Elido
Elige el enfoque que se adapte a tu equipo
Para equipos orientados al cumplimiento

El acortador al que tu DPO no pondrá objeciones.

Mides el tiempo de respuesta de DSAR, la vigencia de las pruebas de SOC 2 y cuántas consultas de proveedores cuesta un ciclo de ventas. Elido es el acortador que tu DPA no rechazará.

Empezar gratisHablar con ventas
  • Región de la UE por defecto para cada espacio de trabajo
  • Log de auditoría de solo adición aplicado en la capa GRANT de la base de datos
  • 5 sub-procesadores, todos listados públicamente con ubicación y finalidad
  • API de DSAR con SLA de 30 días (5 días expedito en Business)
Workspace region · pin once
irreversible at create
  • EU regioneu · primary origin
    EU residency · default

    Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.

  • US Eastus-east · opt-in region
    Opt-in

    Workspace creation only. Irreversible. For US-resident customers who want US data path.

  • Asia-Pacificapac · opt-in region
    Business+ · opt-in

    Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.

No cross-region replication for hot dataaudit · clicks · backups
5
Sub-procesadores
EU-only
Residencia predeterminada
<30d
DSAR SLA
7y
Retención de auditoría

Log de auditoría de solo adición

Cada cambio de estado. Actor, IP, diff antes/después, origen.

El carácter de solo adición se aplica en la capa de base de datos: la tabla de auditoría concede solo INSERT y SELECT a los roles de la aplicación, sin UPDATE ni DELETE. Incluso nuestros propios administradores no pueden reescribir el historial sin una migración que aparezca en el control de cambios. La retención es de 90 días en Pro y 7 años en Business - cubriendo SOX, MiFID II e HIPAA sin un complemento.

  • Identidad del actor
    ID de usuario o principal de servicio, más IP de origen e ID de solicitud
  • Diff antes/después
    Diff JSON estructurado de la fila modificada - no solo una línea de texto en el log
  • Firehose hacia SIEM
    Webhook firmado con HMAC a Splunk / Datadog / ELK en tiempo real
  • A prueba de manipulaciones
    Aplicación de GRANTs de la base de datos; sin UPDATE / DELETE para roles de app
Resumen de seguridad →
Audit entry · evt_8c41a7
domain.claim · ws_8a2f
Timestamp (UTC)
2026-05-08T11:42:18Z
Source IP
203.0.113.42 · DE
Source
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Event type
domain.claim
Diff lines
+3 / -2
Retention
7 years (Business)
Append-only · enforced by database GRANTStreamed to SIEM

Solicitudes de acceso de interesados

DSAR, no ticket de soporte. Llamada a la API, bundle firmado, reloj de SLA.

Recibes una solicitud de un interesado de tu usuario final. La reenvías a través del panel de control o la API como una solicitud de responsable en nombre del interesado - Elido autentica al responsable (tú), no al interesado. El bundle es un ZIP firmado: registro de identidad, enlaces, entradas del log de auditoría donde el interesado es el actor, recibos de facturación si el interesado es propietario del espacio de trabajo. El SLA estándar es de 30 días; Business expedito responde en menos de 5 días hábiles.

  1. Step 1

    Subject request

    End user → controller (you)

    Subject contacts you. You authenticate them in your own product, not in Elido.

  2. Step 2

    DSAR API call

    POST /v1/dsar

    Forward as a controller-on-behalf request with subject email + request type (export / erase).

  3. Step 3

    Workspace bundle

    signed zip · JSON + CSV

    Identity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.

  4. Step 4

    SLA

    30 days · 5 days expedited

    Standard SLA on every plan; Business expedited tier returns inside 5 business days.

Leer el DPA →Referencia del endpoint DSAR → API

Cinco sub-procesadores, listados públicamente

Cómputo, edge, correo, pagos, WAF. Cinco proveedores, todos con prioridad en la UE. Esa es la lista.

La lista nominal completa con ubicación del proveedor, finalidad del tratamiento, categorías de datos y URL de referencia del DPA está disponible en /legal/subprocessors. Añadir o reemplazar un sub-procesador activa un aviso de 30 días a cada administrador del espacio de trabajo mediante banner en la app y correo electrónico antes de que comience el tratamiento, para que los clientes puedan oponerse.

Sub-processor fan-out · workspace data flow
5 vendors · public list
Your workspace
ws_xxxx
EU region (default)
  • Compute & hostingISO 27001
    Primary app + edge infrastructure
    EU · Germany + Finland
  • Edge computeISO 27001 · SOC 2
    Business region pins
    EU + APAC
  • Email deliverySOC 2 Type II
    Transactional email
    EU (opt-out for EU-only)
  • PaymentsPCI DSS L1
    Card acquiring
    EU
  • CDN + WAFISO 27001 · SOC 2
    Marketing proxy (not redirect path)
    Global · EU routing
Adding a vendor triggers a 30-day customer notice/legal/subprocessors
Ver la lista completa de sub-procesadores →Trust Center → postura e incidentes

Lo que puedes incluir en el expediente de compras

  • Región de la UE por defecto para cada espacio de trabajo
  • Log de auditoría de solo adición aplicado en la capa GRANT de la base de datos
  • 5 sub-procesadores, todos listados públicamente con ubicación y finalidad
  • API de DSAR con SLA de 30 días (5 días expedito en Business)
  • ISO 27001 obtenida · SOC 2 Tipo II en curso (H2 2026)
  • BAA compatible con HIPAA en Business+ con salvaguardias ya integradas

Cómo se ve el 'compliance' en el producto

La mayoría de los acortadores responden a las preguntas de cumplimiento con un documento de una página y un cuestionario de proveedores. Las funciones a continuación son lo que realmente está implementado en el código, no promesas en una presentación de adquisiciones.

Residencia de datos
01

Predeterminado en la UE, región fijada por espacio de trabajo

La región de la UE es la región predeterminada para cada nuevo espacio de trabajo. Los eventos de clic, los metadatos de los enlaces, los registros de auditoría, las exportaciones - todo permanece en la región de la UE a menos que un administrador fije el espacio de trabajo en EE. UU. Este o Asia-Pacífico al momento de la creación. No hay replicación entre regiones para datos calientes; las copias de seguridad se cifran en reposo y se almacenan en la misma región que el origen. El DPF (Marco de Privacidad de Datos) no es parte de nuestra historia de cumplimiento - no dependemos de los mecanismos de transferencia EE. UU.-UE porque no transferimos.

Pista de auditoría
02

Registro de solo adición de cada cambio de estado

Configuración del espacio de trabajo, emisión y rotación de claves API, invitaciones a miembros y cambios de roles, reclamos de dominios personalizados, ediciones de marca, creación / actualización / eliminación de enlaces - cada mutación llega al registro de auditoría con el actor, la marca de tiempo, la diferencia antes/después e IP de origen. Los registros se retienen durante 90 días en Pro y 7 años en Business; ambos niveles pueden transmitir el flujo a un SIEM (Splunk, Datadog, ELK) a través de webhook en tiempo real. La alteración se evita mediante la restricción de solo adición en la capa de la base de datos; el registro es consultable pero no editable, incluso para los administradores.

Transparencia de sub-procesadores
03

Cinco proveedores, todos listados públicamente

Utilizamos exactamente cinco sub-procesadores y la lista se publica en su totalidad: cómputo + alojamiento (UE - Alemania + Finlandia, ISO 27001), cómputo edge para fijaciones de región Business (POPs UE + APAC, ISO 27001), correo electrónico transaccional (exclusión voluntaria para espacios de trabajo solo UE, donde el tráfico se desactiva a nivel del espacio de trabajo), pagos (UE) y un proxy + WAF usado solo en superficies de marketing (no en la ruta caliente de redirección). La lista nominal completa con ubicación del proveedor, finalidad del tratamiento, categorías de datos y URL de referencia del DPA se encuentra en /legal/subprocessors. Las actualizaciones activan un aviso al cliente de 30 días; no agregamos sub-procesadores en silencio y la lista se revisa cada trimestre.

DSAR y derechos de los interesados
04

Exportar y borrar a través de API, no un ticket de soporte

La exportación de datos por usuario devuelve un paquete JSON + CSV que cubre la identidad, los enlaces creados, las entradas del registro de auditoría atribuibles al sujeto y los metadatos de los eventos de clic que se resuelven a ese sujeto (normalmente ninguno - los clics se anonimizan al momento de la ingesta a menos que el espacio de trabajo habilite explícitamente el seguimiento de PII). La eliminación es un borrado lógico con una ventana de 30 días para la recuperación de eliminaciones accidentales, luego una purga física de las primarias, réplicas y copias de seguridad. El SLA es de 30 días a partir de la solicitud; el nivel Business acelerado lo procesa en 5 días hábiles.

Postura de cumplimiento
05

SOC 2 Tipo II, ISO 27001, preparado para HIPAA

La auditoría SOC 2 Tipo II está en progreso (objetivo: H2 2026); los controles y la evidencia ya están en su lugar - el período de auditoría es lo que estamos esperando. Se ha logrado la certificación ISO 27001. Preparado para HIPAA significa que firmamos un BAA en Business+ y tenemos las salvaguardas técnicas (cifrado, pista de auditoría, controles de acceso, procedimientos de notificación de brechas) conectadas; la certificación es industria por industria, no un sello único estilo SOC. La postura de confianza está documentada en /trust y las actualizaciones se muestran en /changelog.

El stack que evidenciarás

  • EU-residency
  • GDPR DPA
  • SOC 2 Tipo II (en curso)
  • ISO 27001
  • Log de auditoría + transmisión SIEM
  • DSAR API

Lo que tu DPO mide

Cantidad de sub-procesadores
5, solo EU por defecto
Respuesta a DSAR
Menos de 30 días
Retención del log de auditoría
7 años en Business

Equipos de cumplimiento que utilizan esto

Los nombres son marcadores de posición por ahora - los nombres reales de los clientes aparecerán aquí a medida que se publiquen los estudios de caso.

Tuvimos que dejar Bitly cuando nuestro auditor marcó la lista de sub-procesadores de EE. UU. El valor predeterminado de Elido solo para la UE pasó la adquisición en dos semanas; antes, no podíamos pasar del 'muéstrame el DPA' con el proveedor anterior.

F
Fintech de mercado medio, Múnich
Oficial de Protección de Datos

El BAA en Business marcó la diferencia. Además, el registro de auditoría se transmite directamente a nuestro SIEM de Datadog - no tuvimos que escribir una capa de sincronización nosotros mismos.

S
SaaS de salud, Múnich
Jefe de Seguridad

Schrems II descalificó a cuatro acortadores que evaluamos. Elido fue el único cuya respuesta a '¿dónde están los datos?' fue 'en el país que indicaste'. Ese es todo el listón.

C
Contratista del gobierno, Bruselas
Líder de Gobernanza de la Información

Qué cambia cuando el comprador es el área de cumplimiento

Si tu DPO está revisando al proveedor, estas son las preguntas que hará. Respuestas honestas en tres opciones.

CapacidadElidoBitly EnterpriseAcortador genérico
Residencia de datos predeterminadaRegión de la UE para cada espacio de trabajoPredeterminado en EE. UU.; opción de UE en EnterpriseLa región depende del nivel del plan
Dependencia de DPF / Schrems IINinguna - sin ruta de datos por EE. UU.Listado en DPF; depende de mecanismos de transferenciaMixto; depende de los sub-procesadores
Cantidad de sub-procesadores5, todos listados públicamenteMás de 20 en los niveles del planNo publicado
Firma de DPAPre-firmado, descargableContrafirma manual bajo solicitudBajo solicitud, solo planes de pago
Retención del registro de auditoría7 años en Business1 año por defecto30-90 días
Transmisión de registro de auditoría → SIEMFlujo de webhook, en tiempo realSolo exportación diariaDescarga manual
Cumplimiento de DSARAPI; <30d estándar, <5d aceleradoTicket de soporte; 30dTicket de soporte; el SLA varía
Soporte para BAA / HIPAASí en Business+Complemento de EnterpriseNo
SOC 2 / ISO 27001ISO 27001; SOC 2 Tipo II en progresoAmbos, madurosNinguno

Preguntas comunes de adquisiciones

¿Dónde se almacenan exactamente nuestros datos?

En la región de la UE por defecto. La base de datos, el almacén de analítica (flujo de clics), la caché en memoria, el almacenamiento de objetos (activos) y las copias de seguridad residen en la región de la UE. No se replican datos a EE. UU. o APAC a menos que un administrador fije explícitamente el espacio de trabajo en EE. UU. Este o Asia-Pacífico al momento de la creación, lo cual es una elección deliberada e irreversible (los espacios de trabajo no migran de región).

¿Están dentro del alcance de SOC 2 / ISO 27001?

Se ha logrado la certificación ISO 27001. La auditoría SOC 2 Tipo II está en marcha con un objetivo para H2 2026; los controles y la evidencia ya son operativos, el período de auditoría es el factor determinante. Compartimos evidencia del Tipo 1 bajo solicitud con un NDA hoy; los informes del Tipo 2 se publicarán cuando estén listos. El Trust Center en /trust realiza el seguimiento del estado actual.

¿Firman un DPA?

Pre-firmado y descargable desde /legal/dpa. El DPA hace referencia a nuestra lista de sub-procesadores en /legal/subprocessors como un documento vivo; los cambios de sub-procesadores otorgan un aviso de 30 días al cliente. Si necesitas revisiones del contrato, esa es una conversación de contrato para Business+; los valores predeterminados suelen ser aceptados por los DPOs de la UE sin modificaciones.

¿Cuántos sub-procesadores están involucrados?

Cinco, en su mayoría con base en la UE: cómputo + alojamiento (UE), cómputo edge para clientes fuera de la UE (UE + APAC), correo electrónico transaccional (exclusión voluntaria para solo UE), pagos (UE) y un proxy + WAF de marketing (global con enrutamiento regional UE). La lista nominal completa con ubicaciones y el propósito de cada uno está en /legal/subprocessors. Agregar un sub-procesador activa un aviso al cliente de 30 días; no los incluimos discretamente.

¿Podemos traer nuestro propio HSM / KMS para las claves de cifrado?

Sí en la edición auto-hospedada. El SaaS de Elido cifra en reposo con AWS KMS (por región) y en tránsito con TLS 1.3; actualmente no admitimos KMS gestionado por el cliente en el SaaS multi-inquilino. El auto-hospedaje (Helm chart, con licencia Apache 2.0) te permite apuntar a tu propio KMS / Vault / HSM.

¿Cuál es el SLA de notificación de brechas?

Brechas confirmadas de datos personales: 24 horas para notificación al cliente, 72 horas para notificación al regulador (GDPR Art. 33). La notificación cubre lo que sabemos en ese momento; no esperamos a la forense completa. El proceso está en nuestro Trust Center en /trust/incident-response.

¿Cumplen con los DSAR de los usuarios finales (interesados), no solo de nosotros como clientes?

Actuamos siguiendo las instrucciones del responsable del tratamiento (tú, el cliente). Los usuarios finales se ponen en contacto contigo; tú reenvías la solicitud a través del panel o la API y nosotros la cumplimos. No aceptamos directamente DSAR de usuarios finales porque no tendríamos forma de autenticarlos como sujetos de tu espacio de trabajo - esa autenticación es tuya.

¿Puede el registro de auditoría ser alterado por un administrador de Elido?

No. El registro es de solo adición en la capa de la base de datos; incluso nuestros propios administradores no pueden editar entradas históricas. La eliminación de entradas antiguas más allá de la ventana de retención es automática y registra un meta-evento de 'purga por retención' para que el vacío sea en sí mismo auditable. Una alteración en vivo requeriría una intrusión a nivel de base de datos que eluda nuestro código de aplicación, que es el mismo modelo de amenaza que cualquier otra corrupción de tabla - cubierto por RLS y nuestros controles SOC 2.

¿Tienen un archivo security.txt público / política de divulgación coordinada?

Sí - security.txt en /.well-known/security.txt; política de divulgación coordinada en /trust/disclosure. El programa de recompensas por errores (bug bounty) se gestiona a través de HackerOne (programa privado; contáctanos en [email protected] para obtener una invitación si tienes un hallazgo no reportado).

¿Qué sucede al finalizar el contrato? ¿Cómo sacamos nuestros datos?

Exportación completa de datos en cualquier momento a través de la API o una solicitud de soporte puntual. Paquete JSON + CSV que cubre enlaces, eventos de clic (sin procesar o agregados, tú eliges), registro de auditoría, miembros, configuración y marca. Tras la finalización del contrato, retenemos los datos durante 30 días para la recuperación por cancelación accidental, luego realizamos una purga física de las primarias, réplicas y copias de seguridad. Podemos emitir una confirmación de purga por escrito si tu DPA lo requiere.

Lista de lectura del DPO

Trust Center

Sub-procesadores, DPA, security.txt - la versión pública de cada afirmación de esta página.

Acuerdo de Procesamiento de Datos

DPA prefirmado, descargable. CCE estándar de la UE, sin negociación necesaria para los términos por defecto.

Sub-procesadores

Cinco proveedores, lista pública con ubicación, finalidad y referencia del DPA por fila.

Seguridad

Cifrado, control de acceso, divulgación de vulnerabilidades, plazos de respuesta a incidentes.

SCIM y SSO

SAML / OIDC + sincronización de directorio SCIM gestionados por WorkOS; desaprovisionamiento en minutos.

API y SDKs

Endpoints de DSAR, streaming del log de auditoría, claves de API con ámbito - tipados en TS / Py / Go.

¿No estás seguro de qué enfoque se adapta?

La mayoría de los equipos comienzan como uno y crecen hasta abarcar los cuatro. Nuestro equipo de ventas puede revisar tu stack específico en 20 minutos.

Empezar gratisHablar con ventas