Elido
トラストセンター

信頼を、 文書に残します。

ElidoはデフォルトでEUホスト、GDPR対応、監査トレイルを組み込んで構築されています。以下は計画ではなく、すでに実施している内容です。

DPAを読む[email protected]
SOC 2 Type II
ISO 27001
GDPR
HIPAA対応 (Business)
EU-residency
ワークスペースリージョン · 一度だけ固定
作成時に取消不可
  • EUリージョンEU
    EU-residency · 既定

    すべてのワークスペースで既定。監査ログ、クリック、バックアップは同一リージョン内に留まります。DPF や Schrems II への依存はありません。

  • 米国東部US
    オプトイン

    ワークスペース作成時のみ、取消不可。米国内のデータパスを希望する米国居住者向けです。

  • アジア太平洋APAC
    Business+ · オプトイン

    ワークスペース作成時のみ、取消不可。Business と Enterprise プラン向けの APAC レジデンシーです。

ホットデータのリージョン間複製はしません監査 · クリック · バックアップ
5
サブプロセッサー(公開リスト)
90日
Pro の監査保持期間(Business は7年)
30日
DSAR SLA(Business は5日の優先対応)
0
ホットデータのリージョン間転送

プロダクトの観点で「信頼」とは

私たちが意味する信頼

各項目は、監査ログや DPA で実際に確認できる具体的な事象に対応します。マーケティング的な曖昧さはありません。

デフォルトでEU-residency

すべての運用データはEUリージョン内に保持されます。Businessプランは米国東部またはアジア太平洋に固定可能。FreeとProはEUから出ることはありません。

すべてに監査トレイルを

ワークスペース設定、ロール変更、キーローテーション、リンク作成、削除、エクスポート。すべてのイベントに「誰が、いつ、何を」が記録され、エクスポート可能です。

AIはデフォルトで読み取り専用

AI統合にはスコープ設定されたローテーション可能なキーが付与されます。書き込み/削除アクセスは、デフォルトではなく明示的な監査対象設定です。

BYOKと顧客管理キー

Businessでは保存データの暗号化に独自のKMSを使用可能。コールドストレージを再暗号化せずにキーをローテーションできます。

アンチアビューズパイプライン

すべてのリンクは、作成時およびローリング再スキャン時に複合スキャナー(URLhaus + Google Safe Browsing + ヒューリスティック)を通過します。

サブプロセッサーの透明性

リスト、場所、目的をすべて公開。追加時には通知を行い、一部ではオプトアウトルートも提供します。

追記専用の監査ログ

あらゆる状態変更が記録されます。

追記専用はデータベース層で強制されます。監査テーブルはアプリケーションロールに INSERT と SELECT のみを許可し、UPDATE や DELETE は許可しません。弊社の管理者であっても、変更管理に表示されるマイグレーションを経ずに履歴を書き換えることはできません。保持期間は Pro が90日、Business が7年で、追加オプションなしに SOX、MiFID II、HIPAA を満たします。

  • アクター ID
    ユーザー ID またはサービスプリンシパルに加え、ソース IP とリクエスト ID
  • 変更前後の差分
    変更行の構造化された JSON 差分です。単なるテキストログ行ではありません
  • SIEM への送出
    HMAC で署名された Webhook を、Splunk / Datadog / ELK へリアルタイム送信します
  • 改ざん耐性
    データベース GRANT による強制。アプリロールに UPDATE / DELETE は付与しません
セキュリティ概要 →
監査エントリ · evt_8c41a7
domain.claim · ws_8a2f
アクター
[email protected]
タイムスタンプ(UTC)
2026-05-08T11:42:18Z
ソース IP
203.0.113.42 · DE
ソース
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
イベントタイプ
domain.claim
差分行数
+3 / -2
保持期間
7年(Business)
追記専用 · データベース GRANT で強制SIEM にストリーミング配信

データ主体アクセス要求

API による本人権利の対応。

エンドユーザーから本人請求を受け取ったら、ダッシュボードや API から「管理者-本人代理」リクエストとして転送します。Elido は管理者(あなた)を認証し、本人は認証しません。返却バンドルは署名済み zip です。本人記録、リンク、本人がアクターとなった監査ログ、本人がワークスペース所有者である場合の請求書を含みます。標準 SLA は30日、Business の優先対応は5営業日以内です。

  1. ステップ 1

    本人請求

    エンドユーザー → 管理者(あなた)

    本人があなたに連絡します。あなたは自社プロダクトで本人を認証してください。Elido ではありません。

  2. ステップ 2

    DSAR API 呼び出し

    POST /v1/dsar

    本人のメールと要求タイプ(export / erase)を含め、管理者-本人代理リクエストとして転送します。

  3. ステップ 3

    ワークスペースバンドル

    署名済み zip · JSON + CSV

    本人をアクターとする監査ログ、所有者の場合の請求情報、匿名化されたクリックメタデータを含む本人情報とリンクです。

  4. ステップ 4

    SLA

    30日 · 優先対応は5日

    すべてのプランで標準 SLA が適用されます。Business の優先対応は5営業日以内に返却します。

DPAを読む →DSAR エンドポイントリファレンス → API

5社のサブプロセッサーを公開掲載

5社のベンダー。公開掲載しています。

ベンダーの所在地、処理目的、データカテゴリ、DPA 参照 URL を含む完全な一覧は /legal/subprocessors にあります。サブプロセッサーの追加または交換は、処理開始前にワークスペース管理者全員へアプリ内バナーとメールで30日前通知をトリガーし、お客様は異議申し立てができます。

サブプロセッサー分散図 · ワークスペースのデータフロー
ベンダー5社 · 公開リスト
お客様のワークスペース
ws_xxxx
EUリージョン(既定)
  • コンピューティング & ホスティングISO 27001
    主要なアプリ + エッジインフラ
    EU · ドイツ + フィンランド
  • エッジコンピューティングISO 27001 · SOC 2
    Business のリージョンピン
    EU + APAC
  • メール配信SOC 2 Type II
    トランザクションメール
    EU(EU 限定なら opt-out 可)
  • 決済PCI DSS L1
    カードアクワイアリング
    EU
  • CDN + WAFISO 27001 · SOC 2
    マーケティング用プロキシ(リダイレクト経路には不在)
    グローバル · EU ルーティング
ベンダー追加時には30日前のお客様通知をトリガーします/legal/subprocessors
サブプロセッサーの全リストを見る →セキュリティ概要 → アーキテクチャ

コンプライアンスの立ち位置

お客様が尋ねるフレームワークでの現状。

未来形の約束はしません。各行は、いま提供済みのもの、観察期間中のもの、契約に基づくアドオンとして提供可能なものを示します。

達成済み

ISO 27001

情報セキュリティマネジメントシステム。認証範囲は Elido プラットフォーム全体を対象とします。

進行中

SOC 2 Type II

観察期間は 2026 年下半期まで実施中です。Type I レポートは現在 NDA 締結のうえご提供できます。

標準

GDPR

既定で EU-residency、標準 SCC 付きの DPA を事前署名済み、公開サブプロセッサーリストを提供します。

利用可能

HIPAA-ready

Business+ で BAA を提供。暗号化、監査ログ、アクセス制御は既に組み込み済みです。

標準

EU residency

すべての運用データはEUリージョン内に保持されます。Schrems II / DPF に依存しません。

標準

Encryption

保存時 AES-256、転送時 TLS 1.3、KMS による鍵ローテーション。Business では BYOK が可能です。

コンプライアンス FAQ

調達部門からよく届く質問。

DPA に署名しますか?

はい。当社の標準 DPA は EU SCC とともに事前署名済みで、/legal/dpa からダウンロードできます。既定条件であれば交渉は不要で、有料プランは自動的に反署名されます。Business と Enterprise ではカスタムのレッドラインも対応します。

サブプロセッサーは何社利用していますか?

5社で、その多くはEU拠点です。コンピューティング + ホスティング(EU)、リージョンピン用のエッジコンピューティング(EU + APAC)、トランザクションメール(EU)、決済(EU)、そしてリダイレクト経路には決して使用しないマーケティング専用のプロキシ + WAF。所在地・目的・DPA 参照を含むベンダー名入りの全リストは /legal/subprocessors にあります。

リージョンピンはすべてのプランで利用できますか?

EU-residency はすべてのワークスペース、すべてのプランで既定であり、変更されることはありません。任意の米国東部またはアジア太平洋へのピン留めはワークスペース単位、作成時のみ・取消不可で、Business および Enterprise プラン限定です。

DSAR の対応時間は?

標準 SLA はすべてのプランで30日です。Business と Enterprise は営業日5日の優先対応を利用できます。DSAR は API またはダッシュボード(POST /v1/dsar)から提出します。あなたが管理者を、当社があなたを認証し、本人情報、リンク、監査ログ、請求記録を含む署名済み zip としてバンドルが配信されます。

HIPAA の BAA はどのように扱いますか?

BAA は Business+ 限定です。技術的セーフガード(暗号化、監査ログ、アクセス制御、安全なバックアップ)は既定プランと同じで、BAA は機能の制限ではなく契約上の書類です。開始するには [email protected] までご連絡ください。

セルフホスティングのオプションはありますか?

はい。リダイレクト層と取り込みサービスは Apache 2.0 のオープンソースで、Kubernetes 用の Helm チャートも提供します。お客様は自社 VPC でリダイレクト層を実行し、ダッシュボードを当社のコントロールプレーンに向けるか、スタック全体をオンプレで運用できます。リポジトリは当社が運用しているのと同じコードです。

サブプロセッサーの変更はどのように通知しますか?

サブプロセッサーの追加または交換は、アプリ内バナーとメールで各ワークスペース管理者に30日前通知をトリガーします。お客様は処理開始前に異議申し立てができます。完全なリストは /legal/subprocessors で公開しています。

インシデントや稼働率はどこで公開していますか?

ライブステータス、最近のインシデント、完全なポストモーテムは /status で公開しています。セキュリティに影響する事象は [email protected] の購読者と、DPA で定義した SLA ウィンドウ内でトラストセンターのページにも掲載します。

詳細はこちら

上記の主張にはすべて公開ドキュメントがあります。調達判断のため弊社を評価しているなら、ここから始めてください。

サブプロセッサー

データの共有相手、場所、目的について。

DPA

EUの個人データを処理する前に署名が必要です。

プライバシー

収集するもの、しないもの、保持期間について。

セキュリティページ

アーキテクチャ、暗号化、シークレット管理、脅威モデル。

ステータス

ライブ稼働率、最近のインシデント、ポストモーテム。

お問い合わせ

セキュリティに関する質問がありますか?

脆弱性報告は [email protected] まで(PGP利用可能)。SOC 2 / ISO / DPA については [email protected] まで。1営業日以内に回答します。

セキュリティ

脆弱性報告、security.txt、PGP 鍵。営業日1日以内に返信します。

[email protected]

コンプライアンス

SOC 2 / ISO の依頼、DPA の反署名、サブプロセッサー通知、HIPAA 向けの BAA プロセス。

[email protected]

セールス

エンタープライズ調達、セキュリティアンケート、個別条件のご相談。

[email protected]

調達が動き出したら、こちらも準備万端。

事前署名済みの DPA、公開のサブプロセッサーリスト、すべてのプランでの監査ログ。無料で始めるか、セールスに相談してセキュリティアンケートを短縮しましょう。

料金を見る営業に問い合わせる