The shortener your DPO won’t push back on.
Misuri i tempi di risposta DSAR, la freschezza delle evidenze SOC 2 e quante domande dei fornitori costa un ciclo di vendita. Elido è l'abbreviatore che il tuo DPO approverà.
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- FrankfurtFRA · eu-central-1EU residency · default
Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.
- AshburnIAD · us-east-1Opt-in
Workspace creation only. Irreversible. For US-resident customers who want US data path.
- SingaporeSIN · ap-southeast-1Business+ · opt-in
Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.
Append-only audit log
Every state change. Actor, IP, before/after diff, source.
Append-only is enforced at the database layer: the audit table grants only INSERT and SELECT to application roles, with no UPDATE or DELETE. Even our own admins can’t rewrite history without a migration that shows up in change control. Retention is 90 days on Pro and 7 years on Business — covering SOX, MiFID II, and HIPAA without an add-on.
- Actor identityUser ID or service principal, plus source IP and request ID
- Before/after diffStructured JSON diff of the changed row — not just a text log line
- SIEM firehoseHMAC-signed webhook to Splunk / Datadog / ELK in real time
- Tamper-evidentPostgres GRANT enforcement; no UPDATE / DELETE for app roles
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Data subject access requests
DSAR, not support ticket. API call, signed bundle, SLA clock.
You receive a subject request from your end user. You forward it via the dashboard or API as a controller-on-behalf-of-subject request — Elido authenticates the controller (you), not the subject. The bundle is a signed zip: identity record, links, audit-log entries where the subject is the actor, billing receipts if the subject is a workspace owner. Standard SLA is 30 days; Business expedited returns inside 5 business days.
- Step 1
Subject request
End user → controller (you)Subject contacts you. You authenticate them in your own product, not in Elido.
- Step 2
DSAR API call
POST /v1/dsarForward as a controller-on-behalf request with subject email + request type (export / erase).
- Step 3
Workspace bundle
signed zip · JSON + CSVIdentity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.
- Step 4
SLA
30 days · 5 days expeditedStandard SLA on every plan; Business expedited tier returns inside 5 business days.
Five sub-processors, listed publicly
Hetzner, OVH, Postmark, monobank Plata, Cloudflare. That’s the list.
The full list with vendor location, processing purpose, data categories, and DPA reference URL lives at /legal/subprocessors and is checked into the public docs repo, so changes appear in git history. Adding or replacing a sub-processor triggers a 30-day notice to every workspace admin via in-app banner and email before processing begins, so customers can object. monobank Plata replaced LiqPay under ADR-0026 in 2026-05.
- HetznerISO 27001Compute · primary infraEU · Frankfurt + Helsinki
- OVHISO 27001 · SOC 2Compute · Business region pinsEU + APAC POPs
- PostmarkSOC 2 Type IITransactional emailEU (opt-out for EU-only)
- monobank PlataPCI DSS L1Payments · replaced LiqPay (ADR-0026)EU
- CloudflareISO 27001 · SOC 2Marketing proxy + WAF (not redirect path)Global
What you can put on the procurement deck
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- ISO 27001 achieved · SOC 2 Type II in progress (H2 2026)
- HIPAA-ready BAA on Business+ with safeguards already wired
Cosa significa 'compliance' nel prodotto
La maggior parte degli abbreviatori risponde alle domande sulla compliance con una pagina informativa e un questionario fornitore. Le funzionalità seguenti sono effettivamente implementate nel codice, non sono solo promesse in un mazzo di documenti per l'ufficio acquisti.
UE-default, regione bloccata per workspace
Francoforte è la regione predefinita per ogni nuovo workspace. Eventi di clic, metadati dei link, log di audit, esportazioni: tutto rimane in eu-central-1 a meno che un amministratore non blocchi il workspace su Ashburn o Singapore al momento della creazione. Non esiste replicazione cross-region per i dati caldi; i backup sono criptati a riposo e memorizzati nella stessa regione della sorgente. Il DPF (Data Privacy Framework) non fa parte della nostra storia di compliance: non ci affidiamo ai meccanismi di trasferimento US-EU perché non trasferiamo dati.
Log di sola aggiunta per ogni cambio di stato
Impostazioni del workspace, emissione e rotazione di chiavi API, inviti ai membri e cambi di ruolo, rivendicazione di domini personalizzati, modifiche al branding, creazione / aggiornamento / eliminazione di link: ogni mutazione finisce nel log di audit con attore, timestamp, diff prima/dopo e IP di origine. I log sono conservati per 90 giorni su Pro e 7 anni su Business; entrambi i piani possono trasmettere il flusso a un SIEM (Splunk, Datadog, ELK) via webhook in tempo reale. Le manomissioni sono impedite dal vincolo di sola aggiunta a livello di database; il log è interrogabile ma non modificabile, nemmeno dagli amministratori.
Cinque fornitori, tutti elencati pubblicamente
Utilizziamo esattamente cinque sub-responsabili: Hetzner (calcolo, UE), OVH (calcolo, UE + APAC per Business), Postmark (email transazionali, USA — opzione di esclusione per sola UE), LiqPay (pagamenti, UE) e Cloudflare (proxy + WAF, globale). L'elenco completo con posizione, scopo e riferimento DPA è disponibile su /legal/subprocessors e gli aggiornamenti attivano un preavviso di 30 giorni per i clienti. Non aggiungiamo sub-responsabili in silenzio; l'elenco è archiviato nel repository dei documenti e revisionato ogni trimestre.
Esportazione ed eliminazione via API, non tramite ticket di supporto
L'esportazione dei dati per utente restituisce un pacchetto JSON + CSV che copre identità, link creati, voci del log di audit attribuibili all'interessato e metadati degli eventi di clic che risalgono a quell'interessato (tipicamente nessuno — i clic sono anonimizzati all'ingresso a meno che il workspace non abiliti esplicitamente il tracciamento PII). L'eliminazione è una cancellazione logica con una finestra di 30 giorni per il recupero in caso di cancellazione accidentale, seguita da un'eliminazione definitiva da database primari, repliche e backup. Lo SLA è di 30 giorni dalla richiesta; il piano Business prioritario lo gestisce in 5 giorni lavorativi.
SOC 2 Type II, ISO 27001, HIPAA-ready
L'audit SOC 2 Type II è in corso (target: secondo semestre 2026); i controlli e le prove sono già in atto — la finestra di audit è ciò che stiamo aspettando. ISO 27001 è già ottenuta. HIPAA-ready significa che firmiamo un BAA su Business+ e abbiamo le protezioni tecniche (crittografia, traccia di audit, controlli di accesso, procedure di notifica delle violazioni) implementate; la certificazione è specifica per settore, non un singolo timbro in stile SOC. La postura di fiducia è documentata su /trust e gli aggiornamenti sono visibili nel /changelog.
Stack you’ll evidence
- EU-residency
- GDPR DPA
- SOC 2 Type II (in corso)
- ISO 27001
- Log di audit + firehose SIEM
- DSAR API
Cosa misura il tuo DPO
- Conteggio sub-processor
- 5, solo EU per impostazione predefinita
- Risposta DSAR
- Sotto 30 giorni
- Retention log di audit
- 7 anni su Business
Team di compliance che utilizzano Elido
I nomi sono segnaposto per ora — i nomi reali dei clienti verranno inseriti man mano che verranno pubblicati i casi studio.
“Abbiamo dovuto lasciare Bitly quando il nostro revisore ha segnalato l'elenco dei sub-responsabili statunitensi. L'impostazione predefinita solo UE di Elido ha superato l'ufficio acquisti in due settimane; prima non riuscivamo a superare la richiesta 'mostrami il DPA' con il fornitore precedente.”
“Il BAA su Business ha fatto la differenza. Inoltre, il log di audit viene trasmesso direttamente nel nostro SIEM Datadog — non abbiamo dovuto scrivere noi stessi un livello di sincronizzazione.”
“Schrems II ha squalificato quattro abbreviatori che abbiamo valutato. Elido è stato l'unico la cui risposta a 'dove sono i dati?' è stata 'nel paese che hai indicato'. Questo è tutto ciò che conta.”
Cosa cambia quando il compratore è il responsabile della compliance
Se il tuo DPO sta esaminando il fornitore, queste sono le domande che porrà. Risposte oneste tra tre opzioni.
| Capability | Elido | Bitly Enterprise | Abbreviatore generico |
|---|---|---|---|
| Residenza dei dati predefinita | UE (Francoforte) per ogni workspace | USA predefinito; opt-in UE su Enterprise | La regione dipende dal livello del piano |
| Affidamento a DPF / Schrems II | Nessuno — nessun percorso dati verso gli USA | Elencato in DPF; si affida a meccanismi di trasferimento | Misto; dipende dai sub-responsabili |
| Numero di sub-responsabili | 5, tutti elencati pubblicamente | 20+ tra i vari livelli di piano | Non pubblicato |
| Firma del DPA | Pre-firmato, scaricabile | Controfirma manuale su richiesta | Su richiesta, solo piani a pagamento |
| Conservazione del log di audit | 7 anni su Business | 1 anno predefinito | 30-90 giorni |
| Streaming log di audit → SIEM | Flusso webhook, tempo reale | Solo esportazione giornaliera | Download manuale |
| Adempimento DSAR | API; <30g standard, <5g prioritario | Ticket di supporto; 30g | Ticket di supporto; lo SLA varia |
| Supporto BAA / HIPAA | Sì su Business+ | Componente aggiuntivo Enterprise | No |
| SOC 2 / ISO 27001 | ISO 27001; SOC 2 Type II in corso | Entrambi, maturi | Nessuno dei due |
Domande comuni dall'ufficio acquisti
Dove sono memorizzati esattamente i nostri dati?
UE-Centrale (Francoforte) per impostazione predefinita. Postgres, ClickHouse (flusso di clic), Redis (cache), MinIO (archiviazione asset) e i backup risiedono tutti in eu-central-1. Nessun dato viene replicato negli USA o in APAC a meno che un amministratore non blocchi esplicitamente il workspace su Ashburn o Singapore al momento della creazione — una scelta deliberata e irreversibile (i workspace non migrano tra regioni). L'architettura completa è disponibile in /docs/strategy/ARCHITECTURE.md, archiviata nel repository pubblico.
Siete in ambito per SOC 2 / ISO 27001?
ISO 27001 è già ottenuta. L'audit SOC 2 Type II è in corso con target secondo semestre 2026 — i controlli e le prove sono già operativi, il periodo di audit è la fase più lunga. Condividiamo le prove del Tipo 1 su richiesta sotto NDA oggi; i report del Tipo 2 saranno rilasciati pubblicamente quando pronti. Il Trust Center su /trust tiene traccia dello stato attuale.
Firmate un DPA?
Pre-firmato e scaricabile da /legal/dpa. Il DPA fa riferimento al nostro elenco di sub-responsabili su /legal/subprocessors come documento vivo; le modifiche ai sub-responsabili danno un preavviso di 30 giorni ai clienti. Se hai bisogno di revisioni del testo, è una discussione contrattuale Business+; le impostazioni predefinite sono solitamente accettate dai DPO dell'UE senza modifiche.
Quanti sub-responsabili sono coinvolti?
Cinque: Hetzner (calcolo, UE), OVH (calcolo, UE + APAC per clienti non UE), Postmark (email transazionali — opzione di esclusione per sola UE), LiqPay (pagamenti, UE), Cloudflare (proxy + WAF, globale). Posizioni e scopi per ciascuno sono su /legal/subprocessors. L'aggiunta di un sub-responsabile attiva un preavviso di 30 giorni per i clienti; non li aggiungiamo retroattivamente in silenzio.
Possiamo utilizzare i nostri HSM / KMS per le chiavi di crittografia?
Sì nella versione self-hosted. Elido SaaS crittografa a riposo con AWS KMS (per regione) e in transito con TLS 1.3; attualmente non supportiamo KMS gestiti dal cliente sulla versione SaaS multi-tenant. La versione self-host (chart Helm, licenza Apache 2.0) ti consente di puntare al tuo KMS / Vault / HSM.
Qual è lo SLA per la notifica delle violazioni?
Violazioni confermate dei dati personali: notifica al cliente entro 24 ore, notifica all'autorità di regolamentazione entro 72 ore (GDPR Art. 33). La notifica copre ciò che sappiamo in quel momento; non aspettiamo la perizia forense completa. Il processo è descritto nel nostro Trust Center su /trust/incident-response.
Soddisfate le DSAR degli utenti finali (interessati), non solo le nostre come clienti?
Agiamo su istruzione del titolare del trattamento (tu, il cliente). Gli utenti finali contattano te; tu inoltri la richiesta tramite la dashboard o l'API e noi la eseguiamo. Non accettiamo direttamente DSAR dagli utenti finali perché non avremmo modo di autenticarli come interessati del tuo workspace — quell'autenticazione spetta a te.
Il log di audit può essere manomesso da un amministratore di Elido?
No. Il log è di sola aggiunta a livello di database; nemmeno i nostri amministratori possono modificare le voci storiche. L'eliminazione delle vecchie voci oltre la finestra di conservazione è automatizzata e registra un meta-evento di 'eliminazione per conservazione', rendendo il vuoto stesso audibile. Una manomissione dal vivo richiederebbe un'intrusione a livello di database che bypassi il codice della nostra applicazione, il che rappresenta lo stesso modello di minaccia di qualsiasi altra corruzione di tabella — coperta da RLS e dai nostri controlli SOC 2.
Avete una security.txt pubblica / una politica di divulgazione coordinata?
Sì — security.txt su /.well-known/security.txt; politica di divulgazione coordinata su /trust/disclosure. Il programma di bug bounty è gestito tramite HackerOne (programma privato; contatta security@elido.app per un invito se hai una segnalazione non ancora inviata).
Cosa succede alla fine del contratto? Come recuperiamo i nostri dati?
Esportazione completa dei dati in qualsiasi momento tramite l'API o una richiesta di supporto una tantum. Pacchetto JSON + CSV che copre link, eventi di clic (grezzi o aggregati, a tua scelta), log di audit, membri, impostazioni, branding. Dopo la fine del contratto conserviamo i dati per 30 giorni per il recupero in caso di cancellazione accidentale, poi procediamo all'eliminazione definitiva da database primari, repliche e backup. Possiamo rilasciare una conferma scritta dell'eliminazione se il tuo DPA lo richiede.
DPO’s reading list
Sub-processors, DPA, security.txt — the public version of every claim on this page.
Pre-signed DPA, downloadable. Standard EU SCCs, no negotiation needed for default terms.
Five vendors, public list with location, purpose, DPA reference per row.
Encryption, access control, vulnerability disclosure, incident response timelines.
WorkOS-managed SAML / OIDC + SCIM directory sync; deprovisioning within minutes.
DSAR endpoints, audit log streaming, scoped API keys — typed across TS / Py / Go.
Non sei sicuro quale angolazione si adatti?
La maggior parte dei team inizia come uno e si sviluppa in tutti e quattro. Il nostro team di vendita può esaminare il tuo stack specifico in 20 minuti.