The shortener your DPO won’t push back on.
Sie messen DSAR-Durchlaufzeit, SOC 2-Evidence-Frische und wie viele Vendor-Fragen ein Sales-Zyklus kostet. Elido ist der Shortener, den Ihr DPO nicht zurückweist.
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- FrankfurtFRA · eu-central-1EU residency · default
Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.
- AshburnIAD · us-east-1Opt-in
Workspace creation only. Irreversible. For US-resident customers who want US data path.
- SingaporeSIN · ap-southeast-1Business+ · opt-in
Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.
Append-only audit log
Every state change. Actor, IP, before/after diff, source.
Append-only is enforced at the database layer: the audit table grants only INSERT and SELECT to application roles, with no UPDATE or DELETE. Even our own admins can’t rewrite history without a migration that shows up in change control. Retention is 90 days on Pro and 7 years on Business — covering SOX, MiFID II, and HIPAA without an add-on.
- Actor identityUser ID or service principal, plus source IP and request ID
- Before/after diffStructured JSON diff of the changed row — not just a text log line
- SIEM firehoseHMAC-signed webhook to Splunk / Datadog / ELK in real time
- Tamper-evidentPostgres GRANT enforcement; no UPDATE / DELETE for app roles
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Data subject access requests
DSAR, not support ticket. API call, signed bundle, SLA clock.
You receive a subject request from your end user. You forward it via the dashboard or API as a controller-on-behalf-of-subject request — Elido authenticates the controller (you), not the subject. The bundle is a signed zip: identity record, links, audit-log entries where the subject is the actor, billing receipts if the subject is a workspace owner. Standard SLA is 30 days; Business expedited returns inside 5 business days.
- Step 1
Subject request
End user → controller (you)Subject contacts you. You authenticate them in your own product, not in Elido.
- Step 2
DSAR API call
POST /v1/dsarForward as a controller-on-behalf request with subject email + request type (export / erase).
- Step 3
Workspace bundle
signed zip · JSON + CSVIdentity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.
- Step 4
SLA
30 days · 5 days expeditedStandard SLA on every plan; Business expedited tier returns inside 5 business days.
Five sub-processors, listed publicly
Hetzner, OVH, Postmark, monobank Plata, Cloudflare. That’s the list.
The full list with vendor location, processing purpose, data categories, and DPA reference URL lives at /legal/subprocessors and is checked into the public docs repo, so changes appear in git history. Adding or replacing a sub-processor triggers a 30-day notice to every workspace admin via in-app banner and email before processing begins, so customers can object. monobank Plata replaced LiqPay under ADR-0026 in 2026-05.
- HetznerISO 27001Compute · primary infraEU · Frankfurt + Helsinki
- OVHISO 27001 · SOC 2Compute · Business region pinsEU + APAC POPs
- PostmarkSOC 2 Type IITransactional emailEU (opt-out for EU-only)
- monobank PlataPCI DSS L1Payments · replaced LiqPay (ADR-0026)EU
- CloudflareISO 27001 · SOC 2Marketing proxy + WAF (not redirect path)Global
What you can put on the procurement deck
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- ISO 27001 achieved · SOC 2 Type II in progress (H2 2026)
- HIPAA-ready BAA on Business+ with safeguards already wired
Wie Compliance im Produkt aussieht
Die meisten Kurz-URL-Dienste beantworten Compliance-Fragen mit einem Einseiter und einem Fragebogen zur Lieferantenbewertung. Die folgenden Funktionen sind tatsächlich im Code implementiert, keine leeren Versprechen in einer Präsentation.
EU-Standard, Region pro Workspace festgelegt
Frankfurt ist die Standardregion für jeden neuen Workspace. Click-Events, Link-Metadaten, Audit-Logs, Exporte – alles bleibt in eu-central-1, sofern ein Administrator den Workspace bei der Erstellung nicht auf Ashburn oder Singapur festlegt. Es gibt keine regionsübergreifende Replikation für heiße Daten; Backups sind at rest verschlüsselt und werden in derselben Region wie die Quelle gespeichert. Das DPF (Data Privacy Framework) ist nicht Teil unserer Compliance-Strategie – wir verlassen uns nicht auf US-EU-Transfermechanismen, da wir keine Daten übertragen.
Append-only Log jeder Zustandsänderung
Workspace-Einstellungen, API-Key-Ausstellung und -Rotation, Mitgliedereinladungen und Rollenänderungen, Custom-Domain-Ansprüche, Branding-Bearbeitungen, Erstellen/Aktualisieren/Löschen von Links – jede Mutation landet im Audit-Log mit Akteur, Zeitstempel, Vorher-Nachher-Diff und Quell-IP. Protokolle werden bei Pro 90 Tage und bei Business 7 Jahre lang aufbewahrt; beide Tiers können den Firehose in Echtzeit via Webhook an ein SIEM (Splunk, Datadog, ELK) streamen. Manipulationen werden durch die append-only Einschränkung auf Datenbankebene verhindert; das Log ist abfragbar, aber selbst für Admins nicht editierbar.
Fünf Anbieter, alle öffentlich gelistet
Wir nutzen genau fünf Sub-Auftragsverarbeiter: Hetzner (Compute, EU), OVH (Compute, EU + APAC für Business), Postmark (transaktionale E-Mails, US – Opt-out für EU-only), LiqPay (Zahlungen, EU) und Cloudflare (Proxy + WAF, global). Die vollständige Liste mit Standort, Zweck und DPA-Referenz finden Sie unter /legal/subprocessors; Aktualisierungen lösen eine 30-tägige Kundenbenachrichtigung aus. Wir fügen Sub-Auftragsverarbeiter nicht heimlich hinzu; die Liste ist im Docs-Repo hinterlegt und wird jedes Quartal überprüft.
Export und Löschung via API, nicht per Support-Ticket
Der Datenexport pro Nutzer liefert ein JSON + CSV-Bundle, das Identität, erstellte Links, dem Betroffenen zuzuordnende Audit-Log-Einträge und Click-Event-Metadaten (normalerweise keine – Clicks werden beim Ingest anonymisiert, sofern der Workspace nicht explizit PII-Tracking aktiviert) umfasst. Die Löschung erfolgt als Soft-Delete mit einem 30-Tage-Fenster zur Wiederherstellung nach versehentlichem Löschen, gefolgt von einem Hard-Purge aus Primärdatenbank, Replikaten und Backups. Die SLA beträgt 30 Tage ab Anfrage; der Business-Expedited-Tier erledigt dies in 5 Werktagen.
SOC 2 Type II, ISO 27001, HIPAA-ready
Das SOC 2 Type II Audit ist im Gange (Ziel: H2 2026); die Kontrollen und Nachweise sind bereits vorhanden – wir warten lediglich auf das Audit-Zeitfenster. ISO 27001 ist erreicht. HIPAA-ready bedeutet, dass wir ein BAA auf Business+ unterzeichnen und die technischen Sicherheitsvorkehrungen (Verschlüsselung, Audit-Trail, Zugriffskontrollen, Verfahren zur Benachrichtigung bei Datenschutzverletzungen) implementiert haben; die Zertifizierung erfolgt branchenspezifisch, nicht als einzelner Stempel im SOC-Stil. Der Vertrauensstatus ist unter /trust dokumentiert, Aktualisierungen erscheinen im /changelog.
Stack you’ll evidence
- EU-Residenz
- GDPR DPA
- SOC 2 Type II (in Bearbeitung)
- ISO 27001
- Audit Log + SIEM Firehose
- DSAR API
Was Ihr DPO misst
- Anzahl Subprozessoren
- 5, nur EU standardmäßig
- DSAR-Antwort
- Unter 30 Tagen
- Audit Log Retention
- 7 Jahre auf Business
Compliance-Teams, die darauf setzen
Namen sind vorerst Platzhalter – echte Kundennamen werden hier erscheinen, sobald Fallstudien veröffentlicht werden.
“Wir mussten Bitly verlassen, als unser Prüfer die US-Sub-Auftragsverarbeiterliste bemängelte. Elidos EU-only Standard passierte den Einkauf in zwei Wochen; zuvor kamen wir beim vorherigen Anbieter nicht über 'zeigen Sie mir das DPA' hinaus.”
“Das BAA auf Business machte den Unterschied. Zudem streamt das Audit-Log direkt in unser Datadog SIEM – wir mussten keine eigene Synchronisierungsschicht schreiben.”
“Schrems II disqualifizierte vier Kurz-URL-Dienste, die wir evaluiert haben. Elido war der einzige, dessen Antwort auf 'Wo liegen die Daten?' lautete: 'In dem Land, das Sie angegeben haben'. Das ist der entscheidende Punkt.”
Was sich ändert, wenn Compliance der Käufer ist
Wenn Ihr Datenschutzbeauftragter den Anbieter prüft, sind dies die Fragen, die er stellen wird. Ehrliche Antworten über drei Optionen hinweg.
| Capability | Elido | Bitly Enterprise | Generischer Kurz-URL-Dienst |
|---|---|---|---|
| Standard-Datenresidenz | EU (Frankfurt) für jeden Workspace | US-Standard; EU-Opt-in für Enterprise | Region hängt vom Tarif ab |
| Abhängigkeit von DPF / Schrems II | Keine – kein US-Datenpfad | DPF-gelistet; verlässt sich auf Transfermechanismen | Gemischt; hängt von Sub-Auftragsverarbeitern ab |
| Anzahl der Sub-Auftragsverarbeiter | 5, alle öffentlich gelistet | 20+ über alle Tarife hinweg | Nicht veröffentlicht |
| DPA-Unterzeichnung | Vorgezeichnet, zum Download | Manuelle Gegenzeichnung auf Anfrage | Auf Anfrage, nur kostenpflichtige Tarife |
| Audit-Log-Aufbewahrung | 7 Jahre auf Business | 1 Jahr Standard | 30-90 Tage |
| Audit-Log → SIEM-Streaming | Webhook-Firehose, Echtzeit | Nur täglicher Export | Manueller Download |
| Erfüllung von DSAR-Anfragen | API; <30 T. Standard, <5 T. beschleunigt | Support-Ticket; 30 T. | Support-Ticket; SLA variiert |
| BAA / HIPAA-Unterstützung | Ja auf Business+ | Enterprise-Add-on | Nein |
| SOC 2 / ISO 27001 | ISO 27001; SOC 2 Type II in Arbeit | Beide, etabliert | Keines von beiden |
Häufige Fragen aus dem Einkauf
Wo genau werden unsere Daten gespeichert?
Standardmäßig in EU-Central (Frankfurt). Postgres, ClickHouse (Clickstream), Redis (Cache), MinIO (Asset-Speicher) und Backups befinden sich alle in eu-central-1. Es werden keine Daten nach US oder APAC repliziert, es sei denn, ein Administrator legt den Workspace bei der Erstellung explizit auf Ashburn oder Singapur fest – dies ist eine bewusste, irreversible Entscheidung (Workspaces migrieren nicht zwischen Regionen). Die vollständige Architektur ist in /docs/strategy/ARCHITECTURE.md im öffentlichen Repo dokumentiert.
Fallen Sie in den Bereich von SOC 2 / ISO 27001?
ISO 27001 ist erreicht. Das SOC 2 Type II Audit läuft mit Zieltermin H2 2026 – die Kontrollen und Nachweise sind bereits in Betrieb, der Audit-Zeitraum ist der zeitkritische Faktor. Wir teilen heute Type-1-Nachweise auf Anfrage unter NDA; Type-2-Berichte werden veröffentlicht, sobald sie fertig sind. Das Trust Center unter /trust verfolgt den aktuellen Status.
Unterzeichnen Sie ein DPA?
Vorgezeichnet und zum Download unter /legal/dpa verfügbar. Das DPA verweist auf unsere Liste der Sub-Auftragsverarbeiter unter /legal/subprocessors als dynamisches Dokument; Änderungen an Sub-Auftragsverarbeitern werden 30 Tage im Voraus angekündigt. Wenn Sie Anpassungen (Redlines) benötigen, ist dies Gegenstand von Vertragsgesprächen für Business+; die Standards werden von EU-Datenschutzbeauftragten in der Regel ohne Änderungen akzeptiert.
Wie viele Sub-Auftragsverarbeiter sind beteiligt?
Fünf: Hetzner (Compute, EU), OVH (Compute, EU + APAC für Nicht-EU-Kunden), Postmark (transaktionale E-Mails – Opt-out für EU-only), LiqPay (Zahlungen, EU), Cloudflare (Proxy + WAF, global). Standorte und Verwendungszweck für jeden sind unter /legal/subprocessors aufgeführt. Das Hinzufügen eines Sub-Auftragsverarbeiters löst eine 30-tägige Kundenbenachrichtigung aus; wir führen sie nicht stillschweigend ein.
Können wir HSM / KMS für Verschlüsselungs-Keys selbst mitbringen?
Ja, in der Self-hosted-Edition. SaaS Elido verschlüsselt at rest mit AWS KMS (pro Region) und in transit mit TLS 1.3; wir unterstützen derzeit kein kundenseitig verwaltetes KMS im mandantenfähigen SaaS. Mit Self-host (Helm-Chart, Apache 2.0 lizenziert) können Sie auf Ihr eigenes KMS / Vault / HSM verweisen.
Wie sieht die SLA für die Benachrichtigung bei Datenschutzverletzungen aus?
Bestätigte Verletzungen des Schutzes personenbezogener Daten: 24 Stunden Kundenbenachrichtigung, 72 Stunden Behördenbenachrichtigung (GDPR Art. 33). Die Benachrichtigung umfasst den aktuellen Kenntnisstand; wir warten nicht auf die vollständige Forensik. Der Prozess ist in unserem Trust Center unter /trust/incident-response beschrieben.
Erfüllen Sie DSAR-Anfragen von Endnutzern (betroffenen Personen), nicht nur von uns als Kunde?
Wir handeln auf Anweisung des Verantwortlichen (Sie als Kunde). Endnutzer kontaktieren Sie; Sie leiten die Anfrage über das Dashboard oder die API weiter und wir führen sie aus. Wir akzeptieren DSAR-Anfragen nicht direkt von Endnutzern, da wir keine Möglichkeit hätten, sie als Betroffene Ihres Workspaces zu authentifizieren – diese Authentifizierung liegt bei Ihnen.
Kann das Audit-Log von einem Elido-Admin manipuliert werden?
Nein. Das Log ist auf Datenbankebene append-only; selbst unsere eigenen Admins können historische Einträge nicht bearbeiten. Das Löschen alter Einträge nach Ablauf des Aufbewahrungszeitraums erfolgt automatisiert und protokolliert ein 'Retention Purge'-Meta-Event, sodass die Lücke selbst auditierbar ist. Eine Live-Manipulation würde einen Einbruch auf Datenbankebene erfordern, der unseren Anwendungscode umgeht, was das gleiche Bedrohungsmodell wie bei jeder anderen Tabellen-Korruption darstellt – abgedeckt durch RLS und unsere SOC 2-Kontrollen.
Haben Sie eine öffentliche security.txt / Coordinated-Disclosure-Richtlinie?
Ja – security.txt unter /.well-known/security.txt; Coordinated-Disclosure-Richtlinie unter /trust/disclosure. Das Bug-Bounty-Programm läuft über HackerOne (privates Programm; kontaktieren Sie security@elido.app für eine Einladung, falls Sie einen nicht gemeldeten Befund haben).
Was passiert bei Vertragsende? Wie bekommen wir unsere Daten heraus?
Vollständiger Datenexport jederzeit über die API oder eine einmalige Support-Anfrage. JSON + CSV-Bundle mit Links, Click-Events (roh oder aggregiert, nach Ihrer Wahl), Audit-Log, Mitgliedern, Einstellungen, Branding. Nach Vertragsende halten wir die Daten für 30 Tage zwecks Wiederherstellung nach versehentlicher Kündigung bereit, danach erfolgt ein Hard-Purge aus Primärsystemen, Replikaten und Backups. Wir können eine schriftliche Löschbestätigung ausstellen, falls Ihr DPA dies erfordert.
DPO’s reading list
Sub-processors, DPA, security.txt — the public version of every claim on this page.
Pre-signed DPA, downloadable. Standard EU SCCs, no negotiation needed for default terms.
Five vendors, public list with location, purpose, DPA reference per row.
Encryption, access control, vulnerability disclosure, incident response timelines.
WorkOS-managed SAML / OIDC + SCIM directory sync; deprovisioning within minutes.
DSAR endpoints, audit log streaming, scoped API keys — typed across TS / Py / Go.
Nicht sicher, welcher Winkel passt?
Die meisten Teams beginnen als eins und wachsen in alle vier hinein. Unser Vertriebsteam kann in 20 Minuten Ihren spezifischen Stack durchgehen.