-Compliance ein prämienrelevanter Risikominderungsnachweis ist.The Insurance Alignment Guide (part of the Professional Bundle) maps each QRSpec control to typical insurance obligations. It identifies coverage gaps in QR fraud (particularly the "voluntary parting" gap between cyber and crime) and provides broker communication templates. Operators can argue to insurers that QRSpec compliance is premium-relevant risk mitigation evidence.Le guide d'alignement assurantiel (partie du Professional Bundle) met en correspondance chaque contrôle QRSpec avec les obligations d'assurance typiques. Il identifie les lacunes de couverture dans la fraude QR (en particulier la lacune « voluntary parting » entre cyber et criminalité) et fournit des modèles de communication pour courtiers. Les opérateurs peuvent argumenter auprès des assureurs que la conformité QRSpec constitue une preuve de réduction des risques pertinente pour les primes.La guida all'allineamento assicurativo (parte del Professional Bundle) mette in corrispondenza ogni controllo QRSpec con i tipici obblighi assicurativi. Identifica le lacune di copertura nella frode QR (in particolare la lacuna «voluntary parting» tra cyber e criminalità) e fornisce modelli di comunicazione per broker. Gli operatori possono argomentare presso gli assicuratori che la conformità QRSpec costituisce una prova di riduzione del rischio rilevante per i premi.

Ist der Scanner kostenlos nutzbar?Is the scanner free to use?Le scanner est-il gratuit ?Lo scanner è gratuito?

Die Scanner-Demo auf dieser Seite führt client-seitige Checks durch — kostenlos, ohne Datenübertragung. Die vollständige Scanner API mit TLS-Validierung, Redirect-Analyse, Content-Integrity und Accessibility-Audit ist ein kostenpflichtiger SaaS-Service ab CHF 49/Monat. Die CLI ist Open Source auf GitHub.The scanner demo on this page runs client-side checks — free of charge, with no data transfer. The full Scanner API with TLS validation, redirect analysis, content integrity, and accessibility audit is a paid SaaS service starting at CHF 49/month. The CLI is open source on GitHub.La démo du scanner sur cette page effectue des vérifications côté client — gratuitement, sans transfert de données. L'API Scanner complète avec validation TLS, analyse de redirection, intégrité du contenu et audit d'accessibilité est un service SaaS payant à partir de CHF 49/mois. Le CLI est open source sur GitHub.La demo dello scanner su questa pagina effettua verifiche lato client — gratuitamente, senza trasferimento di dati. L'API Scanner completa con validazione TLS, analisi dei redirect, integrità del contenuto e audit di accessibilità è un servizio SaaS a pagamento a partire da CHF 49/mese. La CLI è open source su GitHub.