Elido
Trust Center

Vertrauen, schriftlich festgehalten.

Elido ist standardmäßig EU-hosted, GDPR-konform und mit integrierten Audit-Trails gebaut. Alles unten Stehende ist bereits implementiert - kein Zukunftsversprechen.

DPA lesen[email protected]
SOC 2 Type II
ISO 27001
GDPR
HIPAA-aware (Business)
EU-residency
Workspace-Region · einmal festlegen
beim Erstellen irreversibel
  • EU-RegionEU
    EU-Residency · Standard

    Standard für jeden Workspace. Audit-Log, Klicks und Backups bleiben in der Region. Keine DPF- oder Schrems-II-Abhängigkeit.

  • US EastUS
    Opt-in

    Nur bei Workspace-Erstellung. Irreversibel. Für US-ansässige Kunden, die einen US-Datenpfad wünschen.

  • Asien-PazifikAPAC
    Business+ · Opt-in

    Nur bei Workspace-Erstellung. Irreversibel. APAC-Residency für Business- und Enterprise-Tarife.

Keine regionsübergreifende Replikation für heiße DatenAudit · Klicks · Backups
5
Sub-Prozessoren, öffentliche Liste
90 T.
Audit-Aufbewahrung Pro (7 J. auf Business)
30 T.
DSAR-SLA (5 T. beschleunigt auf Business)
0
Regionsübergreifende Transfers für heiße Daten

Was „Vertrauen“ in Produktbegriffen bedeutet

Was wir unter Vertrauen verstehen

Jeder Punkt entspricht etwas Konkretem, das Sie im Audit-Log, in der DPA oder in unserem öffentlichen Infrastruktur-Repo nachsehen können. Keine Marketing-Unschärfe.

EU-residency, standardmäßig

Alle operativen Daten bleiben in der EU-Region. Business-Pläne können US East oder Asien-Pazifik wählen. Free + Pro verlassen nie die EU.

Audit-Trail für alles

Workspace-Einstellungen, Rollenänderungen, Key-Rotationen, Link-Erstellung, Löschungen, Exports. Jedes Event mit Wer, Wann, Was - exportierbar.

Standardmäßig Read-Only für KI

KI-Integrationen erhalten begrenzte, rotierbare Keys. Schreib- oder Löschzugriff ist eine explizite, auditierte Workspace-Einstellung - kein Standard.

BYOK und Customer-Managed Keys

Nutze deinen eigenen KMS für At-Rest-Verschlüsselung auf Business. Rotiere Keys ohne Re-Verschlüsselung des Cold-Storage.

Anti-Abuse-Pipeline

Jeder Link durchläuft einen kombinierten Scanner (URLhaus + Google Safe Browsing + Heuristiken) bei Erstellung und rollierender Re-Scan-Worker.

Sub-Prozessor-Transparenz

Vollständige Liste, Standort und Zweck. Wir informieren über Neuzugänge; Opt-Out-Optionen teils verfügbar.

Append-only Audit-Log

Jede Zustandsänderung wird aufgezeichnet.

Append-only wird auf Datenbankebene erzwungen: Die Audit-Tabelle gewährt Anwendungsrollen nur INSERT und SELECT, kein UPDATE oder DELETE. Selbst unsere eigenen Administratoren können die Historie nicht ohne eine Migration umschreiben, die im Change-Control auftaucht. Die Aufbewahrung beträgt 90 Tage auf Pro und 7 Jahre auf Business - sie deckt SOX, MiFID II und HIPAA ohne Zusatzmodul ab.

  • Akteur-Identität
    Benutzer-ID oder Service Principal, plus Quell-IP und Request-ID
  • Vorher/Nachher-Diff
    Strukturierter JSON-Diff der geänderten Zeile - keine reine Text-Logzeile
  • SIEM-Firehose
    HMAC-signierte Webhooks an Splunk / Datadog / ELK in Echtzeit
  • Manipulationssicher
    Datenbank-GRANT-Erzwingung; kein UPDATE / DELETE für App-Rollen
Sicherheitsüberblick →
Audit-Eintrag · evt_8c41a7
domain.claim · ws_8a2f
Zeitstempel (UTC)
2026-05-08T11:42:18Z
Quell-IP
203.0.113.42 · DE
Quelle
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Ereignistyp
domain.claim
Diff-Zeilen
+3 / -2
Aufbewahrung
7 Jahre (Business)
Append-only · per Datenbank-GRANT erzwungenLive zum SIEM gestreamt

Auskunftsersuchen der Betroffenen

Betroffenenrechte per API.

Sie erhalten ein Auskunftsersuchen von Ihrem Endnutzer. Sie leiten es über das Dashboard oder die API als Controller-im-Namen-des-Betroffenen-Anfrage weiter - Elido authentifiziert den Controller (Sie), nicht den Betroffenen. Das Bundle ist ein signiertes ZIP: Identitätsdatensatz, Links, Audit-Log-Einträge, in denen der Betroffene der Akteur ist, Abrechnungsbelege, wenn der Betroffene Workspace-Eigentümer ist. Standard-SLA sind 30 Tage; das Business-Express-Programm liefert innerhalb von 5 Arbeitstagen.

  1. Schritt 1

    Betroffenenanfrage

    Endnutzer → Controller (Sie)

    Der Betroffene kontaktiert Sie. Sie authentifizieren ihn in Ihrem eigenen Produkt, nicht in Elido.

  2. Schritt 2

    DSAR-API-Aufruf

    POST /v1/dsar

    Weiterleiten als Controller-im-Namen-Anfrage mit E-Mail des Betroffenen + Anfragetyp (export / erase).

  3. Schritt 3

    Workspace-Bundle

    signiertes ZIP · JSON + CSV

    Identität, Links, Audit-Log-Einträge mit Betroffenem als Akteur, Abrechnung bei Eigentum, anonymisierte Klick-Metadaten.

  4. Schritt 4

    SLA

    30 Tage · 5 Tage beschleunigt

    Standard-SLA in jedem Tarif; der beschleunigte Business-Tarif liefert innerhalb von 5 Arbeitstagen.

DPA lesen →DSAR-Endpunkt-Referenz → API

Fünf Sub-Prozessoren, öffentlich gelistet

Fünf Anbieter. Öffentlich gelistet.

Die vollständige Liste mit Anbieterstandort, Verarbeitungszweck, Datenkategorien und DPA-Referenz-URL liegt unter /legal/subprocessors. Das Hinzufügen oder Ersetzen eines Sub-Prozessors löst eine 30-tägige Mitteilung an jeden Workspace-Admin per In-App-Banner und E-Mail aus, bevor die Verarbeitung beginnt, damit Kunden widersprechen können.

Sub-Prozessor-Fan-Out · Workspace-Datenfluss
5 Anbieter · öffentliche Liste
Ihr Workspace
ws_xxxx
EU-Region (Standard)
  • Compute & HostingISO 27001
    Primäre App- + Edge-Infrastruktur
    EU · Deutschland + Finnland
  • Edge-ComputeISO 27001 · SOC 2
    Business-Region-Pins
    EU + APAC
  • E-Mail-ZustellungSOC 2 Type II
    Transaktionale E-Mail
    EU (Opt-out für EU-only)
  • ZahlungenPCI DSS L1
    Karten-Acquiring
    EU
  • CDN + WAFISO 27001 · SOC 2
    Marketing-Proxy (nicht im Redirect-Pfad)
    Global · EU-Routing
Das Hinzufügen eines Anbieters löst eine 30-tägige Kundenmitteilung aus/legal/subprocessors
Vollständige Sub-Prozessor-Liste ansehen →Sicherheitsüberblick → Architektur

Compliance-Status

Wo wir bei den Frameworks stehen, nach denen Kunden fragen.

Keine Versprechen in der Zukunftsform. Jede Zeile sagt, was heute ausgeliefert wird, was sich in Beobachtung befindet und was unter Vertrag als Zusatz verfügbar ist.

Erreicht

ISO 27001

Informationssicherheits-Managementsystem; der zertifizierte Geltungsbereich deckt die gesamte Elido-Plattform ab.

In Bearbeitung

SOC 2 Type II

Beobachtungszeitraum läuft bis H2 2026. Type-I-Bericht ist heute unter NDA verfügbar.

Standard

GDPR

EU-Residency standardmäßig, vorab unterzeichnete DPA mit Standard-SCCs, öffentliche Sub-Prozessor-Liste.

Verfügbar

HIPAA-ready

BAA auf Business+ mit Verschlüsselung, Audit-Logging und Zugriffskontrollen bereits verdrahtet.

Standard

EU residency

Alle operativen Daten bleiben in der EU-Region. Keine Abhängigkeit von Schrems II / DPF.

Standard

Encryption

AES-256 at rest, TLS 1.3 in transit, KMS-gestützte Schlüsselrotation. BYOK auf Business.

Compliance-FAQ

Die Fragen, die uns die Beschaffung immer wieder mailt.

Unterzeichnen Sie eine DPA?

Ja. Unsere Standard-DPA ist mit EU-SCCs vorab unterzeichnet und unter /legal/dpa herunterladbar. Für die Standardbedingungen ist keine Verhandlung nötig - bezahlte Tarife erhalten automatisch eine Gegenzeichnung. Individuelle Red-Lines sind auf Business und Enterprise verfügbar.

Wie viele Sub-Prozessoren nutzen Sie?

Fünf, überwiegend EU-basiert: Compute + Hosting (EU), Edge-Compute für Region-Pins (EU + APAC), transaktionale E-Mail (EU), Zahlungen (EU) und ein Marketing-Proxy + WAF, der nie den Redirect-Pfad berührt. Die vollständige namentliche Liste mit Standort, Zweck und DPA-Referenz unter /legal/subprocessors.

Ist Region-Pinning in jedem Tarif verfügbar?

EU-Residency ist die Standardeinstellung für jeden Workspace, in jedem Tarif, und ändert sich nie. Optionales Pinning auf US East oder Asien-Pazifik gilt nur für Workspaces, ist beim Erstellen irreversibel und auf Business- und Enterprise-Tarife beschränkt.

Wie schnell bearbeiten Sie DSAR?

Standard-SLA von 30 Tagen in jedem Tarif. Business und Enterprise erhalten einen beschleunigten Tarif von 5 Arbeitstagen. DSARs werden per API oder Dashboard eingereicht (POST /v1/dsar) - Sie authentifizieren den Controller, wir authentifizieren Sie, und das Bundle wird als signiertes ZIP mit Identität, Links, Audit-Log-Einträgen und Abrechnungsdatensätzen geliefert.

Wie funktionieren BAAs für HIPAA?

BAA nur auf Business+. Die technischen Schutzmaßnahmen (Verschlüsselung, Audit-Logging, Zugriffskontrolle, sichere Backups) sind die gleichen wie im Standard-Tarif - die BAA ist Papier, kein Feature-Gating. Schreiben Sie an [email protected], um zu beginnen.

Gibt es eine Self-Host-Option?

Ja. Der Redirect-Tier und der Ingestion-Dienst sind Open Source unter Apache 2.0 mit einem Helm-Chart für Kubernetes. Kunden betreiben den Redirect-Tier in ihrer eigenen VPC und verweisen das Dashboard auf unsere Control Plane oder betreiben den gesamten Stack on-premise. Das Repo ist derselbe Code, den wir betreiben.

Wie informieren Sie Kunden über Änderungen bei Sub-Prozessoren?

Das Hinzufügen oder Ersetzen eines Sub-Prozessors löst eine 30-tägige Mitteilung per In-App-Banner und E-Mail an jeden Workspace-Admin aus. Kunden können vor Beginn der Verarbeitung widersprechen. Die Liste unter /legal/subprocessors ist in ein öffentliches git-Repo eingecheckt, sodass Änderungen in der Versionskontrollhistorie erscheinen.

Wo veröffentlichen Sie Vorfälle und Uptime?

Live-Status, jüngste Vorfälle und vollständige Post-mortems unter /status. Sicherheitsrelevante Vorfälle werden zusätzlich an Abonnenten von [email protected] und auf der Trust-Center-Seite innerhalb des in der DPA definierten SLA-Fensters veröffentlicht.

Wo du als Nächstes schauen kannst

Hinter jeder Aussage oben steht ein öffentliches Dokument. Wenn Sie uns für eine Beschaffungsentscheidung evaluieren, beginnen Sie hier.

Sub-Prozessoren

Mit wem wir Daten teilen, wo sie sitzen und warum.

DPA

Unterzeichnen, bevor du personenbezogene EU-Daten verarbeitest.

Privacy

Was wir sammeln, was nicht, Aufbewahrungsfristen.

Security-Seite

Architektur, Verschlüsselung, Secret-Handling, Threat-Model.

Status

Live-Uptime, aktuelle Incidents, Post-Mortems.

Kontakt

Hast du eine Security-Frage?

[email protected] für Vulnerability-Reports (PGP verfügbar). [email protected] für SOC 2 / ISO / DPA. Antwort innerhalb eines Werktages.

Security

Schwachstellenmeldungen, security.txt, PGP-Schlüssel. Wir antworten innerhalb eines Werktages.

[email protected]

Compliance

SOC-2- / ISO-Anfragen, DPA-Gegenzeichnung, Sub-Prozessor-Mitteilungen, BAA-Prozess für HIPAA.

[email protected]

Sales

Enterprise-Beschaffung, Security-Fragebögen und Anfragen zu individuellen Vertragsbedingungen.

[email protected]

Bereit, wenn die Beschaffung es ist.

Vorab unterzeichnete DPA, öffentliche Sub-Prozessor-Liste, Audit-Log in jedem Tarif. Starten Sie kostenlos oder sprechen Sie mit dem Vertrieb für den Security-Fragebogen-Shortcut.

Preise ansehenVertrieb kontaktieren