The shortener your DPO won’t push back on.
Vous mesurez le délai de traitement DSAR, la fraîcheur des preuves SOC 2 et le coût des questionnaires fournisseurs en cycle de vente. Elido est le réducteur de liens accepté par votre DPO.
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- FrankfurtFRA · eu-central-1EU residency · default
Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.
- AshburnIAD · us-east-1Opt-in
Workspace creation only. Irreversible. For US-resident customers who want US data path.
- SingaporeSIN · ap-southeast-1Business+ · opt-in
Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.
Append-only audit log
Every state change. Actor, IP, before/after diff, source.
Append-only is enforced at the database layer: the audit table grants only INSERT and SELECT to application roles, with no UPDATE or DELETE. Even our own admins can’t rewrite history without a migration that shows up in change control. Retention is 90 days on Pro and 7 years on Business — covering SOX, MiFID II, and HIPAA without an add-on.
- Actor identityUser ID or service principal, plus source IP and request ID
- Before/after diffStructured JSON diff of the changed row — not just a text log line
- SIEM firehoseHMAC-signed webhook to Splunk / Datadog / ELK in real time
- Tamper-evidentPostgres GRANT enforcement; no UPDATE / DELETE for app roles
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Data subject access requests
DSAR, not support ticket. API call, signed bundle, SLA clock.
You receive a subject request from your end user. You forward it via the dashboard or API as a controller-on-behalf-of-subject request — Elido authenticates the controller (you), not the subject. The bundle is a signed zip: identity record, links, audit-log entries where the subject is the actor, billing receipts if the subject is a workspace owner. Standard SLA is 30 days; Business expedited returns inside 5 business days.
- Step 1
Subject request
End user → controller (you)Subject contacts you. You authenticate them in your own product, not in Elido.
- Step 2
DSAR API call
POST /v1/dsarForward as a controller-on-behalf request with subject email + request type (export / erase).
- Step 3
Workspace bundle
signed zip · JSON + CSVIdentity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.
- Step 4
SLA
30 days · 5 days expeditedStandard SLA on every plan; Business expedited tier returns inside 5 business days.
Five sub-processors, listed publicly
Hetzner, OVH, Postmark, monobank Plata, Cloudflare. That’s the list.
The full list with vendor location, processing purpose, data categories, and DPA reference URL lives at /legal/subprocessors and is checked into the public docs repo, so changes appear in git history. Adding or replacing a sub-processor triggers a 30-day notice to every workspace admin via in-app banner and email before processing begins, so customers can object. monobank Plata replaced LiqPay under ADR-0026 in 2026-05.
- HetznerISO 27001Compute · primary infraEU · Frankfurt + Helsinki
- OVHISO 27001 · SOC 2Compute · Business region pinsEU + APAC POPs
- PostmarkSOC 2 Type IITransactional emailEU (opt-out for EU-only)
- monobank PlataPCI DSS L1Payments · replaced LiqPay (ADR-0026)EU
- CloudflareISO 27001 · SOC 2Marketing proxy + WAF (not redirect path)Global
What you can put on the procurement deck
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- ISO 27001 achieved · SOC 2 Type II in progress (H2 2026)
- HIPAA-ready BAA on Business+ with safeguards already wired
À quoi ressemble la 'conformité' dans le produit
La plupart des réducteurs de liens répondent aux questions de conformité avec un document d'une page et un questionnaire fournisseur. Les fonctionnalités ci-dessous sont réellement intégrées dans le code, pas seulement des promesses dans un dossier d'achat.
Défaut-UE, région épinglée par espace de travail
Francfort est la région par défaut pour chaque nouvel espace de travail. Les événements de clic, les métadonnées de lien, les journaux d'audit, les exports — tout reste dans eu-central-1 à moins qu'un administrateur n'épingle l'espace de travail à Ashburn ou Singapour au moment de la création. Il n'y a pas de réplication inter-régionale pour les données actives ; les sauvegardes sont chiffrées au repos et stockées dans la même région que la source. Le DPF (Data Privacy Framework) ne fait pas partie de notre stratégie de conformité — nous ne comptons pas sur les mécanismes de transfert US-UE car nous ne transférons pas.
Journal immuable de chaque changement d'état
Paramètres de l'espace de travail, émission et rotation des clés API, invitations de membres et changements de rôles, revendications de domaines personnalisés, modifications de marque, création / mise à jour / suppression de liens — chaque mutation atterrit dans le journal d'audit avec l'acteur, l'horodatage, le diff avant/après et l'IP source. Les journaux sont conservés pendant 90 jours sur Pro et 7 ans sur Business ; les deux niveaux peuvent diffuser le flux vers un SIEM (Splunk, Datadog, ELK) via webhook en temps réel. La falsification est empêchée par la contrainte append-only au niveau de la couche base de données ; le journal est consultable mais non modifiable, même par les administrateurs.
Cinq fournisseurs, tous listés publiquement
Nous utilisons exactement cinq sous-traitants ultérieurs : Hetzner (calcul, UE), OVH (calcul, UE + APAC pour Business), Postmark (e-mail transactionnel, US — option de retrait pour l'UE uniquement), LiqPay (paiements, UE) et Cloudflare (proxy + WAF, mondial). La liste complète avec l'emplacement, le but et la référence DPA est disponible sur /legal/subprocessors et les mises à jour déclenchent un préavis client de 30 jours. Nous n'ajoutons pas de sous-traitants ultérieurs discrètement ; la liste est enregistrée dans le dépôt de documentation et révisée chaque trimestre.
Exportation et suppression via API, pas via un ticket de support
L'exportation de données par utilisateur renvoie un bundle JSON + CSV couvrant l'identité, les liens créés, les entrées du journal d'audit attribuables au sujet et les métadonnées d'événements de clic qui se rapportent à ce sujet (généralement aucune — les clics sont anonymisés lors de l'ingestion à moins que l'espace de travail n'active explicitement le suivi PII). La suppression est un effacement réversible avec une fenêtre de 30 jours pour la récupération en cas de suppression accidentelle, puis une purge définitive des serveurs primaires, répliques et sauvegardes. Le SLA est de 30 jours à compter de la demande ; le niveau Business accéléré le traite en 5 jours ouvrables.
SOC 2 Type II, ISO 27001, prêt pour HIPAA
L'audit SOC 2 Type II est en cours (cible : S2 2026) ; les contrôles et les preuves sont déjà en place — la période d'audit est ce que nous attendons. ISO 27001 est obtenu. 'Prêt pour HIPAA' signifie que nous signons un BAA sur Business+ et que nous avons les mesures de protection techniques (chiffrement, piste d'audit, contrôles d'accès, procédures de notification de violation) intégrées ; la certification se fait secteur par secteur, et non par un simple sceau de style SOC. La posture de confiance est documentée sur /trust et les mises à jour apparaissent dans /changelog.
Stack you’ll evidence
- EU-residency
- GDPR DPA
- SOC 2 Type II (en cours)
- ISO 27001
- Log d'audit + flux SIEM
- DSAR API
Ce que votre DPO mesure
- Nombre de sous-traitants
- 5, EU uniquement par défaut
- Réponse DSAR
- Moins de 30 jours
- Rétention des logs d'audit
- 7 ans sur Business
Équipes de conformité utilisant Elido
Les noms sont des espaces réservés pour le moment — les vrais noms de clients apparaîtront ici au fur et à mesure de la publication des études de cas.
“Nous avons dû quitter Bitly lorsque notre auditeur a signalé la liste des sous-traitants US. Le défaut UE d'Elido a passé l'approvisionnement en deux semaines ; auparavant, nous ne pouvions pas dépasser le 'montrez-moi le DPA' chez le fournisseur précédent.”
“Le BAA on Business a fait la différence. De plus, le journal d'audit est diffusé directement dans notre SIEM Datadog — nous n'avons pas eu à écrire de couche de synchronisation nous-mêmes.”
“Schrems II a disqualifié quatre réducteurs de liens que nous avons évalués. Elido était le seul dont la réponse à 'où sont les données ?' était 'dans le pays que vous avez indiqué'. C'est tout ce qu'on demandait.”
Ce qui change quand la conformité est l'acheteur
Si votre DPO examine le fournisseur, voici les questions qu'il posera. Réponses honnêtes sur trois options.
| Capability | Elido | Bitly Enterprise | Réducteur de liens générique |
|---|---|---|---|
| Résidence des données par défaut | UE (Francfort) pour chaque espace de travail | Défaut US ; option UE sur Enterprise | La région dépend du niveau de forfait |
| Dépendance vis-à-vis du DPF / Schrems II | Aucune — pas de chemin de données US | Inscrit au DPF ; repose sur le mécanisme de transfert | Mixte ; dépend des sous-traitants ultérieurs |
| Nombre de sous-traitants ultérieurs | 5, tous listés publiquement | 20+ selon les niveaux de forfait | Non publié |
| Signature du DPA | Pré-signé, téléchargeable | Contre-signature manuelle sur demande | Sur demande, forfaits payants uniquement |
| Rétention du journal d'audit | 7 ans sur Business | 1 an par défaut | 30-90 jours |
| Streaming journal d'audit → SIEM | Flux webhook, temps réel | Exportation quotidienne uniquement | Téléchargement manuel |
| Exécution du DSAR | API ; standard <30j, accéléré <5j | Ticket de support ; 30j | Ticket de support ; le SLA varie |
| Support BAA / HIPAA | Oui sur Business+ | Add-on Enterprise | Non |
| SOC 2 / ISO 27001 | ISO 27001 ; SOC 2 Type II en cours | Les deux, matures | Aucun des deux |
Questions courantes du service achats
Où exactement nos données sont-elles stockées ?
UE-Central (Francfort) par défaut. Postgres, ClickHouse (flux de clics), Redis (cache), MinIO (stockage d'actifs) et les sauvegardes se trouvent tous dans eu-central-1. Aucune donnée n'est répliquée aux US ou en APAC, sauf si un administrateur épingle explicitement l'espace de travail à Ashburn ou Singapour au moment de la création — ce qui est un choix délibéré et irréversible (les espaces de travail ne migrent pas de région). L'architecture complète est dans /docs/strategy/ARCHITECTURE.md, enregistrée dans le dépôt public.
Êtes-vous concernés par SOC 2 / ISO 27001 ?
ISO 27001 est obtenu. L'audit SOC 2 Type II est en cours avec un objectif pour le S2 2026 — les contrôles et les preuves sont déjà opérationnels, la période d'audit est le point critique. Nous partageons les preuves de Type 1 sur demande sous NDA aujourd'hui ; les rapports de Type 2 seront publiés lorsqu'ils seront prêts. Le Centre de Confiance sur /trust suit l'état actuel.
Signez-vous un DPA ?
Pré-signé et téléchargeable sur /legal/dpa. Le DPA fait référence à notre liste de sous-traitants ultérieurs sur /legal/subprocessors en tant que document évolutif ; les changements de sous-traitants ultérieurs donnent lieu à un préavis de 30 jours aux clients. Si vous avez besoin de modifications (redlines), cela relève d'une discussion de contrat Business+ ; les défauts sont généralement acceptés par les DPO de l'UE sans modification.
Combien de sous-traitants ultérieurs sont impliqués ?
Cinq : Hetzner (calcul, UE), OVH (calcul, UE + APAC pour les clients non-UE), Postmark (e-mail transactionnel — option de retrait pour l'UE uniquement), LiqPay (paiements, UE), Cloudflare (proxy + WAF, mondial). Les emplacements et le but de chacun sont indiqués sur /legal/subprocessors. L'ajout d'un sous-traitant ultérieur déclenche un préavis de 30 jours aux clients ; nous ne les ajoutons pas discrètement.
Pouvons-nous utiliser notre propre HSM / KMS pour les clés de chiffrement ?
Oui sur l'édition auto-hébergée. Le SaaS Elido chiffre au repos avec AWS KMS (par région) et en transit avec TLS 1.3 ; nous ne prenons pas en charge actuellement le KMS géré par le client sur le SaaS multi-tenant. L'auto-hébergement (graphique Helm, sous licence Apache 2.0) vous permet de pointer vers votre propre KMS / Vault / HSM.
Quel est le SLA pour la notification de violation ?
Violations confirmées de données personnelles : notification client sous 24 heures, notification du régulateur sous 72 heures (GDPR Art. 33). La notification couvre ce que nous savons à ce moment-là ; nous n'attendons pas les résultats complets de l'analyse forensique. Le processus est décrit dans notre Centre de Confiance sur /trust/incident-response.
Exécutez-vous les DSAR des utilisateurs finaux (personnes concernées), et pas seulement les nôtres en tant que client ?
Nous agissons sur instructions du responsable du traitement (vous, le client). Les utilisateurs finaux vous contactent ; vous transmettez la demande via le tableau de bord ou l'API et nous l'exécutons. Nous n'acceptons pas directement les DSAR des utilisateurs finaux car nous n'aurions aucun moyen de les authentifier en tant que sujet de votre espace de travail — cette authentification vous appartient.
Le journal d'audit peut-il être falsifié par un administrateur Elido ?
Non. Le journal est append-only au niveau de la couche base de données ; même nos propres administrateurs ne peuvent pas modifier les entrées historiques. La suppression des anciennes entrées au-delà de la fenêtre de rétention est automatisée et enregistre un méta-événement 'purge de rétention' afin que l'écart soit lui-même auditable. Une falsification en direct nécessiterait une intrusion au niveau de la base de données contournant notre code d'application, ce qui est le même modèle de menace que toute autre corruption de table — couvert par RLS et nos contrôles SOC 2.
Avez-vous un fichier security.txt public / une politique de divulgation coordonnée ?
Oui — security.txt sur /.well-known/security.txt ; politique de divulgation coordonnée sur /trust/disclosure. Le programme de bug bounty est géré via HackerOne (programme privé ; contactez security@elido.app pour une invitation si vous avez une découverte non signalée).
Que se passe-t-il à la fin du contrat ? Comment récupérons-nous nos données ?
Exportation complète des données à tout moment via l'API ou une demande de support ponctuelle. Bundle JSON + CSV couvrant les liens, les événements de clic (bruts ou agrégés, selon votre choix), le journal d'audit, les membres, les paramètres et la marque. Après la fin du contrat, nous conservons les données pendant 30 jours pour une récupération en cas d'annulation accidentelle, puis nous procédons à une purge définitive des serveurs primaires, répliques et sauvegardes. Nous pouvons émettre une confirmation de purge écrite si votre DPA l'exige.
DPO’s reading list
Sub-processors, DPA, security.txt — the public version of every claim on this page.
Pre-signed DPA, downloadable. Standard EU SCCs, no negotiation needed for default terms.
Five vendors, public list with location, purpose, DPA reference per row.
Encryption, access control, vulnerability disclosure, incident response timelines.
WorkOS-managed SAML / OIDC + SCIM directory sync; deprovisioning within minutes.
DSAR endpoints, audit log streaming, scoped API keys — typed across TS / Py / Go.
Pas sûr de l'angle qui convient ?
La plupart des équipes commencent par un et évoluent vers les quatre. Notre équipe commerciale peut examiner votre pile spécifique en 20 minutes.