Elido
Trust Center

La fiducia, messa nero su bianco.

Elido è ospitato in EU per impostazione predefinita, compatibile col GDPR e costruito con audit trail integrati. Tutto ciò che vedi sotto è quello che già facciamo - non quello che pianifichiamo di fare.

Leggi il DPA[email protected]
SOC 2 Type II
ISO 27001
GDPR
HIPAA-aware (Business)
EU-residency
Regione dello spazio · da fissare una volta
irreversibile alla creazione
  • Regione UEEU
    EU-residency · predefinita

    Predefinita per ogni spazio. Audit log, clic e backup restano nella regione. Nessuna dipendenza da DPF o Schrems II.

  • USA EstUS
    Opt-in

    Solo alla creazione dello spazio. Irreversibile. Per clienti residenti negli USA che vogliono un percorso dati USA.

  • Asia-PacificoAPAC
    Business+ · Opt-in

    Solo alla creazione dello spazio. Irreversibile. Residenza APAC per i piani Business ed Enterprise.

Nessuna replica inter-regione per i dati caldiaudit · clic · backup
5
Sub-responsabili, elenco pubblico
90g
Audit Pro (7 anni su Business)
30g
SLA DSAR (5g accelerato su Business)
0
Trasferimenti inter-regionali di dati caldi

Cosa significa «fiducia» in termini di prodotto

Cosa intendiamo per fiducia

Ogni pilastro si traduce in qualcosa di concreto che puoi cercare nel log di audit, nel DPA o nel nostro repository pubblico di infrastruttura. Nessuna ambiguità di marketing.

EU-residency, per impostazione predefinita

Tutti i dati operativi restano nella regione UE. I piani Business possono scegliere USA Est o Asia-Pacifico. Free + Pro non lasciano mai l'UE.

Audit trail su tutto

Impostazioni del workspace, cambi di ruolo, rotazioni chiavi, creazione link, eliminazioni, esportazioni. Ogni evento ha un chi, quando e cosa - esportabile.

Sola lettura per impostazione predefinita per l'AI

Le integrazioni AI ottengono chiavi con ambito definito e ruotabili. L'accesso in scrittura/eliminazione è un'impostazione del workspace esplicita e verificata - non un default.

BYOK e chiavi gestite dal cliente

Usa il tuo KMS per la crittografia at-rest su Business. Ruota le chiavi senza ri-crittografare il cold storage.

Pipeline anti-abuso

Ogni link passa attraverso uno scanner composito (URLhaus + Google Safe Browsing + euristiche) alla creazione e di nuovo tramite un worker di scansione ricorrente.

Trasparenza sui sub-responsabili

Elenco completo, posizione e scopo. Notifichiamo le aggiunte; opzioni di opt-out disponibili per alcuni.

Audit log append-only

Ogni cambio di stato viene registrato.

L’append-only è imposto a livello di database: la tabella di audit concede ai ruoli applicativi solo INSERT e SELECT, nessun UPDATE o DELETE. Nemmeno i nostri stessi amministratori possono riscrivere la storia senza una migrazione che compaia nel change control. La retention è di 90 giorni su Pro e 7 anni su Business - copre SOX, MiFID II e HIPAA senza add-on.

  • Identità dell’attore
    ID utente o service principal, oltre a IP di origine e request ID
  • Diff prima/dopo
    Diff JSON strutturato della riga modificata - non una semplice riga di log testuale
  • Firehose SIEM
    Webhook firmato HMAC verso Splunk / Datadog / ELK in tempo reale
  • A prova di manomissione
    Imposizione tramite GRANT del database; nessun UPDATE / DELETE per i ruoli applicativi
Panoramica sulla sicurezza →
Voce di audit · evt_8c41a7
domain.claim · ws_8a2f
Timestamp (UTC)
2026-05-08T11:42:18Z
IP di origine
203.0.113.42 · DE
Origine
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Tipo di evento
domain.claim
Righe di diff
+3 / -2
Retention
7 anni (Business)
Append-only · imposto dal GRANT del databaseTrasmesso al SIEM

Richieste degli interessati

Diritti dell’interessato tramite API.

Ricevi una richiesta dall’interessato del tuo utente finale. La inoltri via dashboard o API come richiesta titolare-per-conto-dell’interessato - Elido autentica il titolare (te), non l’interessato. Il pacchetto è uno zip firmato: record di identità, link, voci dell’audit log in cui l’interessato è attore, ricevute di fatturazione se l’interessato è proprietario dello spazio. SLA standard 30 giorni; il tier accelerato Business rientra entro 5 giorni lavorativi.

  1. Passo 1

    Richiesta dell’interessato

    Utente finale → titolare (te)

    L’interessato ti contatta. Lo autentichi nel tuo prodotto, non in Elido.

  2. Passo 2

    Chiamata API DSAR

    POST /v1/dsar

    Inoltra come richiesta titolare-per-conto con email dell’interessato + tipo (export / erase).

  3. Passo 3

    Bundle dello spazio

    zip firmato · JSON + CSV

    Identità, link, voci di audit con l’interessato come attore, fatturazione se proprietario, metadati di clic anonimizzati.

  4. Passo 4

    SLA

    30 giorni · 5 giorni accelerato

    SLA standard su qualsiasi piano; il tier accelerato Business risponde entro 5 giorni lavorativi.

Leggi il DPA →Riferimento dell’endpoint DSAR → API

Cinque sub-responsabili, elencati pubblicamente

Cinque fornitori. Elencati pubblicamente.

L’elenco completo con sede del fornitore, finalità del trattamento, categorie di dati e URL di riferimento del DPA si trova in /legal/subprocessors. L’aggiunta o sostituzione di un sub-responsabile attiva un preavviso di 30 giorni a ogni admin dello spazio tramite banner in-app ed email prima dell’inizio del trattamento, così i clienti possono opporsi.

Distribuzione dei sub-responsabili · flusso dati dello spazio
5 fornitori · elenco pubblico
Il tuo spazio di lavoro
ws_xxxx
Regione UE (predefinito)
  • Compute & hostingISO 27001
    Infrastruttura primaria app + edge
    EU · Germania + Finlandia
  • Edge computeISO 27001 · SOC 2
    Pin di regione Business
    EU + APAC
  • Consegna emailSOC 2 Type II
    Email transazionali
    EU (opt-out per EU-only)
  • PagamentiPCI DSS L1
    Card acquiring
    EU
  • CDN + WAFISO 27001 · SOC 2
    Proxy marketing (non sul percorso di redirect)
    Globale · instradamento UE
L’aggiunta di un fornitore attiva un preavviso ai clienti di 30 giorni/legal/subprocessors
Vedi l’elenco completo dei sub-responsabili →Panoramica sulla sicurezza → architettura

Posizione di compliance

Dove siamo sui framework che i clienti chiedono.

Niente promesse al futuro. Ogni riga dice cosa è già rilasciato, cosa è in osservazione e cosa è disponibile come add-on contrattuale.

Raggiunto

ISO 27001

Sistema di gestione della sicurezza delle informazioni, ambito certificato che copre l’intera piattaforma Elido.

In corso

SOC 2 Type II

Periodo di osservazione in corso fino a H2 2026. Report Type I disponibile oggi sotto NDA.

Predefinito

GDPR

EU-residency predefinita, DPA pre-firmato con SCC standard, elenco pubblico dei sub-responsabili.

Disponibile

HIPAA-ready

BAA su Business+ con crittografia, audit logging e controlli di accesso già attivi.

Predefinito

EU residency

Tutti i dati operativi restano nella regione UE. Nessuna dipendenza da Schrems II / DPF.

Predefinito

Encryption

AES-256 at rest, TLS 1.3 in transito, rotazione chiavi via KMS. BYOK su Business.

FAQ di compliance

Le domande che il procurement ci scrive di continuo.

Firmate un DPA?

Sì. Il nostro DPA standard è pre-firmato con SCC UE e scaricabile da /legal/dpa. Nessuna trattativa per i termini di default - i piani a pagamento ricevono la contro-firma in automatico. Modifiche personalizzate disponibili su Business ed Enterprise.

Quanti sub-responsabili usate?

Cinque, principalmente con sede UE: calcolo + hosting (UE), edge compute per i pin di regione (UE + APAC), email transazionali (UE), pagamenti (UE) e un proxy + WAF solo di marketing che non tocca mai il percorso di redirect. L’elenco nominativo completo con sede, finalità e riferimento DPA è in /legal/subprocessors.

Il pinning di regione è disponibile su tutti i piani?

EU-residency è l’impostazione predefinita per ogni spazio, su ogni piano, e non cambia mai. Il pinning opt-in verso USA Est o Asia-Pacifico è solo a livello di spazio, irreversibile alla creazione, e riservato ai piani Business ed Enterprise.

Qual è il tempo di risposta DSAR?

SLA standard di 30 giorni su qualsiasi piano. Business ed Enterprise hanno un tier accelerato di 5 giorni lavorativi. Le DSAR si inviano via API o dashboard (POST /v1/dsar) - tu autentichi il titolare, noi autentichiamo te, e il pacchetto viene consegnato come zip firmato con identità, link, voci di audit e record di fatturazione.

Come funzionano i BAA per HIPAA?

BAA solo su Business+. Le misure tecniche (crittografia, audit logging, controllo accessi, backup sicuri) sono le stesse del tier di default - il BAA è carta, non feature-gating. Scrivi a [email protected] per iniziare.

Esiste un’opzione self-host?

Sì. Il tier di redirect e il servizio di ingestione sono open source sotto Apache 2.0 con un chart Helm per Kubernetes. I clienti eseguono il tier di redirect nella propria VPC e puntano la dashboard al nostro control plane, oppure eseguono l’intero stack on-prem. Il repository è lo stesso codice che eseguiamo noi.

Come notificate le modifiche ai sub-responsabili?

L’aggiunta o sostituzione di un sub-responsabile attiva un preavviso di 30 giorni via banner in-app ed email a ogni admin dello spazio. I clienti possono opporsi prima dell’inizio del trattamento. L’elenco /legal/subprocessors è versionato in un repository git pubblico, quindi le modifiche compaiono nella cronologia di version control.

Dove pubblicate gli incidenti e l’uptime?

Stato live, incidenti recenti e post-mortem completi su /status. Gli incidenti che riguardano la sicurezza vengono pubblicati anche agli iscritti a [email protected] e sulla pagina del Trust Center entro la finestra SLA definita nel DPA.

Dove guardare dopo

Ogni affermazione qui sopra ha un documento pubblico. Se ci stai valutando per una decisione di acquisto, parti da qui.

Sub-responsabili

Con chi condividiamo i dati, dove si trovano e perché.

DPA

Firma prima di trattare dati personali EU.

Privacy

Cosa raccogliamo, cosa no, finestre di conservazione.

Pagina sicurezza

Architettura, crittografia, gestione segreti, modello di minaccia.

Status

Uptime in tempo reale, incidenti recenti, post-mortem.

Contatti

Hai una domanda sulla sicurezza?

[email protected] per segnalazioni di vulnerabilità (PGP disponibile). [email protected] per SOC 2 / ISO / DPA. Rispondiamo entro un giorno lavorativo.

Sicurezza

Segnalazioni di vulnerabilità, security.txt, chiave PGP. Rispondiamo entro un giorno lavorativo.

[email protected]

Compliance

Richieste SOC 2 / ISO, contro-firma DPA, notifiche sub-responsabili, processo BAA per HIPAA.

[email protected]

Sales

Acquisti enterprise, questionari di sicurezza e richieste di condizioni personalizzate.

[email protected]

Pronti quando lo è il procurement.

DPA pre-firmato, elenco pubblico dei sub-responsabili, audit log su ogni piano. Inizia gratis o parla con il sales per accelerare il questionario di sicurezza.

Vedi i prezziParla con il commerciale