The shortener your DPO won’t push back on.
DSAR 対応、SOC 2 証跡の鮮度、ベンダー調査を管理。DPO が承認する短縮リンク基盤。
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- FrankfurtFRA · eu-central-1EU residency · default
Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.
- AshburnIAD · us-east-1Opt-in
Workspace creation only. Irreversible. For US-resident customers who want US data path.
- SingaporeSIN · ap-southeast-1Business+ · opt-in
Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.
Append-only audit log
Every state change. Actor, IP, before/after diff, source.
Append-only is enforced at the database layer: the audit table grants only INSERT and SELECT to application roles, with no UPDATE or DELETE. Even our own admins can’t rewrite history without a migration that shows up in change control. Retention is 90 days on Pro and 7 years on Business — covering SOX, MiFID II, and HIPAA without an add-on.
- Actor identityUser ID or service principal, plus source IP and request ID
- Before/after diffStructured JSON diff of the changed row — not just a text log line
- SIEM firehoseHMAC-signed webhook to Splunk / Datadog / ELK in real time
- Tamper-evidentPostgres GRANT enforcement; no UPDATE / DELETE for app roles
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Data subject access requests
DSAR, not support ticket. API call, signed bundle, SLA clock.
You receive a subject request from your end user. You forward it via the dashboard or API as a controller-on-behalf-of-subject request — Elido authenticates the controller (you), not the subject. The bundle is a signed zip: identity record, links, audit-log entries where the subject is the actor, billing receipts if the subject is a workspace owner. Standard SLA is 30 days; Business expedited returns inside 5 business days.
- Step 1
Subject request
End user → controller (you)Subject contacts you. You authenticate them in your own product, not in Elido.
- Step 2
DSAR API call
POST /v1/dsarForward as a controller-on-behalf request with subject email + request type (export / erase).
- Step 3
Workspace bundle
signed zip · JSON + CSVIdentity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.
- Step 4
SLA
30 days · 5 days expeditedStandard SLA on every plan; Business expedited tier returns inside 5 business days.
Five sub-processors, listed publicly
Hetzner, OVH, Postmark, monobank Plata, Cloudflare. That’s the list.
The full list with vendor location, processing purpose, data categories, and DPA reference URL lives at /legal/subprocessors and is checked into the public docs repo, so changes appear in git history. Adding or replacing a sub-processor triggers a 30-day notice to every workspace admin via in-app banner and email before processing begins, so customers can object. monobank Plata replaced LiqPay under ADR-0026 in 2026-05.
- HetznerISO 27001Compute · primary infraEU · Frankfurt + Helsinki
- OVHISO 27001 · SOC 2Compute · Business region pinsEU + APAC POPs
- PostmarkSOC 2 Type IITransactional emailEU (opt-out for EU-only)
- monobank PlataPCI DSS L1Payments · replaced LiqPay (ADR-0026)EU
- CloudflareISO 27001 · SOC 2Marketing proxy + WAF (not redirect path)Global
What you can put on the procurement deck
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- ISO 27001 achieved · SOC 2 Type II in progress (H2 2026)
- HIPAA-ready BAA on Business+ with safeguards already wired
製品における「コンプライアンス」の具体像
多くのURL短縮サービスは、1ページの資料やベンダーアンケートでコンプライアンスの質問に答えるだけです。以下の機能は、単なる営業資料の約束ではなく、実際にコードとして実装されているものです。
EUデフォルト、ワークスペースごとのリージョン固定
すべての新しいワークスペースのデフォルトリージョンはフランクフルトです。クリックイベント、リンクのメタデータ、監査ログ、エクスポートデータなど、すべてがeu-central-1内に保持されます。管理者が作成時にアッシュバーンやシンガポールにワークスペースを固定しない限り、これらが他リージョンへ移動することはありません。ホットデータのクロスリージョン複製は行わず、暗号化されたバックアップもソースと同じリージョンに保存されます。私たちはDPF(データプライバシーフレームワーク)に依存しません。データの転送を行わないため、米国へのデータ転送メカニズムを必要としないからです。
すべての状態変更を記録する追記専用ログ
ワークスペース設定、APIキーの発行とローテーション、メンバーの招待とロール変更、カスタムドメインの申請、ブランディングの編集、リンクの作成・更新・削除など、あらゆる変更が監査ログに記録されます。これには実行者、タイムスタンプ、変更前後の差分、ソースIPが含まれます。ログはProプランで90日間、Businessプランで7年間保持されます。どちらのプランでも、webhookを介してリアルタイムでSIEM(Splunk、Datadog、ELK)にデータをストリーミング可能です。データベース層での追記専用制約により、管理者であってもログの改ざんは不可能です。
公開された5社のベンダーのみを使用
私たちが使用するサブプロセッサーは厳選された5社のみです:Hetzner(コンピューティング、EU)、OVH(コンピューティング、EUおよびBusiness向けのAPAC)、Postmark(トランザクションメール、米国 — EU限定オプションで除外可能)、LiqPay(決済、EU)、およびCloudflare(プロキシ + WAF、グローバル)。所在地、目的、DPAへの参照を含む完全なリストは /legal/subprocessors で公開されており、更新時には30日前の顧客通知が行われます。サブプロセッサーを密かに追加することはありません。リストはドキュメントリポジトリで管理され、四半期ごとに見直されます。
サポートチケットではなく、API経由でエクスポートと削除が可能
ユーザーごとのデータエクスポートは、ID、作成したリンク、そのユーザーに関連付けられた監査ログエントリ、およびクリックイベントのメタデータを含むJSON + CSVバンドルを返します(クリックデータは通常、ワークスペースがPIIトラッキングを有効にしない限り匿名化されています)。データ削除は、誤削除防止のための30日間の猶予期間を設けたソフトデリートの後、プライマリ、レプリカ、バックアップから完全に消去されます。標準のSLAはリクエストから30日以内ですが、Businessプランの優先対応では5営業日以内に完了します。
SOC 2 Type II、ISO 27001、HIPAA-ready
SOC 2 Type II監査は進行中(2026年下半期完了予定)です。管理体制とエビデンスはすでに運用されており、現在は監査期間の経過を待っている状態です。ISO 27001は取得済みです。HIPAA-readyとは、Business+プランでBAAを締結可能であり、技術的な保護措置(暗号化、監査トレイル、アクセス制御、侵害通知手順)が実装されていることを意味します。信頼性に関する姿勢は /trust で文書化されており、最新状況は /changelog で確認できます。
Stack you’ll evidence
- EU データ所在
- GDPR DPA
- SOC 2 Type II (準備中)
- ISO 27001
- 監査ログ + SIEM ファイアホース
- DSAR API
DPO の測定指標
- サブプロセッサー数
- 5社 (デフォルトで EU 限定)
- DSAR 対応
- 30日以内
- 監査ログ保持期間
- Business プランで7年
この製品を活用しているコンプライアンスチーム
これらはプレースホルダーです。事例が公開され次第、実際の顧客名が掲載されます。
“監査人がBitlyの米国サブプロセッサーリストに懸念を示したため、乗り換えを検討しました。ElidoのEU限定デフォルト設定のおかげで、以前のベンダーではDPAの提示すら難航していた調達審査が、わずか2週間で完了しました。”
“BusinessプランでBAAを締結できることが決め手でした。さらに、監査ログがDatadog SIEMに直接ストリーミングされるため、自分たちで同期レイヤーを構築する必要がありませんでした。”
“Schrems IIの判決により、検討していた4つの短縮URLサービスが候補から外れました。「データはどこにあるのか?」という質問に対して、「指定した国内にあります」と答えられたのはElidoだけでした。それが採用のすべてでした。”
コンプライアンスが購入基準になる時の違い
DPOがベンダー審査を行う際に必ず聞かれる質問です。3つの選択肢に対する率直な回答を比較してください。
| Capability | Elido | Bitly Enterprise | 一般的な短縮URLサービス |
|---|---|---|---|
| デフォルトのデータ所在地 | すべてのワークスペースでEU(フランクフルト) | デフォルトは米国、EnterpriseのみEU選択可 | プランのティアによってリージョンが決定 |
| DPF / Schrems IIへの依存 | なし — 米国経由のデータパスなし | DPF登録済み、データ転送メカニズムに依存 | 混合、サブプロセッサーに依存 |
| サブプロセッサー数 | 5社、すべて公開済み | プラン全体で20社以上 | 非公開 |
| DPAの署名 | 署名済みファイルをダウンロード可能 | リクエストに応じて手動で署名 | リクエスト制、有料プランのみ |
| 監査ログの保持期間 | Businessプランで7年間 | デフォルトで1年間 | 30〜90日間 |
| 監査ログのSIEMストリーミング | Webhookによるリアルタイム配信 | 日次エクスポートのみ | 手動ダウンロード |
| DSARの履行 | API対応、通常30日以内、優先5日以内 | サポートチケット対応、30日 | サポートチケット対応、SLAは不定 |
| BAA / HIPAAへの対応 | Business+プランで対応 | Enterpriseアドオンとして提供 | 非対応 |
| SOC 2 / ISO 27001 | ISO 27001取得済み、SOC 2 Type II進行中 | 両方取得済み、実績あり | どちらも未取得 |
調達担当者からのよくある質問
データは具体的にどこに保存されますか?
デフォルトではEU中央(フランクフルト)に保存されます。Postgres、ClickHouse(クリックストリーム)、Redis(キャッシュ)、MinIO(アセットストレージ)、およびバックアップはすべてeu-central-1に配置されています。管理者が作成時にワークスペースをアッシュバーンやシンガポールに明示的に固定しない限り、データが米国やAPACに複製されることはありません。これは慎重かつ不可逆的な選択です(ワークスペースのリージョン移行はできません)。詳細なアーキテクチャは、公開リポジトリ内の /docs/strategy/ARCHITECTURE.md に記載されています。
SOC 2 / ISO 27001の対象ですか?
ISO 27001は取得済みです。SOC 2 Type II監査は現在進行中で、2026年下半期の完了を目標としています。管理体制とエビデンスはすでに運用されていますが、監査期間の経過が必要です。現在はNDAの下でType 1のエビデンスを共有可能です。Type 2レポートは準備ができ次第、公開されます。現在の状況は /trust のTrust Centerで追跡できます。
DPAを締結できますか?
/legal/dpa から事前に署名されたDPAをダウンロード可能です。このDPAは、/legal/subprocessors にある最新のサブプロセッサーリストを参照しています。サブプロセッサーの変更時には30日前の顧客通知を行います。個別の修正が必要な場合はBusiness+契約での対応となりますが、デフォルトの内容は通常、EUのDPOにそのまま受け入れられます。
サブプロセッサーは何社関与していますか?
5社です:Hetzner(コンピューティング、EU)、OVH(コンピューティング、EUおよび非EU顧客向けAPAC)、Postmark(トランザクションメール — EU限定オプションで除外可能)、LiqPay(決済、EU)、Cloudflare(プロキシ + WAF、グローバル)。各社の所在地と目的は /legal/subprocessors に記載されています。サブプロセッサーの追加時には30日前の通知を行い、事後報告になることはありません。
暗号化キーに独自のHSM / KMS(BYOK)を使用できますか?
セルフホスト版では可能です。SaaS版のElidoでは、AWS KMS(リージョンごと)を使用した保存時の暗号化と、TLS 1.3による転送時の暗号化を行っています。現在のところ、マルチテナントSaaSでの顧客管理KMSはサポートしていませんが、Apache 2.0ライセンスのセルフホスト版(Helmチャート)を使用すれば、独自のKMS / Vault / HSMを構成可能です。
データ侵害通知のSLAはどうなっていますか?
個人データの侵害が確認された場合、顧客への通知は24時間以内、規制当局への通知は72時間以内(GDPR第33条)に行います。通知にはその時点で判明している情報が含まれ、完全なフォレンジック調査の完了を待たずに報告されます。手順はTrust Center(/trust/incident-response)に記載されています。
エンドユーザー(データ主体)からのDSARに対応しますか?
私たちはデータ処理者として、管理者(お客様)からの指示に基づいて行動します。エンドユーザーからのリクエストはお客様が受け付け、ダッシュボードまたはAPIを通じて私たちに転送していただくことで履行されます。エンドユーザーを直接認証する手段がないため、DSARを直接受け付けることはありません。認証はお客様の責任となります。
Elidoの管理者が監査ログを改ざんすることは可能ですか?
不可能です。ログはデータベース層で追記専用(append-only)となっており、私たちの管理者であっても過去のエントリを編集することはできません。保持期間を過ぎた古いエントリの削除は自動化されており、その際も「保持期間による削除」というメタイベントが記録されるため、削除自体が監査可能です。改ざんにはアプリケーションコードをバイパスするデータベースレベルの侵入が必要ですが、これはSOC 2コントロールで保護されています。
公開されたsecurity.txtや脆弱性報告ポリシーはありますか?
はい。 /.well-known/security.txt にsecurity.txtを、/trust/disclosure に脆弱性報告ポリシーを掲載しています。バグバウンティはHackerOneのプライベートプログラムで実施しています。未報告の脆弱性を発見された場合は、security@elido.app までご連絡いただければ招待をお送りします。
契約終了時はどうなりますか?データの持ち出しは可能ですか?
APIまたはサポートリクエストを通じて、いつでもすべてのデータをエクスポート可能です。リンク、クリックイベント(生データまたは集計データを選択可能)、監査ログ、メンバー情報、設定、ブランディングを含むJSON + CSVバンドルを提供します。契約終了から30日間は誤解約防止のためにデータを保持し、その後、プライマリ、レプリカ、バックアップから完全に消去します。必要に応じて消去証明書を発行することも可能です。
DPO’s reading list
Sub-processors, DPA, security.txt — the public version of every claim on this page.
Pre-signed DPA, downloadable. Standard EU SCCs, no negotiation needed for default terms.
Five vendors, public list with location, purpose, DPA reference per row.
Encryption, access control, vulnerability disclosure, incident response timelines.
WorkOS-managed SAML / OIDC + SCIM directory sync; deprovisioning within minutes.
DSAR endpoints, audit log streaming, scoped API keys — typed across TS / Py / Go.
どの活用法が最適か迷われていますか?
多くのチームが1つのユースケースから始め、最終的に4つすべてを導入しています。弊社の営業チームが、20分で貴社の具体的なスタックに合わせたご提案をいたします。