← Elige el enfoque que se adapte a tu equipo

Para TI empresarial

El acortador que tu equipo de seguridad no rechazará.

Mides la postura de cumplimiento, el tiempo de respuesta a incidentes y el número de cuestionarios de proveedores que puedes superar. Elido es el acortador que tu equipo de seguridad no rechazará.

Hablar con ventas Leer el informe de confianza

SSO SAML + SCIM mediante nuestro proveedor de SSO o nativo - Okta, Entra ID, Google
Región de la UE por defecto con fijación de región a nivel de espacio de trabajo
Auditoría SOC 2 Tipo II en curso (objetivo H2 2026)
ISO 27001 obtenida; certificado disponible bajo NDA

Workspace residency

EU region · default

Default + EU residency

Opt-in (Business+, irreversible)

SAML + OIDC

Protocolo SSO

WorkOS

Proveedor SSO/SCIM

7 years

Retención de auditoría (Business)

ISO 27001

Certificación actual

Cómo funciona el SSO

Okta o Entra ID → SAML → Elido. Doce minutos desde cero.

El SSO se enruta a través de WorkOS, que normaliza las diferencias de protocolo entre SAML 2.0 y OIDC y las peculiaridades por IdP que nadie quiere mantener por su cuenta. Tu equipo configura la aplicación SAML una vez en su IdP; Elido capta usuarios por dominio de correo → mapeo de conexión.

Step 1
User signs in
okta.com / login.microsoftonline.com
IdP authenticates against the corporate directory.
Step 2
SAML assertion
WorkOS connection · domain-routed
Email-domain → IdP connection mapping, no per-user setup.
Step 3
Elido session
edge auth · 200 OK
Session token issued, scope derived from group claims.
Step 4
Workspace landing
app.elido.app/w/your-org
Role + IP allowlist evaluated; audit row written.

Aprovisionamiento SCIM

Añade un usuario en Okta. Está en Elido en cinco minutos.

La sincronización de directorio SCIM 2.0 aprovisiona y desaprovisiona usuarios automáticamente. El mapeo de claims de grupo convierte los grupos del IdP en roles del espacio de trabajo de Elido, de modo que un ascenso en el sistema de RR.HH. se refleja en Elido sin ningún ticket. Los empleados salientes se desaprovisionan dentro del ciclo de sincronización SCIM, con las sesiones activas revocadas y la acción registrada.

Aprovisionamiento automático al añadir al grupo
Membresía en grupo del IdP → invitación al espacio de trabajo, sin paso manual
Mapeo de roles por claim de grupo
engineering-eu → editor, finance → viewer, configurable
Desaprovisionamiento = revocación de sesión
El evento DELETE invalida tokens; las claves de API se revocan por política
Cada evento SCIM queda auditado
Log de solo adición con actor, antes/después, IP de origen

Deep-dive de SCIM y SSO →

SCIM directory sync

workspace · acme-eu

Live · WorkOS

1
User added in Okta
Joins the elido-eu-engineering directory group as part of HR onboarding.
okta.comPOST /scim/v2/Users
T+75s
2
WorkOS pushes to Elido
SCIM sync cycle picks up the create event; no manual invite needed.
workos.com → elido.appscim.create user@org
T+150s
3
Elido provisions the user
Account created, workspace invitation surfaced in pending state.
api-coreuser.id = usr_01HK…
T+225s
4
Group claim → role
engineering → editor; billing-admins → admin. Mapping is configurable.
policyrole: editor (workspace.eu)
T+300s
Deprovision is the same flow in reverse - DELETE event revokes sessions and rotates affected API keys per policy.

Modelo de autorización

RBAC basado en Cedar, no una jerarquía fija de tres niveles.

La siguiente matriz es la vista predeterminada. Los roles personalizados permiten expresar cosas como «crear enlaces solo en este dominio» o «solo lectura en analítica, sin acceso a facturación» como políticas Cedar. Los roles se definen por espacio de trabajo, de modo que distintas unidades de negocio pueden tener estructuras de roles diferentes.

Built-in role permissions

Cedar policies · custom roles override

Permission	Owner	Admin	Member	Read-only	API key
Create / edit links
Manage custom domains
View analytics
Manage billing
Invite & manage members
Rotate API keys

Allowed

Scoped - set via Cedar policy

Denied

Policy eval at request time, not at loginaudit · every change

Ver el modelo de seguridad →Guía de roles personalizados → docs

Lo que TI empresarial obtiene realmente

SSO SAML + SCIM mediante nuestro proveedor de SSO o nativo - Okta, Entra ID, Google
Región de la UE por defecto con fijación de región a nivel de espacio de trabajo
Auditoría SOC 2 Tipo II en curso (objetivo H2 2026)
ISO 27001 obtenida; certificado disponible bajo NDA
BAA en Business+ para cargas de trabajo adyacentes a HIPAA
POPs de edge dedicados disponibles para contratos Enterprise

Lo que el departamento de TI empresarial realmente necesita de un acortador

Los acortadores de Shadow-IT fallan en las compras debido a tres preguntas: quién tiene acceso, dónde están los datos y si podemos auditarlos. Las siguientes funciones cierran esas brechas.

Identidad y aprovisionamiento

SAML SSO vía WorkOS con aprovisionamiento de usuarios SCIM

El SSO es a través de WorkOS, que soporta SAML 2.0 y OIDC con cualquier IdP principal: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping y otros. El mapeo de dominio de correo electrónico a conexión significa que los usuarios son dirigidos al IdP correcto sin ninguna configuración por su parte. La sincronización de directorio SCIM aprovisiona y desaprovisiona usuarios automáticamente: los nuevos empleados añadidos al grupo IdP correspondiente reciben una invitación al espacio de trabajo de Elido en cuestión de minutos; los empleados que se van son desaprovisionados dentro del ciclo de sincronización SCIM sin necesidad de un ticket manual de baja. Los grupos del IdP se mapean a los roles del espacio de trabajo de Elido; configuras el mapeo una vez. Los cambios de rol en el IdP se propagan automáticamente. Esta es una integración gestionada por WorkOS: no mantenemos un conector por IdP; WorkOS normaliza los protocolos y Elido consume un único endpoint SCIM.

Modelo de autorización

Roles personalizados con RBAC estilo Cedar - más allá de propietario/admin/miembro

El modelo de roles de Elido se basa en Cedar, lo que significa que los permisos son expresiones de política evaluadas en el momento de la solicitud en lugar de una jerarquía fija de tres niveles. De serie obtienes Propietario, Admin, Miembro y Lector. Los roles personalizados te permiten definir políticas como 'puede crear enlaces en este dominio pero no puede borrar ni cambiar reglas de redirección' o 'acceso de solo lectura a analíticas pero sin acceso a la configuración de facturación'. Los roles se asignan por espacio de trabajo, no globalmente: una empresa con múltiples espacios de trabajo puede tener diferentes estructuras de roles por unidad de negocio. La lista de IPs permitidas (rangos CIDR) se evalúa junto con las comprobaciones de roles: un usuario con el rol correcto pero fuera del rango de IP permitido es rechazado. Esto es relevante para equipos híbridos donde los contratistas acceden a un subconjunto diferente al de los empleados a tiempo completo.

Auditoría y SIEM

Registro de auditoría de solo adición transmitido a tu SIEM en tiempo real

Cada acción en el espacio de trabajo - crear, actualizar, borrar enlace; cambio de configuración; invitación de miembro y cambio de rol; emisión y rotación de claves API; reclamación de dominio personalizado; exportación - llega a un registro de auditoría de solo adición con actor, marca de tiempo, IP de origen, diferencias antes/después y un tipo de evento estructurado. Los registros se conservan durante 90 días en Pro y 7 años en Business. El flujo SIEM transmite eventos vía webhook (firmado con HMAC-SHA256) a Splunk, Datadog, ELK o cualquier receptor HTTP en tiempo real. El registro se puede consultar en el dashboard pero no editar; la restricción de solo adición se aplica en la capa de base de datos. Postura de cumplimiento: el registro de auditoría es la evidencia principal para revisiones de control de acceso, gestión de cambios y respuesta a incidentes. Se registra un meta-evento de 'purga por retención' cuando las entradas antiguas caducan, por lo que la brecha en sí misma es auditable.

Gobernanza de datos

Residencia en la UE, lista de IPs permitidas y exportación a BigQuery para requisitos de gobernanza de datos

Los datos del espacio de trabajo se fijan en la región de la UE por defecto y nunca salen de esa región a menos que un admin establezca EE. UU. Este o Asia-Pacífico explícitamente al crear el espacio de trabajo - una elección irreversible. No hay replicación entre regiones para datos en caliente. La lista de IPs permitidas (CIDR) en Business restringe el acceso al espacio de trabajo a rangos de salida conocidos - útil para equipos con VPN o IPs fijas de oficina. La exportación a BigQuery envía el flujo completo de eventos de clics y registros de auditoría a un dataset de BigQuery de tu propiedad, de forma programada o activada. También se soportan Snowflake y S3. Para cargas de trabajo reguladas que requieren que los datos permanezcan en una infraestructura específica: el chart de Helm de auto-alojamiento te permite ejecutar la capa de redirección en tu propia VPC, almacenando los eventos de clics en tu propio almacén de analítica. El BAA de HIPAA está disponible en Business+ - las salvaguardas técnicas (cifrado, registro de auditoría, controles de acceso, notificación de brechas) están integradas; el BAA es un envoltorio legal alrededor de ellas.

Diligencia debida del proveedor

Evidencia de cumplimiento pre-empaquetada: SOC 2, ISO 27001, DPA, sub-procesadores

Preguntas de compras que Elido resuelve sin un hilo de correos interminable: el DPA está pre-firmado y se puede descargar desde /legal/dpa; la lista de sub-procesadores es pública en /legal/subprocessors (5 proveedores, todos domiciliados en la UE u opción de exclusión disponible); se ha logrado la ISO 27001; el SOC 2 Tipo II está en proceso con objetivo para el segundo semestre de 2026. Compartimos evidencia del Tipo 1 bajo acuerdo de confidencialidad para clientes que la necesiten antes de que el informe del Tipo 2 sea público. El Centro de Confianza en /trust rastrea el estado actual de las certificaciones y actualizaciones sobre el historial de incidentes. La divulgación de vulnerabilidades es a través de HackerOne (programa privado); security.txt se encuentra en la ruta conocida. Estas son cosas que ya existen, no una hoja de ruta. No afirmaremos tener SOC 2 Tipo II hasta que el periodo de auditoría esté cerrado - previsto para el segundo semestre de 2026.

El stack con el que trabajarás

SSO (SAML / OIDC)
Aprovisionamiento SCIM
Roles personalizados (RBAC)
Lista de IP permitidas
Registro de auditoría + flujo SIEM
Residencia de datos en la UE
HIPAA BAA

Qué mide tu equipo de seguridad

Número de subprocesadores: 5, solo en la UE
Retención del registro de auditoría: 7 años en Business
Tiempo de respuesta DSAR: Menos de 30 días

Equipos de TI empresariales que utilizan esto

Los nombres son marcadores de posición por ahora - los nombres reales de los clientes aparecerán aquí a medida que se publiquen los casos de estudio.

“La sincronización SCIM de Okta y la lista de IPs permitidas resolvieron nuestra lista de verificación de compras en la primera revisión. La transmisión del registro de auditoría a Splunk fue el detalle que dio tranquilidad al equipo de seguridad - pudieron ver que era real, no una casilla de verificación del proveedor.”

Equipo de seguridad de TI, grupo de seguros, Zúrich

Gerente de Seguridad de TI

“Necesitábamos datos residentes en la UE y ningún sub-procesador de EE. UU. después de Schrems II. Elido fue el primer acortador que respondió a '¿dónde se almacenan los datos?' con una ciudad específica y un recuento de sub-procesadores inferior a 10.”

TI Corporativa, fabricación de mercado medio, Dusseldorf

Jefe de Gobernanza de TI

“El BAA en Business junto con la ISO 27001 resolvió el ángulo de HIPAA para nuestro equipo de producto en EE. UU. El aprovisionamiento SCIM significa que no tuvimos que intervenir en el onboarding de Elido durante una integración de adquisición de 200 personas.”

Equipo de seguridad de plataforma, fintech, Dublín

Director de Seguridad de Plataforma

Elido vs Bitly Enterprise vs Bl.ink para TI empresarial

Bitly Enterprise y Bl.ink son opciones de grado empresarial con largas trayectorias. La siguiente comparación se centra en las funciones que evalúan los equipos de TI empresariales, no en afirmaciones de marketing.

Capacidad	Elido	Bitly Enterprise	Bl.ink
Protocolo SSO	SAML 2.0 + OIDC vía WorkOS	SAML 2.0 en el nivel Enterprise	SAML 2.0 en Enterprise
Aprovisionamiento SCIM	Business y superiores, vía WorkOS	Solo nivel Enterprise	Disponible en Enterprise
Roles personalizados (RBAC)	Expresiones de política basadas en Cedar	Niveles de roles fijos	Granular, documentado
Lista de IPs permitidas	CIDR, Business+	Solo Enterprise	Disponible
Registro de auditoría → SIEM	Flujo de webhook en tiempo real	Exportación diaria; complemento de tiempo real en Enterprise	Basado en API; cableado SIEM manual
Retención de registro de auditoría	7 años en Business	1 año estándar	Configurable en Enterprise
Residencia de datos en la UE	Por defecto en todos los planes	Opcional en Enterprise	Disponible; no es por defecto
Exportación a BigQuery	Programada, Business+	No documentado	Basado en API; sin exportación nativa

Preguntas de TI empresarial

¿Qué IdPs soporta el SSO?

Cualquier IdP que soporte SAML 2.0 o OIDC: Okta, Azure AD / Entra ID, Google Workspace, OneLogin, Ping, Rippling y otros. La integración es a través de WorkOS, que normaliza las diferencias de protocolo. Si tu IdP habla SAML u OIDC, funciona. La configuración es un flujo guiado por WorkOS: configura la aplicación SAML en tu IdP, pega la URL de metadatos en Elido, y listo.

¿Cómo funciona el desaprovisionamiento SCIM?

WorkOS gestiona el endpoint SCIM 2.0. Cuando se elimina un usuario del grupo correspondiente en tu IdP, WorkOS envía un evento DELETE a Elido. Elido revoca inmediatamente los tokens de sesión del usuario y marca la cuenta como inactiva. Las claves API activas asociadas a ese usuario no se revocan automáticamente; eso es un paso aparte que configuras en los ajustes de SCIM, con la opción predeterminada de revocar al desaprovisionar. La acción de desaprovisionamiento aparece en el registro de auditoría dentro del ciclo de sincronización SCIM (típicamente menos de 5 minutos).

¿Qué cubre la lista de IPs permitidas?

Inicio de sesión en el dashboard, solicitudes API y confirmación de entrega de webhooks. Se admite la notación CIDR; los rangos múltiples se separan por comas. Las solicitudes desde fuera de la lista de permitidas devuelven un 403 con un evento de auditoría registrado - sin caídas silenciosas. La lista de IPs permitidas se evalúa después de la autenticación, no antes, por lo que una autenticación fallida desde fuera de la lista de permitidas sigue registrando el intento.

¿Podemos obtener un BAA para el cumplimiento de HIPAA?

Sí, en Business+. El BAA cubre el rol de Elido como asociado de negocio para los espacios de trabajo donde la PHI pueda pasar a través de metadatos de enlaces o analíticas. Las salvaguardas técnicas (cifrado en reposo y en tránsito, registro de auditoría, controles de acceso, notificación de brechas) ya están implementadas. Contacta con [email protected] para la plantilla del BAA.

¿Cuál es el estado de SOC 2?

La auditoría SOC 2 Tipo II está en marcha con un objetivo para el segundo semestre de 2026. Se ha logrado la ISO 27001. Compartimos evidencia del Tipo 1 bajo acuerdo de confidencialidad para los clientes que la necesiten antes de que se publique el informe del Tipo 2. El Centro de Confianza en /trust rastrea el estado actual. No afirmaremos tener el Tipo II hasta que el periodo de auditoría esté cerrado.

¿Cómo funcionan los roles personalizados? ¿Puedo restringir a un equipo a solo lectura en un dominio específico?

Sí. Los roles personalizados definen políticas basadas en Cedar que pueden limitar los permisos a dominios específicos, carpetas específicas u operaciones específicas (crear/leer/actualizar/borrar). Un rol que permite la creación de enlaces solo en un dominio personalizado específico y acceso de solo lectura a las analíticas es una política válida. Los roles son por espacio de trabajo; un usuario puede tener diferentes roles en diferentes espacios de trabajo. La evaluación de la política ocurre en el momento de la solicitud, no al iniciar sesión.

¿Existe una opción de edge dedicada para clientes Business?

El nivel Business utiliza los POPs de edge compartidos de Elido (región de la UE, EE. UU. Este, Asia-Pacífico). Un edge dedicado - tu propia flota de nodos de redirección, con tráfico aislado de otros inquilinos - es una conversación para Enterprise. Contacta con [email protected]. Alternativamente, el chart de Helm de auto-alojamiento te permite ejecutar la capa de redirección en tu propia VPC, lo cual es un patrón común para clientes Enterprise con requisitos estrictos de aislamiento de tráfico.

¿Cuál es el SLA de notificación de brechas?

24 horas para la notificación al cliente en caso de brechas confirmadas de datos personales; 72 horas para la notificación al regulador (GDPR Art. 33). La notificación cubre lo que sabemos en ese momento - no esperamos a la forense completa. El proceso está en /trust/incident-response.

Lista de lectura de TI empresarial

SCIM y SSO

SAML/OIDC gestionado por WorkOS, desaprovisionamiento SCIM 2.0, guías de IdP.

White-label

Hostname del portal con marca propia, correos transaccionales, paridad de sub-procesadores.

Trust Center

Estado de SOC 2, ISO 27001, sub-procesadores, historial de incidentes.

DPA

Addendum de Procesamiento de Datos GDPR prefirmado, CCE de la UE incluidas.

API y SDKs

OpenAPI 3.1, SDKs en TypeScript / Go / Python, webhooks.

Seguridad

Postura de cifrado, modelo RBAC, log de auditoría, lista de IPs permitidas.

¿No estás seguro de qué enfoque se adapta?

La mayoría de los equipos comienzan como uno y crecen hasta abarcar los cuatro. Nuestro equipo de ventas puede revisar tu stack específico en 20 minutos.

Hablar con ventas Trust Center