The shortener your DPO won’t push back on.
Mides el tiempo de respuesta de DSAR, la vigencia de las pruebas de SOC 2 y cuántas consultas de proveedores cuesta un ciclo de ventas. Elido es el acortador que tu DPA no rechazará.
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- FrankfurtFRA · eu-central-1EU residency · default
Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.
- AshburnIAD · us-east-1Opt-in
Workspace creation only. Irreversible. For US-resident customers who want US data path.
- SingaporeSIN · ap-southeast-1Business+ · opt-in
Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.
Append-only audit log
Every state change. Actor, IP, before/after diff, source.
Append-only is enforced at the database layer: the audit table grants only INSERT and SELECT to application roles, with no UPDATE or DELETE. Even our own admins can’t rewrite history without a migration that shows up in change control. Retention is 90 days on Pro and 7 years on Business — covering SOX, MiFID II, and HIPAA without an add-on.
- Actor identityUser ID or service principal, plus source IP and request ID
- Before/after diffStructured JSON diff of the changed row — not just a text log line
- SIEM firehoseHMAC-signed webhook to Splunk / Datadog / ELK in real time
- Tamper-evidentPostgres GRANT enforcement; no UPDATE / DELETE for app roles
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Data subject access requests
DSAR, not support ticket. API call, signed bundle, SLA clock.
You receive a subject request from your end user. You forward it via the dashboard or API as a controller-on-behalf-of-subject request — Elido authenticates the controller (you), not the subject. The bundle is a signed zip: identity record, links, audit-log entries where the subject is the actor, billing receipts if the subject is a workspace owner. Standard SLA is 30 days; Business expedited returns inside 5 business days.
- Step 1
Subject request
End user → controller (you)Subject contacts you. You authenticate them in your own product, not in Elido.
- Step 2
DSAR API call
POST /v1/dsarForward as a controller-on-behalf request with subject email + request type (export / erase).
- Step 3
Workspace bundle
signed zip · JSON + CSVIdentity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.
- Step 4
SLA
30 days · 5 days expeditedStandard SLA on every plan; Business expedited tier returns inside 5 business days.
Five sub-processors, listed publicly
Hetzner, OVH, Postmark, monobank Plata, Cloudflare. That’s the list.
The full list with vendor location, processing purpose, data categories, and DPA reference URL lives at /legal/subprocessors and is checked into the public docs repo, so changes appear in git history. Adding or replacing a sub-processor triggers a 30-day notice to every workspace admin via in-app banner and email before processing begins, so customers can object. monobank Plata replaced LiqPay under ADR-0026 in 2026-05.
- HetznerISO 27001Compute · primary infraEU · Frankfurt + Helsinki
- OVHISO 27001 · SOC 2Compute · Business region pinsEU + APAC POPs
- PostmarkSOC 2 Type IITransactional emailEU (opt-out for EU-only)
- monobank PlataPCI DSS L1Payments · replaced LiqPay (ADR-0026)EU
- CloudflareISO 27001 · SOC 2Marketing proxy + WAF (not redirect path)Global
What you can put on the procurement deck
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- ISO 27001 achieved · SOC 2 Type II in progress (H2 2026)
- HIPAA-ready BAA on Business+ with safeguards already wired
Cómo se ve el 'compliance' en el producto
La mayoría de los acortadores responden a las preguntas de cumplimiento con un documento de una página y un cuestionario de proveedores. Las funciones a continuación son lo que realmente está implementado en el código, no promesas en una presentación de adquisiciones.
Predeterminado en la UE, región fijada por espacio de trabajo
Frankfurt es la región predeterminada para cada nuevo espacio de trabajo. Los eventos de clic, los metadatos de los enlaces, los registros de auditoría, las exportaciones — todo permanece en eu-central-1 a menos que un administrador fije el espacio de trabajo en Ashburn o Singapur al momento de la creación. No hay replicación entre regiones para datos calientes; las copias de seguridad se cifran en reposo y se almacenan en la misma región que el origen. El DPF (Marco de Privacidad de Datos) no es parte de nuestra historia de cumplimiento — no dependemos de los mecanismos de transferencia EE. UU.-UE porque no transferimos.
Registro de solo adición de cada cambio de estado
Configuración del espacio de trabajo, emisión y rotación de claves API, invitaciones a miembros y cambios de roles, reclamos de dominios personalizados, ediciones de marca, creación / actualización / eliminación de enlaces — cada mutación llega al registro de auditoría con el actor, la marca de tiempo, la diferencia antes/después e IP de origen. Los registros se retienen durante 90 días en Pro y 7 años en Business; ambos niveles pueden transmitir el flujo a un SIEM (Splunk, Datadog, ELK) a través de webhook en tiempo real. La alteración se evita mediante la restricción de solo adición en la capa de la base de datos; el registro es consultable pero no editable, incluso para los administradores.
Cinco proveedores, todos listados públicamente
Utilizamos exactamente cinco sub-procesadores: Hetzner (cómputo, UE), OVH (cómputo, UE + APAC para Business), Postmark (correo electrónico transaccional, EE. UU. — exclusión voluntaria para solo UE), LiqPay (pagos, UE) y Cloudflare (proxy + WAF, global). La lista completa con ubicación, propósito y referencia de DPA se encuentra en /legal/subprocessors y las actualizaciones activan un aviso al cliente de 30 días. No agregamos sub-procesadores en silencio; la lista se registra en el repositorio de documentos y se revisa cada trimestre.
Exportar y borrar a través de API, no un ticket de soporte
La exportación de datos por usuario devuelve un paquete JSON + CSV que cubre la identidad, los enlaces creados, las entradas del registro de auditoría atribuibles al sujeto y los metadatos de los eventos de clic que se resuelven a ese sujeto (normalmente ninguno — los clics se anonimizan al momento de la ingesta a menos que el espacio de trabajo habilite explícitamente el seguimiento de PII). La eliminación es un borrado lógico con una ventana de 30 días para la recuperación de eliminaciones accidentales, luego una purga física de las primarias, réplicas y copias de seguridad. El SLA es de 30 días a partir de la solicitud; el nivel Business acelerado lo procesa en 5 días hábiles.
SOC 2 Tipo II, ISO 27001, preparado para HIPAA
La auditoría SOC 2 Tipo II está en progreso (objetivo: H2 2026); los controles y la evidencia ya están en su lugar — el período de auditoría es lo que estamos esperando. Se ha logrado la certificación ISO 27001. Preparado para HIPAA significa que firmamos un BAA en Business+ y tenemos las salvaguardas técnicas (cifrado, pista de auditoría, controles de acceso, procedimientos de notificación de brechas) conectadas; la certificación es industria por industria, no un sello único estilo SOC. La postura de confianza está documentada en /trust y las actualizaciones se muestran en /changelog.
Stack you’ll evidence
- EU-residency
- GDPR DPA
- SOC 2 Tipo II (en curso)
- ISO 27001
- Log de auditoría + transmisión SIEM
- DSAR API
Lo que tu DPO mide
- Cantidad de sub-procesadores
- 5, solo EU por defecto
- Respuesta a DSAR
- Menos de 30 días
- Retención del log de auditoría
- 7 años en Business
Equipos de cumplimiento que utilizan esto
Los nombres son marcadores de posición por ahora — los nombres reales de los clientes aparecerán aquí a medida que se publiquen los estudios de caso.
“Tuvimos que dejar Bitly cuando nuestro auditor marcó la lista de sub-procesadores de EE. UU. El valor predeterminado de Elido solo para la UE pasó la adquisición en dos semanas; antes, no podíamos pasar del 'muéstrame el DPA' con el proveedor anterior.”
“El BAA en Business marcó la diferencia. Además, el registro de auditoría se transmite directamente a nuestro SIEM de Datadog — no tuvimos que escribir una capa de sincronización nosotros mismos.”
“Schrems II descalificó a cuatro acortadores que evaluamos. Elido fue el único cuya respuesta a '¿dónde están los datos?' fue 'en el país que indicaste'. Ese es todo el listón.”
Qué cambia cuando el comprador es el área de cumplimiento
Si tu DPO está revisando al proveedor, estas son las preguntas que hará. Respuestas honestas en tres opciones.
| Capability | Elido | Bitly Enterprise | Acortador genérico |
|---|---|---|---|
| Residencia de datos predeterminada | UE (Frankfurt) para cada espacio de trabajo | Predeterminado en EE. UU.; opción de UE en Enterprise | La región depende del nivel del plan |
| Dependencia de DPF / Schrems II | Ninguna — sin ruta de datos por EE. UU. | Listado en DPF; depende de mecanismos de transferencia | Mixto; depende de los sub-procesadores |
| Cantidad de sub-procesadores | 5, todos listados públicamente | Más de 20 en los niveles del plan | No publicado |
| Firma de DPA | Pre-firmado, descargable | Contrafirma manual bajo solicitud | Bajo solicitud, solo planes de pago |
| Retención del registro de auditoría | 7 años en Business | 1 año por defecto | 30-90 días |
| Transmisión de registro de auditoría → SIEM | Flujo de webhook, en tiempo real | Solo exportación diaria | Descarga manual |
| Cumplimiento de DSAR | API; <30d estándar, <5d acelerado | Ticket de soporte; 30d | Ticket de soporte; el SLA varía |
| Soporte para BAA / HIPAA | Sí en Business+ | Complemento de Enterprise | No |
| SOC 2 / ISO 27001 | ISO 27001; SOC 2 Tipo II en progreso | Ambos, maduros | Ninguno |
Preguntas comunes de adquisiciones
¿Dónde se almacenan exactamente nuestros datos?
En EU-Central (Frankfurt) por defecto. Postgres, ClickHouse (flujo de clics), Redis (caché), MinIO (almacenamiento de activos) y las copias de seguridad residen en eu-central-1. No se replican datos a EE. UU. o APAC a menos que un administrador fije explícitamente el espacio de trabajo en Ashburn o Singapur al momento de la creación, lo cual es una elección deliberada e irreversible (los espacios de trabajo no migran de región). La arquitectura completa está en /docs/strategy/ARCHITECTURE.md, registrada en el repositorio público.
¿Están dentro del alcance de SOC 2 / ISO 27001?
Se ha logrado la certificación ISO 27001. La auditoría SOC 2 Tipo II está en marcha con un objetivo para H2 2026; los controles y la evidencia ya son operativos, el período de auditoría es el factor determinante. Compartimos evidencia del Tipo 1 bajo solicitud con un NDA hoy; los informes del Tipo 2 se publicarán cuando estén listos. El Trust Center en /trust realiza el seguimiento del estado actual.
¿Firman un DPA?
Pre-firmado y descargable desde /legal/dpa. El DPA hace referencia a nuestra lista de sub-procesadores en /legal/subprocessors como un documento vivo; los cambios de sub-procesadores otorgan un aviso de 30 días al cliente. Si necesitas revisiones del contrato, esa es una conversación de contrato para Business+; los valores predeterminados suelen ser aceptados por los DPOs de la UE sin modificaciones.
¿Cuántos sub-procesadores están involucrados?
Cinco: Hetzner (cómputo, UE), OVH (cómputo, UE + APAC para clientes fuera de la UE), Postmark (correo electrónico transaccional — exclusión voluntaria para solo UE), LiqPay (pagos, UE), Cloudflare (proxy + WAF, global). Las ubicaciones y el propósito de cada uno están en /legal/subprocessors. Agregar un sub-procesador activa un aviso al cliente de 30 días; no los incluimos discretamente.
¿Podemos traer nuestro propio HSM / KMS para las claves de cifrado?
Sí en la edición auto-hospedada. El SaaS de Elido cifra en reposo con AWS KMS (por región) y en tránsito con TLS 1.3; actualmente no admitimos KMS gestionado por el cliente en el SaaS multi-inquilino. El auto-hospedaje (Helm chart, con licencia Apache 2.0) te permite apuntar a tu propio KMS / Vault / HSM.
¿Cuál es el SLA de notificación de brechas?
Brechas confirmadas de datos personales: 24 horas para notificación al cliente, 72 horas para notificación al regulador (GDPR Art. 33). La notificación cubre lo que sabemos en ese momento; no esperamos a la forense completa. El proceso está en nuestro Trust Center en /trust/incident-response.
¿Cumplen con los DSAR de los usuarios finales (interesados), no solo de nosotros como clientes?
Actuamos siguiendo las instrucciones del responsable del tratamiento (tú, el cliente). Los usuarios finales se ponen en contacto contigo; tú reenvías la solicitud a través del panel o la API y nosotros la cumplimos. No aceptamos directamente DSAR de usuarios finales porque no tendríamos forma de autenticarlos como sujetos de tu espacio de trabajo — esa autenticación es tuya.
¿Puede el registro de auditoría ser alterado por un administrador de Elido?
No. El registro es de solo adición en la capa de la base de datos; incluso nuestros propios administradores no pueden editar entradas históricas. La eliminación de entradas antiguas más allá de la ventana de retención es automática y registra un meta-evento de 'purga por retención' para que el vacío sea en sí mismo auditable. Una alteración en vivo requeriría una intrusión a nivel de base de datos que eluda nuestro código de aplicación, que es el mismo modelo de amenaza que cualquier otra corrupción de tabla — cubierto por RLS y nuestros controles SOC 2.
¿Tienen un archivo security.txt público / política de divulgación coordinada?
Sí — security.txt en /.well-known/security.txt; política de divulgación coordinada en /trust/disclosure. El programa de recompensas por errores (bug bounty) se gestiona a través de HackerOne (programa privado; contáctanos en security@elido.app para obtener una invitación si tienes un hallazgo no reportado).
¿Qué sucede al finalizar el contrato? ¿Cómo sacamos nuestros datos?
Exportación completa de datos en cualquier momento a través de la API o una solicitud de soporte puntual. Paquete JSON + CSV que cubre enlaces, eventos de clic (sin procesar o agregados, tú eliges), registro de auditoría, miembros, configuración y marca. Tras la finalización del contrato, retenemos los datos durante 30 días para la recuperación por cancelación accidental, luego realizamos una purga física de las primarias, réplicas y copias de seguridad. Podemos emitir una confirmación de purga por escrito si tu DPA lo requiere.
DPO’s reading list
Sub-processors, DPA, security.txt — the public version of every claim on this page.
Pre-signed DPA, downloadable. Standard EU SCCs, no negotiation needed for default terms.
Five vendors, public list with location, purpose, DPA reference per row.
Encryption, access control, vulnerability disclosure, incident response timelines.
WorkOS-managed SAML / OIDC + SCIM directory sync; deprovisioning within minutes.
DSAR endpoints, audit log streaming, scoped API keys — typed across TS / Py / Go.
¿No estás seguro de qué enfoque se adapta?
La mayoría de los equipos comienzan como uno y crecen hasta abarcar los cuatro. Nuestro equipo de ventas puede revisar tu stack específico en 20 minutos.