Elido
Trust Center

Confianza, por escrito.

Elido está alojado en la EU por defecto, cumple con GDPR y está construido con logs de auditoría integrados. Todo lo que sigue es lo que ya hacemos, no lo que planeamos.

Leer el DPA[email protected]
SOC 2 Type II
ISO 27001
GDPR
Compatible con HIPAA (Business)
EU-residency
Región del espacio · fijar una vez
irreversible al crear
  • Región de la UEEU
    EU-residency · por defecto

    Por defecto en cada espacio. Auditoría, clics, copias quedan en la región. Sin depender de DPF o Schrems II.

  • EE. UU. EsteUS
    Opt-in

    Solo al crear el espacio. Irreversible. Para clientes residentes en EE. UU. que quieren una ruta de datos en EE. UU.

  • Asia-PacíficoAPAC
    Business+ · Opt-in

    Solo al crear el espacio. Irreversible. EU-residency APAC para planes Business y Enterprise.

Sin replicación interregional para datos calientesauditoría · clics · copias
5
Subencargados, lista pública
90d
Auditoría en Pro (7 años en Business)
30d
SLA de DSAR (5d acelerado en Business)
0
Transferencias interregionales de datos calientes

Lo que «confianza» significa en términos de producto

Qué entendemos por confianza

Cada pilar se corresponde con algo concreto que puedes buscar en el registro de auditoría, el DPA o nuestro repositorio público de infraestructura. Sin ambigüedad de marketing.

EU-residency, por defecto

Todos los datos operativos permanecen en la región de la UE. Los planes Business pueden fijarlos en EE. UU. Este o Asia-Pacífico. Free + Pro nunca salen de la UE.

Audit trail en todo

Ajustes de workspace, cambios de rol, rotaciones de claves, creación de enlaces, borrados, exportaciones. Cada evento tiene un quién, cuándo y qué, y es exportable.

Solo lectura por defecto para AI

Las integraciones de AI obtienen claves con alcance limitado y rotables. El acceso de escritura/borrado es un ajuste de workspace explícito y auditado, no un valor por defecto.

BYOK y claves gestionadas por el cliente

Usa tu propio KMS para el cifrado en reposo en Business. Rota claves sin volver a cifrar el almacenamiento en frío.

Pipeline antiabuso

Cada enlace pasa por un escáner compuesto (URLhaus + Google Safe Browsing + heurística) al crearse y de nuevo mediante un worker de reescaneo continuo.

Transparencia de subencargados

Lista completa, ubicación y propósito. Notificamos sobre adiciones; rutas de exclusión disponibles para algunos.

Registro de auditoría append-only

Cada cambio de estado queda registrado.

El append-only se aplica a nivel de base de datos: la tabla de auditoría solo concede INSERT y SELECT a los roles de aplicación, sin UPDATE ni DELETE. Ni siquiera nuestros propios administradores pueden reescribir el historial sin una migración que aparezca en el control de cambios. La retención es de 90 días en Pro y 7 años en Business - cubre SOX, MiFID II y HIPAA sin complemento.

  • Identidad del actor
    ID de usuario o service principal, además de IP de origen y request ID
  • Diff antes/después
    Diff JSON estructurado de la fila modificada - no una simple línea de texto
  • Firehose a SIEM
    Webhook firmado con HMAC a Splunk / Datadog / ELK en tiempo real
  • A prueba de manipulación
    Aplicación con GRANT de la base de datos; sin UPDATE / DELETE para roles de aplicación
Resumen de seguridad →
Entrada de auditoría · evt_8c41a7
domain.claim · ws_8a2f
Marca temporal (UTC)
2026-05-08T11:42:18Z
IP de origen
203.0.113.42 · DE
Origen
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Tipo de evento
domain.claim
Líneas de diff
+3 / -2
Retención
7 años (Business)
Append-only · aplicado por GRANT de la base de datosTransmitido al SIEM

Solicitudes de acceso de los interesados

Derechos del interesado vía API.

Recibes una solicitud de un interesado de tu usuario final. La reenvías por el panel o la API como solicitud de responsable-en-nombre-del-interesado - Elido autentica al responsable (tú), no al interesado. El paquete es un zip firmado: registro de identidad, enlaces, entradas del registro de auditoría donde el interesado es el actor, recibos de facturación si el interesado es propietario del espacio de trabajo. El SLA estándar es de 30 días; el nivel acelerado de Business devuelve en 5 días hábiles.

  1. Paso 1

    Solicitud del interesado

    Usuario final → responsable (tú)

    El interesado te contacta. Lo autenticas en tu propio producto, no en Elido.

  2. Paso 2

    Llamada a la API DSAR

    POST /v1/dsar

    Reenvía como solicitud de responsable-en-nombre con email del interesado + tipo (export / erase).

  3. Paso 3

    Paquete del espacio de trabajo

    zip firmado · JSON + CSV

    Identidad, enlaces, entradas de auditoría con el interesado como actor, facturación si es propietario, metadatos de clics anonimizados.

  4. Paso 4

    SLA

    30 días · 5 días acelerado

    SLA estándar en cualquier plan; el nivel acelerado de Business devuelve en 5 días hábiles.

Leer el DPA →Referencia del endpoint DSAR → API

Cinco subencargados, listados públicamente

Cinco proveedores. Listados públicamente.

La lista nominal completa con ubicación del proveedor, finalidad del tratamiento, categorías de datos y URL de referencia del DPA está en /legal/subprocessors. Añadir o reemplazar un subencargado dispara un aviso de 30 días a cada administrador del espacio de trabajo vía banner in-app y email antes de que comience el tratamiento, para que los clientes puedan oponerse.

Distribución de subencargados · flujo de datos del espacio de trabajo
5 proveedores · lista pública
Tu espacio de trabajo
ws_xxxx
Región de la UE (por defecto)
  • Cómputo y alojamientoISO 27001
    Infraestructura principal de aplicación + edge
    EU · Alemania + Finlandia
  • Cómputo edgeISO 27001 · SOC 2
    Pins regionales de Business
    EU + APAC
  • Entrega de correoSOC 2 Type II
    Email transaccional
    EU (opt-out solo EU)
  • PagosPCI DSS L1
    Adquirencia con tarjeta
    EU
  • CDN + WAFISO 27001 · SOC 2
    Proxy de marketing (no en la ruta de redirección)
    Global · enrutamiento UE
Añadir un proveedor dispara un aviso al cliente de 30 días/legal/subprocessors
Ver la lista completa de subencargados →Resumen de seguridad → arquitectura

Postura de cumplimiento

Dónde estamos con los marcos por los que preguntan los clientes.

Sin promesas en futuro. Cada fila dice qué está entregado hoy, qué está en observación y qué está disponible como complemento bajo contrato.

Logrado

ISO 27001

Sistema de gestión de la seguridad de la información, alcance certificado que cubre toda la plataforma Elido.

En curso

SOC 2 Type II

Periodo de observación en marcha hasta H2 2026. Informe Type I disponible bajo NDA hoy.

Por defecto

GDPR

EU-residency por defecto, DPA prefirmado con SCCs estándar, lista pública de subencargados.

Disponible

HIPAA-ready

BAA en Business+ con cifrado, registro de auditoría y controles de acceso ya cableados.

Por defecto

EU residency

Todos los datos operativos permanecen en la región de la UE. Sin depender de Schrems II / DPF.

Por defecto

Encryption

AES-256 en reposo, TLS 1.3 en tránsito, rotación de claves con KMS. BYOK en Business.

FAQ de cumplimiento

Las preguntas que compras nos sigue enviando.

¿Firmáis un DPA?

Sí. Nuestro DPA estándar está prefirmado con SCCs de la UE y se puede descargar desde /legal/dpa. No hace falta negociación para los términos por defecto - los planes de pago lo contrafirman automáticamente. Los redlines personalizados están disponibles en Business y Enterprise.

¿Cuántos subencargados usáis?

Cinco, en su mayoría con base en la UE: cómputo + alojamiento (EU), cómputo edge para los pins regionales (EU + APAC), email transaccional (EU), pagos (EU) y un proxy + WAF de marketing que nunca toca la ruta de redirección. La lista nominal completa con ubicación, propósito y referencia al DPA está en /legal/subprocessors.

¿El pinning de región está disponible en todos los planes?

EU-residency es la opción por defecto para cada espacio de trabajo, en cualquier plan, y nunca cambia. El pinning opcional a EE. UU. Este o Asia-Pacífico es solo a nivel de espacio, irreversible al crear, y se limita a los planes Business y Enterprise.

¿Cuál es el plazo de DSAR?

SLA estándar de 30 días en cualquier plan. Business y Enterprise tienen un nivel acelerado de 5 días hábiles. Las DSARs se presentan por API o panel (POST /v1/dsar) - autenticas al responsable, te autenticamos a ti, y el paquete se envía como zip firmado con identidad, enlaces, entradas de auditoría y registros de facturación.

¿Cómo funcionan los BAAs para HIPAA?

BAA solo en Business+. Las salvaguardas técnicas (cifrado, registro de auditoría, control de acceso, copias de seguridad) son las mismas que el nivel por defecto - el BAA es papeleo, no feature-gating. Escribe a [email protected] para empezar.

¿Hay opción self-host?

Sí. El nivel de redirección y nuestro servicio de ingesta son open source bajo Apache 2.0 con un chart de Helm para Kubernetes. Los clientes ejecutan el nivel de redirección en su propia VPC y apuntan el panel al control plane, o ejecutan toda la stack on-prem. El repositorio es el mismo código que ejecutamos.

¿Cómo notificáis los cambios de subencargados?

Añadir o reemplazar un subencargado dispara un aviso de 30 días por banner in-app y email a cada administrador del espacio. Los clientes pueden oponerse antes de que comience el tratamiento. La lista nominal completa está en /legal/subprocessors.

¿Dónde publicáis los incidentes y el uptime?

Estado en vivo, incidentes recientes y post-mortems completos en /status. Los incidentes que afectan a la seguridad también se publican a los suscriptores de [email protected] y en la página del Trust Center dentro de la ventana de SLA definida en el DPA.

Dónde mirar ahora

Cada afirmación de arriba tiene un documento público. Si nos estás evaluando para una decisión de compras, empieza aquí.

Subencargados

Con quién compartimos datos, dónde se encuentran y por qué.

DPA

Firma antes de procesar datos personales de la EU.

Privacidad

Qué recopilamos, qué no y periodos de retención.

Página de seguridad

Arquitectura, cifrado, gestión de secretos y modelo de amenazas.

Estado

Uptime en vivo, incidentes recientes y post-mortems.

Contacto

¿Tienes alguna pregunta sobre seguridad?

[email protected] para informes de vulnerabilidades (PGP disponible). [email protected] para SOC 2 / ISO / DPA. Respondemos en un día laborable.

Seguridad

Informes de vulnerabilidades, security.txt, clave PGP. Respondemos en un día laborable.

[email protected]

Compliance

Solicitudes de SOC 2 / ISO, contrafirma de DPA, avisos de subencargados, proceso de BAA para HIPAA.

[email protected]

Sales

Compras enterprise, cuestionarios de seguridad y solicitudes de términos a medida.

[email protected]

Listos cuando compras lo esté.

DPA prefirmado, lista pública de subencargados, registro de auditoría en cualquier plan. Empieza gratis o habla con ventas para acelerar el cuestionario de seguridad.

Ver preciosHablar con ventas