Elido
Blog
14 min de lectureConformité

SOC 2 et HIPAA pour le suivi de liens : une réponse pour les achats

Ce que les questionnaires de sécurité en entreprise demandent réellement sur un réducteur de liens — les contrôles SOC 2 appliqués à l'infrastructure de liens et les limites d'application de HIPAA.

Sasha Ehrlich
Compliance · EU residency
Two columns labelled SOC 2 and HIPAA listing the trust-services-criteria categories on the left and the four HIPAA safeguard groups on the right with check and exclusion marks

Un réducteur de liens semble être une petite surface lors d'un examen des achats. Deux paragraphes dans le questionnaire de sécurité du fournisseur, une attestation rapide, une case à cocher. Puis, l'équipe de sécurité ouvre le schéma d'architecture et découvre que le réducteur se trouve sur le chemin de la requête de chaque URL de campagne, de chaque lien d'e-mail transactionnel, de chaque redirection de code QR. L'examen de deux paragraphes se transforme en trois semaines de suivi.

Cet article répond aux questions que les équipes d'achats en entreprise posent réellement sur SOC 2 Type II et HIPAA lorsqu'elles évaluent un fournisseur de suivi de liens. Il est écrit pour la personne qui remplit le questionnaire et pour celle qui examine la réponse.

La version courte#

Elido possède la certification ISO 27001. Le rapport SOC 2 Type II est en cours avec un objectif de finalisation au second semestre 2026 — la fenêtre d'audit a débuté en février 2026, la collecte de preuves se poursuit jusqu'en juillet, et le rapport Type II est attendu pour la fin du quatrième trimestre (Q4). HIPAA est pris en charge sur les forfaits Business et Enterprise avec un Business Associate Agreement signé ; les contrôles sous-jacents sont les mêmes que ceux utilisés pour SOC 2.

La posture de conformité GDPR est distincte de SOC 2 et HIPAA et est traitée dans l'article de référence GDPR pour les réducteurs de liens. Ce post se concentre sur les cadres d'attestation de style américain qui régissent les examens des achats en entreprise.

Ce que SOC 2 dit réellement d'un réducteur de liens#

SOC 2 est un rapport, pas une certification. Un auditeur indépendant (un cabinet de CPA aux US, ou un organisme d'audit reconnu dans l'EU) examine une organisation de services par rapport aux AICPA's Trust Services Criteria et émet une opinion. Le Type I documente que les contrôles sont conçus de manière appropriée à un instant T ; le Type II documente qu'ils ont fonctionné efficacement sur une période donnée — généralement de six à douze mois.

Les Trust Services Criteria se divisent en cinq catégories. Chaque rapport SOC 2 couvre la Sécurité ; les quatre autres (Disponibilité, Intégrité du traitement, Confidentialité, Vie privée) sont incluses au choix de l'organisation de services en fonction des besoins de ses clients.

Sécurité — la catégorie toujours incluse#

Les critères de Sécurité couvrent le contrôle d'accès, la gestion des changements, la surveillance, la réponse aux incidents et l'évaluation des risques. Pour un réducteur de liens, les contrôles les plus importants sont :

  • CC6.1 Accès logique : qui peut créer, modifier ou supprimer un lien court, et comment cet accès est accordé et révoqué. L'audit retracera des utilisateurs spécifiques depuis le dossier d'intégration RH via l'IdP (Ory Kratos pour Elido) jusqu'à l'attribution des rôles dans l'espace de travail, et vérifiera que leur accès a été supprimé dans les délais prévus par la politique après leur départ.
  • CC6.6 Accès externe : comment les utilisateurs externes (propriétaires de domaines personnalisés, consommateurs d'API, intégrations partenaires) s'authentifient et quels scopes ils reçoivent. Le modèle de jeton API avec clés d'idempotence et scoping par espace de travail est l'artefact que l'auditeur veut voir.
  • CC7.2 Surveillance : ce qui est journalisé, où vont les logs et comment les anomalies remontent. Pour un service de redirection, les signaux pertinents sont un volume de redirection inhabituel par espace de travail, les déclenchements de limitation de débit (rate-limit) à la bordure (edge) et les échecs d'authentification.
  • CC8.1 Gestion des changements : les modifications de code, de la pull request au déploiement, avec séparation des tâches entre l'ingénieur qui a écrit le changement et le réviseur qui l'a approuvé. L'audit échantillonnera des pull requests et examinera l'historique d'approbation et de déploiement.

Les critères de Sécurité sont également l'endroit où SOC 2 attend un plan de réponse aux incidents documenté. Pour un service de redirection, les incidents pertinents sont la création non autorisée de liens, l'altération des destinations de redirection et l'exfiltration de données via les points de terminaison d'exportation analytique. Le runbook à /docs/runbooks/ couvre la procédure pour chacun de ces cas.

Disponibilité — la deuxième catégorie la plus courante#

La Disponibilité couvre les engagements de temps de fonctionnement (uptime), la planification de la capacité et la reprise après sinistre. Pour un réducteur de liens, les artefacts pertinents sont :

  • Un objectif de niveau de service (SLO) documenté. Le SLO publié par Elido est de 99,95 % de disponibilité des redirections par trimestre, avec des SLO distincts pour le tableau de bord (99,9 %) et l'API analytique (99,5 %).
  • Preuves de tests de capacité. Le service de redirection à la bordure (edge-redirect) effectue des tests de charge continus en staging ; l'audit cherche la preuve que l'enveloppe de capacité de production est connue et surveillée par rapport au SLO.
  • Preuves de sauvegarde et de restauration. Postgres utilise Patroni HA avec une récupération à un point précis dans le temps (point-in-time recovery) ; ClickHouse exporte quotidiennement vers un stockage objet ; l'audit requiert le journal de l'exercice de restauration montrant que l'objectif de temps de restauration (RTO) est atteignable.
  • Documentation du basculement (failover) multi-région. Les trois POP (Frankfurt, Ashburn, Singapore) sont en mode actif-actif pour les redirections ; l'auditeur lira le runbook de basculement et le post-mortem du dernier événement régional.

Confidentialité et Vie privée — incluses de manière sélective#

La Confidentialité et la Vie privée ajoutent des catégories qui chevauchent la posture GDPR. La plupart des clients entreprises dans l'EU préfèrent traiter la confidentialité via la documentation GDPR (accords de sous-traitance Article 28, analyses d'impact des transferts, le DPA public) plutôt que via SOC 2 Privacy. Le périmètre actuel de l'audit SOC 2 d'Elido inclut la Sécurité, la Disponibilité et la Confidentialité. La Vie privée est traitée séparément via la suite de documentation GDPR sur /trust.

La raison de cette séparation : SOC 2 Privacy correspond aux AICPA's Generally Accepted Privacy Principles, qui ont été conçus pour les cadres de confidentialité de style américain. Le GDPR est un cadre juridique distinct avec ses propres contrôles. Confondre les deux dans une seule attestation tend à affaiblir les deux.

Ce que HIPAA dit réellement d'un réducteur de liens#

HIPAA — le Health Insurance Portability and Accountability Act, tel que mis à jour par HITECH et la règle Omnibus de 2013 — réglemente la manière dont les informations de santé protégées (PHI) sont traitées par les entités couvertes (prestataires de soins, payeurs, centres de tri) et leurs Business Associates.

Un réducteur de liens devient un Business Associate lorsque le lien court ou les données qu'il contient transportent des PHI. La question intéressante est de savoir si c'est jamais le cas, et la réponse est plus nuancée que ce que supposent la plupart des examens des achats.

Quand les PHI circulent via une redirection#

Un lien court lui-même — s.elido.me/abc123 — n'est pas une PHI. L'URL de destination, les métadonnées de l'espace de travail et les tags de campagne ne sont pas non plus des PHI dans le cas général.

La question des PHI réside dans trois endroits spécifiques :

  • URLs de destination contenant des identifiants : un lien court redirigeant vers https://provider.example/patient/12345/results contient un identifiant de patient dans le chemin de l'URL. Cette URL de destination est stockée par le réducteur et constitue donc une PHI au sens strict — même si le lien fonctionne parfaitement sans que personne chez le réducteur n'interprète l'identifiant du patient.
  • Paramètres personnalisés ajoutés au moment du clic : si une redirection ajoute un identifiant de session ou un identifiant d'utilisateur comme paramètre d'URL et que cet identifiant peut ultérieurement être associé à des PHI, l'événement de clic devient une partie de la chaîne PHI.
  • Événements de clic avec données de référent : un événement de clic inclut l'URL de référence (referrer). Si un référent inclut par hasard un identifiant de patient (une page de portail patient avec un lien profond qui a renvoyé l'utilisateur vers le lien raccourci), le champ référent est une PHI.

La plupart des cas d'utilisation du marketing de la santé ne génèrent de PHI via aucun de ces canaux. Un département marketing d'un système de santé menant des campagnes pour des vaccins contre la grippe, des événements de bien-être ou du contenu de santé général produit des redirections avec des destinations et des référents sans PHI. Pour cette charge de travail, le BAA est une précaution, pas une nécessité architecturale.

Pour les charges de travail qui acheminent vers des destinations PHI — portails patients, liens de confirmation de rendez-vous, URLs de livraison de résultats de laboratoire — le BAA est requis, et les contrôles architecturaux décrits ci-dessous doivent être en place chez le réducteur.

La HIPAA Security Rule appliquée à un service de redirection#

La HIPAA Security Rule (45 CFR Part 164, Subpart C) prescrit des mesures de protection administratives, physiques et techniques. Pour un service de redirection traitant des PHI dans les destinations :

  • Contrôles d'accès (164.312(a)) : identification unique de l'utilisateur, déconnexion automatique, chiffrement des ePHI en transit et au repos. Elido impose des identifiants d'utilisateurs uniques attribués par l'IdP, un délai d'expiration de session configurable par espace de travail, TLS 1.3 sur tous les points de terminaison externes et un chiffrement d'enveloppe AES-256 au repos pour les magasins de données concernés.
  • Contrôles d'audit (164.312(b)) : enregistrement et examen de l'activité dans les systèmes qui contiennent ou utilisent des ePHI. Elido émet des journaux d'audit pour la création de liens, la modification de liens, les changements de destination et l'exportation analytique vers un magasin en ajout uniquement (append-only) et infalsifiable. La rétention des logs d'audit est de 24 mois par défaut sur les forfaits Business+.
  • Contrôles d'intégrité (164.312(c)) : protection des ePHI contre toute altération inappropriée. Les URLs de destination sont stockées avec un historique au niveau de la ligne ; toute modification est enregistrée avec l'identité de l'auteur et l'horodatage, et la valeur précédente reste dans la table d'historique.
  • Sécurité de la transmission (164.312(e)) : protection des ePHI en transit sur les réseaux ouverts. TLS 1.3 sur tous les points de terminaison de redirection ; préchargement HSTS ; épinglage de certificat (certificate pinning) disponible sur les domaines personnalisés.

Les mesures de protection administratives et physiques (formation du personnel, politiques de sanctions, contrôles d'accès aux installations) chevauchent largement les contrôles de Sécurité SOC 2. Les mêmes preuves soutiennent les deux audits, c'est pourquoi nous les menons selon un calendrier de preuves partagé.

Ce que le BAA couvre et ne couvre pas#

Un Business Associate Agreement est un contrat en vertu de HIPAA 164.504(e). Il engage le Business Associate à respecter des mesures de protection spécifiques, des délais de notification de violation et des obligations de répercussion sur les sous-traitants. Il ne modifie pas l'architecture sous-jacente ; il engage le fournisseur à exploiter l'architecture de manière conforme à HIPAA.

Le BAA standard d'Elido, disponible pour les forfaits Business et Enterprise, couvre :

  • Les quatre catégories de mesures de protection de la HIPAA Security Rule appliquées à toutes les données que le client achemine via le service de redirection.
  • La notification de violation dans les 60 jours suivant la découverte, avec des délais de réponse aux incidents détaillés couverts dans le BAA et le runbook correspondant /docs/runbooks/incident-response.
  • La répercussion sur les sous-traitants nommés (Hetzner, OVH, Postmark, Cloudflare, monobank Plata) sous leurs propres BAA le cas échéant. La liste actuelle des sous-traitants est disponible sur /legal/subprocessors et est la même que celle utilisée pour la documentation GDPR Article 28.
  • Le retour ou la destruction des PHI à la fin du contrat, avec une fenêtre de 30 jours pour que le client exporte ses données avant suppression.

Ce que le BAA ne fait pas : il ne rend pas un forfait non éligible à HIPAA éligible. Les forfaits Free et Pro n'incluent pas l'exécution d'un BAA. L'infrastructure est la même sur tous les forfaits payants ; les engagements juridiques ne le sont pas.

Le questionnaire d'achat — des réponses à copier-coller#

La plupart des questionnaires d'achats en entreprise posent la même série de questions. Les réponses ci-dessous sont celles que nous fournissons directement, avec des liens vers les artefacts.

Avez-vous un rapport SOC 2 Type II actuel ? Certifié ISO 27001 ; audit SOC 2 Type II en cours, rapport Type II prévu pour Q4 2026. Des lettres de transition (bridge letters) et le certificat ISO 27001 actuel sont disponibles sous NDA via /trust. Le SOC 2 Type I a été achevé en novembre 2025 ; le rapport Type I est également disponible sous NDA.

Signerez-vous notre BAA ? Nous signons notre BAA standard pour les forfaits Business et Enterprise. Les BAA sur papier client sont examinés pour les forfaits Enterprise ; les modifications courantes (fenêtres de notification de violation élargies, attestations de mesures de protection supplémentaires, contrôles des sous-traitants spécifiés par le client) sont acceptées. Contactez [email protected] pour le texte standard ou pour lancer un examen de contrat client.

Où les données sont-elles stockées ? Les clients de l'EU sont par défaut à Francfort (Hetzner FRA1, région EU). Les clients des US peuvent choisir Ashburn (Hetzner ASH). Singapour (OVH SGP) est disponible pour les clients APAC. La réplication inter-régionale est optionnelle par espace de travail ; sans elle, toutes les données client restent dans la région choisie. L'article sur la résidence des données détaille l'architecture de résidence.

Quel chiffrement est utilisé ? TLS 1.3 en transit sur tous les points de terminaison externes (redirection, API, tableau de bord, analytique). Chiffrement d'enveloppe AES-256 au repos pour le primaire Postgres, le cluster ClickHouse et le stockage objet. Le KMS fourni par le client est pris en charge sur les forfaits Enterprise via l'intégration BYO KMS.

Comment l'accès est-il provisionné et déprovisionné ? Authentification unique (SSO) via SAML ou OIDC via WorkOS ; provisionnement SCIM pour le cycle de vie des utilisateurs. Contrôle d'accès basé sur les rôles (RBAC) au niveau de l'espace de travail avec rôles personnalisés disponibles sur Enterprise. L'article sur SCIM et SSO couvre l'intégration et les contrôles du cycle de vie.

Quel est votre processus de réponse aux incidents ? Runbook documenté avec un SLA de réponse initiale de 60 minutes, un SLA de mise à jour technique de 24 heures et des rotations de commandants d'incident nommés. Les notifications de violation suivent les délais prévus dans notre BAA et notre DPA. L'index complet des runbooks est à /docs/runbooks/.

Qui sont vos sous-traitants ? Cinq sous-traitants nommés : Hetzner (infrastructure, EU), OVH (infrastructure, APAC), Postmark (e-mail transactionnel), Cloudflare (protection DDoS sur les surfaces marketing publiques ; pas sur le plan de données de redirection), monobank Plata (facturation pour la clientèle de l'EU). La liste complète avec les coordonnées est sur /legal/subprocessors.

Combien de temps conservez-vous les données client ? Les événements de clic sont conservés pendant la durée du contrat plus la fenêtre d'exportation de 30 jours à la résiliation, puis supprimés. La configuration des liens est conservée pendant la durée du contrat plus la fenêtre d'exportation. Les métriques agrégées (comptage de liens par espace de travail, comptage de clics par jour, sans PII) sont conservées au-delà du contrat pour la facturation et la planification interne des capacités.

Le dossier de preuves qu'un auditeur souhaite voir#

Si vous êtes un client entreprise menant votre propre audit SOC 2 et qu'Elido est un fournisseur concerné, votre auditeur demandera probablement des preuves au titre de vos contrôles CC9.2 (gestion des fournisseurs) et CC1.4 (engagements). Le dossier fournisseur doit contenir :

  • Notre certificat ISO 27001 actuel (renouvelable annuellement).
  • Notre rapport SOC 2 Type I et la lettre de transition SOC 2 Type II (disponibles sous NDA).
  • Notre DPA et notre BAA signés, le cas échéant.
  • Notre liste de sous-traitants et les dates de tout changement.
  • Une capture de notre page de sécurité publique sur /trust et la version la plus récente de notre politique de confidentialité.
  • Notre historique de notification de violation (l'historique public est vide — le journal interne est examiné lors des achats sous NDA).

Le dossier de preuves est constitué une fois par engagement client et actualisé annuellement. La liste ci-dessus constitue l'ensemble standard ; les ajouts spécifiques demandés par les auditeurs sont traités au cas par cas.

Ce qui est véritablement difficile#

Deux choses sont véritablement difficiles concernant SOC 2 et HIPAA pour un service de redirection, et nous les mentionnons car la conversation sur les achats finit généralement par les faire remonter.

Les preuves de surveillance continue pour les POP à la bordure (edge) ne sont pas triviales. Le plan de données de redirection traite des volumes élevés de trafic dans trois régions, et l'auditeur veut la preuve que la surveillance fonctionne en continu, et pas seulement par échantillonnage. L'approche actuelle utilise des redirections synthétiques depuis chaque région chaque minute, l'état d'alerte étant capturé dans un journal infalsifiable. Le coût de cette surveillance est réel et la conception a connu trois itérations pour obtenir le bon rapport signal/bruit. Le guide d'observabilité dans la documentation couvre la configuration actuelle ; l'ADR sous-jacent est à /docs/adr/0024-sla-monitoring.md.

Les délais de notification de violation HIPAA sont plus serrés que ceux du GDPR. HIPAA exige la notification des individus affectés dans les 60 jours suivant la découverte ; pour les violations affectant plus de 500 personnes, des notifications supplémentaires au HHS et aux médias sont requises. Le GDPR accorde 72 heures pour prévenir l'autorité de contrôle, mais le délai de notification aux personnes concernées est "sans retard injustifié". Pour une violation multi-juridictionnelle, le délai HIPAA domine souvent. Nous nous engageons par défaut sur le délai HIPAA pour tout incident touchant des données client acheminées par les US, et notre runbook de réponse aux incidents reflète cet engagement.

Lectures connexes#

Essayer Elido

Raccourcisseur d'URL hébergé en UE : domaines personnalisés, analyses approfondies et API ouverte. Forfait gratuit — sans carte bancaire.

Essayer Elido gratuitementVoir les tarifs
Tags
soc 2 url shortener
hipaa url shortener
link tracking compliance
soc 2 type ii
baa link tracking
vendor security review
enterprise procurement

Lire la suite