Elido
Trust Center

La confiance, écrite noir sur blanc.

Elido est hébergé en EU par défaut, conforme au GDPR et conçu avec des pistes d'audit intégrées. Tout ce qui suit est ce que nous faisons déjà - pas ce que nous prévoyons.

Lire le DPA[email protected]
SOC 2 Type II
ISO 27001
GDPR
HIPAA-aware (Business)
EU-residency
Région de l’espace · à fixer une fois
irréversible à la création
  • Région UEEU
    EU-residency · par défaut

    Par défaut pour chaque espace. Le journal d’audit, les clics et les sauvegardes restent dans la région. Aucune dépendance à DPF ou Schrems II.

  • US EstUS
    Opt-in

    Uniquement à la création de l’espace. Irréversible. Pour les clients résidents US qui veulent un chemin de données US.

  • Asie-PacifiqueAPAC
    Business+ · Opt-in

    Uniquement à la création de l’espace. Irréversible. Résidence APAC pour les plans Business et Enterprise.

Pas de réplication inter-régions pour les données chaudesaudit · clics · sauvegardes
5
Sous-traitants, liste publique
90 j
Rétention d’audit Pro (7 ans sur Business)
30 j
SLA DSAR (5 j accéléré sur Business)
0
Transferts inter-régions pour les données chaudes

Ce que « confiance » signifie côté produit

Ce que nous entendons par confiance

Chaque pilier renvoie à quelque chose de concret que vous pouvez chercher dans le journal d’audit, le DPA ou nos pages de conformité. Aucune ambiguïté marketing.

EU-residency, par défaut

Toutes les données opérationnelles restent dans la région UE. Les plans Business peuvent choisir US Est ou Asie-Pacifique. Free + Pro ne quittent jamais l'UE.

Piste d'audit sur tout

Paramètres d'espace de travail, changements de rôles, rotations de clés, créations de liens, suppressions, exports. Chaque événement a un qui, quand et quoi - exportable.

Lecture seule par défaut pour l'AI

Les intégrations AI reçoivent des clés limitées et rotatives. L'accès en écriture/suppression est un paramètre d'espace de travail explicite et audité - pas un défaut.

BYOK et clés gérées par le client

Utilisez votre propre KMS pour le chiffrement au repos sur Business. Pivotez les clés sans ré-encrypter le stockage froid.

Pipeline anti-abus

Chaque lien passe par un scanner composite (URLhaus + Google Safe Browsing + heuristique) à la création et lors d'un scan récurrent.

Transparence des sous-traitants

Liste complète, localisation et finalité. Nous notifions les ajouts ; des options de retrait sont disponibles pour certains.

Journal d’audit en append-only

Chaque changement d’état est enregistré.

L’append-only est imposé au niveau de la base : la table d’audit n’accorde que INSERT et SELECT aux rôles applicatifs, sans UPDATE ni DELETE. Même nos propres administrateurs ne peuvent pas réécrire l’historique sans une migration qui apparaît dans le change control. La rétention est de 90 jours sur Pro et 7 ans sur Business - elle couvre SOX, MiFID II et HIPAA sans add-on.

  • Identité de l’acteur
    ID utilisateur ou service principal, plus l’IP source et le request ID
  • Diff avant/après
    Diff JSON structuré de la ligne modifiée - pas une simple ligne de log textuelle
  • Firehose SIEM
    Webhook signé HMAC vers Splunk / Datadog / ELK en temps réel
  • Inviolable
    Application via les GRANT de la base de données ; pas d’UPDATE ni de DELETE pour les rôles applicatifs
Aperçu de la sécurité →
Entrée d’audit · evt_8c41a7
domain.claim · ws_8a2f
Horodatage (UTC)
2026-05-08T11:42:18Z
IP source
203.0.113.42 · DE
Source
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Type d’événement
domain.claim
Lignes de diff
+3 / -2
Rétention
7 ans (Business)
Append-only · imposé par les GRANT de la base de donnéesDiffusé vers le SIEM

Demandes des personnes concernées

Droits des personnes concernées via API.

Vous recevez une demande d’une personne concernée de votre utilisateur final. Vous la transmettez via le dashboard ou l’API comme une demande responsable-au-nom-de-la-personne - Elido authentifie le responsable (vous), pas la personne. Le bundle est un zip signé : enregistrement d’identité, liens, entrées du journal d’audit où la personne est l’acteur, reçus de facturation si la personne est propriétaire de l’espace. Le SLA standard est de 30 jours ; le palier accéléré Business répond sous 5 jours ouvrés.

  1. Étape 1

    Demande de la personne

    Utilisateur final → responsable (vous)

    La personne vous contacte. Vous l’authentifiez dans votre propre produit, pas dans Elido.

  2. Étape 2

    Appel à l’API DSAR

    POST /v1/dsar

    Transmettez comme demande responsable-au-nom avec l’email de la personne + type (export / erase).

  3. Étape 3

    Bundle de l’espace

    zip signé · JSON + CSV

    Identité, liens, entrées d’audit avec la personne comme acteur, facturation si propriétaire, métadonnées de clics anonymisées.

  4. Étape 4

    SLA

    30 jours · 5 jours accéléré

    SLA standard pour tous les plans ; le palier accéléré Business répond sous 5 jours ouvrés.

Lire le DPA →Référence de l’endpoint DSAR → API

Cinq sous-traitants, listés publiquement

Cinq fournisseurs. Listés publiquement.

La liste complète, avec la localisation du fournisseur, la finalité du traitement, les catégories de données et l’URL de référence du DPA, est sur /legal/subprocessors. Ajouter ou remplacer un sous-traitant déclenche un préavis de 30 jours pour chaque admin d’espace via bandeau in-app et email, avant le début du traitement, pour que les clients puissent s’y opposer.

Répartition des sous-traitants · flux de données de l’espace
5 fournisseurs · liste publique
Votre espace de travail
ws_xxxx
Région UE (par défaut)
  • Compute & hébergementISO 27001
    Infrastructure app + edge principale
    EU · Allemagne + Finlande
  • Compute edgeISO 27001 · SOC 2
    Pins de région Business
    EU + APAC
  • Livraison d'e-mailSOC 2 Type II
    Email transactionnel
    EU (opt-out EU-only)
  • PaiementsPCI DSS L1
    Acquisition par carte
    EU
  • CDN + WAFISO 27001 · SOC 2
    Proxy marketing (hors chemin de redirection)
    Global · routage EU
L’ajout d’un fournisseur déclenche un préavis de 30 jours aux clients/legal/subprocessors
Voir la liste complète des sous-traitants →Aperçu de la sécurité → architecture

Posture de conformité

Où nous en sommes sur les référentiels demandés par les clients.

Pas de promesses au futur. Chaque ligne dit ce qui est livré aujourd’hui, ce qui est en observation et ce qui est disponible en option contractuelle.

Atteint

ISO 27001

Système de management de la sécurité de l’information, périmètre certifié couvrant l’ensemble de la plateforme Elido.

En cours

SOC 2 Type II

Période d’observation en cours jusqu’au S2 2026. Rapport Type I disponible sous NDA aujourd’hui.

Par défaut

GDPR

EU-residency par défaut, DPA pré-signé avec SCCs standard, liste publique des sous-traitants.

Disponible

HIPAA-ready

BAA en Business+ avec chiffrement, journalisation d’audit et contrôles d’accès déjà en place.

Par défaut

EU residency

Toutes les données opérationnelles restent dans la région UE. Aucune dépendance à Schrems II / DPF.

Par défaut

Encryption

AES-256 au repos, TLS 1.3 en transit, rotation des clés via KMS. BYOK en Business.

FAQ conformité

Les questions que les achats nous renvoient sans cesse.

Signez-vous un DPA ?

Oui. Notre DPA standard est pré-signé avec les SCCs UE et téléchargeable depuis /legal/dpa. Aucune négociation nécessaire pour les conditions par défaut - les plans payants sont contre-signés automatiquement. Les amendements personnalisés sont disponibles en Business et Enterprise.

Combien de sous-traitants utilisez-vous ?

Cinq, majoritairement basés dans l'UE : compute + hébergement (EU), compute edge pour les pins de région (EU + APAC), email transactionnel (EU), paiements (EU), et un proxy marketing + WAF qui ne touche jamais le chemin de redirection. La liste nommée complète avec localisation, finalité et référence DPA est sur /legal/subprocessors.

Le pinning de région est-il disponible sur tous les plans ?

EU-residency est l’option par défaut de chaque espace, sur chaque plan, et ne change jamais. Le pinning opt-in vers US Est ou Asie-Pacifique est limité à l’espace, irréversible à la création, et réservé aux plans Business et Enterprise.

Quel est le délai DSAR ?

SLA standard de 30 jours sur tous les plans. Business et Enterprise ont un palier accéléré de 5 jours ouvrés. Les DSAR sont soumis via l’API ou le dashboard (POST /v1/dsar) - vous authentifiez le responsable, nous vous authentifions, et le bundle est livré comme zip signé avec identité, liens, entrées d’audit et enregistrements de facturation.

Comment fonctionnent les BAA pour HIPAA ?

BAA en Business+ uniquement. Les mesures techniques (chiffrement, journalisation d’audit, contrôle d’accès, sauvegardes sûres) sont identiques au palier par défaut - le BAA, c’est du papier, pas du feature-gating. Écrivez à [email protected] pour démarrer.

Y a-t-il une option self-host ?

Oui. Le tier de redirection et le service d'ingestion sont open source sous Apache 2.0 avec un chart Helm pour Kubernetes. Les clients exécutent le tier de redirection dans leur propre VPC et pointent le dashboard vers notre control plane, ou exécutent toute la stack on-prem. Le dépôt est le même code que celui que nous exécutons.

Comment notifiez-vous les changements de sous-traitants ?

L’ajout ou le remplacement d’un sous-traitant déclenche un préavis de 30 jours par bandeau in-app et email à chaque admin d’espace. Les clients peuvent s’y opposer avant le début du traitement. La liste sur /legal/subprocessors est tenue à jour à chaque changement.

Où publiez-vous les incidents et l’uptime ?

Statut en direct, incidents récents et post-mortems complets sur /status. Les incidents touchant la sécurité sont aussi publiés aux abonnés de [email protected] et sur la page Trust Center dans la fenêtre SLA définie par le DPA.

Où regarder ensuite

Chaque affirmation ci-dessus s’appuie sur un document public. Si vous nous évaluez pour une décision d’achat, commencez ici.

Sous-traitants

Avec qui nous partageons des données, leur localisation et pourquoi.

DPA

Signez avant de traiter des données personnelles EU.

Confidentialité

Ce que nous collectons, ce que nous ne collectons pas, fenêtres de rétention.

Page sécurité

Architecture, chiffrement, gestion des secrets, modèle de menace.

Status

Uptime en direct, incidents récents, post-mortems.

Contact

Une question de sécurité ?

[email protected] pour les rapports de vulnérabilité (PGP disponible). [email protected] pour SOC 2 / ISO / DPA. Nous répondons sous un jour ouvré.

Sécurité

Rapports de vulnérabilité, security.txt, clé PGP. Nous répondons sous un jour ouvré.

[email protected]

Conformité

Demandes SOC 2 / ISO, contre-signature de DPA, notifications de sous-traitants, processus BAA pour HIPAA.

[email protected]

Sales

Achats enterprise, questionnaires de sécurité et demandes de conditions sur mesure.

[email protected]

Prêts quand les achats le sont.

DPA pré-signé, liste publique des sous-traitants, journal d’audit sur tous les plans. Démarrez gratuitement ou parlez aux ventes pour accélérer le questionnaire de sécurité.

Voir les tarifsContacter les ventes