Elido
Trust Center

Zaufanie, spisane na papierze.

Elido jest domyślnie hostowane w EU, przyjazne dla GDPR i zbudowane z wbudowanymi ścieżkami audytu. Poniżej znajduje się to, co już robimy - a nie to, co planujemy.

Przeczytaj DPA[email protected]
SOC 2 Type II
ISO 27001
GDPR
HIPAA-aware (Business)
EU residency
Region workspace’a · ustaw raz
nieodwracalne przy tworzeniu
  • Region UEEU
    EU-residency · domyślnie

    Domyślnie dla każdego workspace’a. Audit log, kliknięcia, backupy pozostają w regionie. Bez zależności od DPF lub Schrems II.

  • USA WschódUS
    Opt-in

    Tylko przy tworzeniu workspace’a. Nieodwracalne. Dla klientów rezydujących w USA, którzy chcą ścieżki danych w USA.

  • Azja-PacyfikAPAC
    Business+ · Opt-in

    Tylko przy tworzeniu workspace’a. Nieodwracalne. Rezydencja APAC dla planów Business i Enterprise.

Bez replikacji międzyregionalnej dla danych gorącychaudyt · kliknięcia · kopie zapasowe
5
Sub-procesorów, lista publiczna
90d
Retencja audytu na Pro (7 lat na Business)
30d
SLA DSAR (5 dni przyspieszone na Business)
0
Transferów międzyregionalnych danych gorących

Co „zaufanie” oznacza w kategoriach produktu

Co rozumiemy przez zaufanie

Każdy filar odpowiada czemuś konkretnemu, co można znaleźć w logu audytu, DPA lub naszym publicznym repozytorium infrastruktury. Bez marketingowych niedopowiedzeń.

Domyślna EU residency

Wszystkie dane operacyjne pozostają w regionie UE. Plany Business mogą wybrać USA Wschód lub Azja-Pacyfik. Free + Pro nigdy nie opuszczają UE.

Ścieżka audytu dla wszystkiego

Ustawienia obszaru roboczego, zmiany ról, rotacja kluczy, tworzenie linków, usuwanie, eksporty. Każde zdarzenie ma informację: kto, kiedy i co - z możliwością eksportu.

AI domyślnie tylko do odczytu

Integracje AI otrzymują ograniczone, rotowalne klucze. Dostęp do zapisu/usuwania to jawne, audytowane ustawienie - nie domyślne.

BYOK i klucze zarządzane przez klienta

Dodaj własny KMS do szyfrowania danych w spoczynku w Business. Rotuj klucze bez konieczności ponownego szyfrowania zimnego magazynu.

Potok zapobiegania nadużyciom

Każdy link przechodzi przez złożony skaner (URLhaus + Google Safe Browsing + heurystyka) przy tworzeniu i podczas cyklicznych skanów.

Przejrzystość sub-procesorów

Pełna lista, lokalizacja i cel. Powiadamiamy o zmianach; dostępne opcje rezygnacji dla wybranych usług.

Log audytu append-only

Każda zmiana stanu jest rejestrowana.

Tryb append-only jest egzekwowany na poziomie bazy danych: tabela audytu przyznaje rolom aplikacji tylko INSERT i SELECT, bez UPDATE ani DELETE. Nawet nasi administratorzy nie mogą przepisać historii bez migracji, która pojawi się w change control. Retencja to 90 dni na Pro i 7 lat na Business - pokrywa SOX, MiFID II i HIPAA bez dodatków.

  • Tożsamość aktora
    Identyfikator użytkownika lub service principal oraz IP źródła i request ID
  • Diff przed/po
    Strukturalny diff JSON zmienionego wiersza - nie zwykła linia tekstowego logu
  • Strumień do SIEM
    Webhook podpisany HMAC do Splunk / Datadog / ELK w czasie rzeczywistym
  • Odporny na modyfikację
    Egzekwowanie przez GRANT bazy danych; żadnych UPDATE / DELETE dla ról aplikacji
Przegląd bezpieczeństwa →
Wpis audytu · evt_8c41a7
domain.claim · ws_8a2f
Znacznik czasu (UTC)
2026-05-08T11:42:18Z
IP źródła
203.0.113.42 · DE
Źródło
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Typ zdarzenia
domain.claim
Linie diff
+3 / -2
Retencja
7 lat (Business)
Append-only · egzekwowane przez GRANT bazy danychTransmisja do SIEM

Wnioski osób, których dane dotyczą

Prawa osoby, której dane dotyczą, przez API.

Otrzymujesz wniosek od osoby, której dane dotyczą, od swojego użytkownika końcowego. Przekazujesz go przez panel lub API jako wniosek administratora-w-imieniu-osoby - Elido uwierzytelnia administratora (Ciebie), a nie osobę. Pakiet to podpisany zip: rekord tożsamości, linki, wpisy logu audytu, w których osoba jest aktorem, dowody rozliczeń, jeśli osoba jest właścicielem workspace’a. Standardowy SLA to 30 dni; przyspieszony poziom Business zwraca w 5 dni roboczych.

  1. Krok 1

    Wniosek osoby

    Użytkownik końcowy → administrator (Ty)

    Osoba kontaktuje się z Tobą. Uwierzytelniasz ją w swoim produkcie, nie w Elido.

  2. Krok 2

    Wywołanie API DSAR

    POST /v1/dsar

    Przekaż jako wniosek administratora-w-imieniu z e-mailem osoby + typem (export / erase).

  3. Krok 3

    Pakiet workspace’a

    podpisany zip · JSON + CSV

    Tożsamość, linki, wpisy audytu z osobą jako aktorem, rozliczenia jeśli właściciel, zanonimizowane metadane kliknięć.

  4. Krok 4

    SLA

    30 dni · 5 dni przyspieszone

    Standardowy SLA na każdym planie; przyspieszony poziom Business odpowiada w ciągu 5 dni roboczych.

Przeczytaj DPA →Dokumentacja endpointu DSAR → API

Pięciu sub-procesorów, wymienionych publicznie

Pięciu dostawców. Wymienionych publicznie.

Pełna lista z lokalizacją dostawcy, celem przetwarzania, kategoriami danych i URL referencyjnym DPA znajduje się na /legal/subprocessors. Dodanie lub zastąpienie sub-procesora uruchamia 30-dniowe powiadomienie dla każdego administratora workspace’a przez baner in-app i e-mail, zanim rozpocznie się przetwarzanie, by klienci mogli wnieść sprzeciw.

Rozdział sub-procesorów · przepływ danych workspace’a
5 dostawców · lista publiczna
Twój workspace
ws_xxxx
Region UE (domyślnie)
  • Compute i hostingISO 27001
    Główna infrastruktura aplikacji + edge
    EU · Niemcy + Finlandia
  • Edge computeISO 27001 · SOC 2
    Piny regionalne Business
    EU + APAC
  • Dostarczanie e-mailiSOC 2 Type II
    E-mail transakcyjny
    EU (opt-out tylko EU)
  • PłatnościPCI DSS L1
    Akceptacja kart
    EU
  • CDN + WAFISO 27001 · SOC 2
    Proxy marketingowe (poza ścieżką redirectu)
    Globalnie · routing w UE
Dodanie dostawcy uruchamia 30-dniowe powiadomienie klienta/legal/subprocessors
Zobacz pełną listę sub-procesorów →Przegląd bezpieczeństwa → architektura

Postawa zgodności

Gdzie jesteśmy w sprawach frameworków, o które pytają klienci.

Bez obietnic w czasie przyszłym. Każdy wiersz mówi, co jest dostarczone dziś, co jest w obserwacji i co jest dostępne jako dodatek na podstawie umowy.

Osiągnięto

ISO 27001

System zarządzania bezpieczeństwem informacji, certyfikowany zakres pokrywa całą platformę Elido.

W toku

SOC 2 Type II

Okres obserwacji trwa do H2 2026. Raport Type I dostępny już dziś na NDA.

Domyślnie

GDPR

EU-residency domyślnie, DPA podpisane z wyprzedzeniem ze standardowymi SCC, publiczna lista sub-procesorów.

Dostępne

HIPAA-ready

BAA na Business+ z szyfrowaniem, audit loggingiem i kontrolą dostępu już wdrożoną.

Domyślnie

EU residency

Wszystkie dane operacyjne pozostają w regionie UE. Bez zależności od Schrems II / DPF.

Domyślnie

Encryption

AES-256 w spoczynku, TLS 1.3 w tranzycie, rotacja kluczy w KMS. BYOK na Business.

FAQ zgodności

Pytania, które procurement nieustannie do nas pisze.

Czy podpisujecie DPA?

Tak. Nasze standardowe DPA jest podpisane z wyprzedzeniem ze SCC UE i można pobrać je z /legal/dpa. Standardowe warunki nie wymagają negocjacji - plany płatne otrzymują kontr-podpis automatycznie. Indywidualne redlines są dostępne na Business i Enterprise.

Ilu macie sub-procesorów?

Pięciu, w większości z UE: compute + hosting (EU), edge compute dla pinów regionalnych (EU + APAC), e-mail transakcyjny (EU), płatności (EU) oraz proxy marketingowe + WAF, które nigdy nie dotyka ścieżki redirectu. Pełna imienna lista z lokalizacją, celem i referencją do DPA jest na /legal/subprocessors.

Czy pinning regionu jest dostępny w każdym planie?

EU-residency to ustawienie domyślne dla każdego workspace’a, w każdym planie, i nigdy się nie zmienia. Opcjonalny pinning do USA Wschód lub Azja-Pacyfik dotyczy tylko workspace’a, jest nieodwracalny w chwili utworzenia i ograniczony do planów Business i Enterprise.

Jaki jest czas obsługi DSAR?

Standardowy SLA to 30 dni w każdym planie. Business i Enterprise mają przyspieszony poziom 5 dni roboczych. DSAR-y składane są przez API lub panel (POST /v1/dsar) - Ty uwierzytelniasz administratora, my uwierzytelniamy Ciebie, a pakiet trafia jako podpisany zip z tożsamością, linkami, wpisami audytu i zapisami rozliczeń.

Jak działają BAA dla HIPAA?

BAA tylko na Business+. Zabezpieczenia techniczne (szyfrowanie, audit logging, kontrola dostępu, bezpieczne backupy) są takie same jak w poziomie domyślnym - BAA to papierologia, nie feature-gating. Napisz na [email protected], by zacząć.

Czy istnieje opcja self-host?

Tak. Warstwa redirectu i click-ingester są open source na Apache 2.0 z chartem Helm dla Kubernetes. Klienci uruchamiają warstwę redirectu we własnym VPC i kierują panel do naszego control plane lub uruchamiają cały stack on-prem. Repozytorium to ten sam kod, który uruchamiamy my.

Jak powiadamiacie o zmianach sub-procesorów?

Dodanie lub zastąpienie sub-procesora uruchamia 30-dniowe powiadomienie przez baner in-app i e-mail do każdego administratora workspace’a. Klienci mogą wnieść sprzeciw przed rozpoczęciem przetwarzania. Lista na /legal/subprocessors jest wersjonowana w publicznym repozytorium git, więc zmiany pojawiają się w historii kontroli wersji.

Gdzie publikujecie incydenty i uptime?

Status na żywo, ostatnie incydenty i pełne post-mortemy na /status. Incydenty dotyczące bezpieczeństwa są też publikowane subskrybentom [email protected] i na stronie Trust Center w oknie SLA zdefiniowanym w DPA.

Gdzie szukać dalej

Każde twierdzenie powyżej ma publiczny dokument. Jeśli oceniasz nas przed decyzją procurement, zacznij tutaj.

Sub-procesorzy

Komu udostępniamy dane, gdzie się znajdują i dlaczego.

DPA

Podpisz przed przetwarzaniem danych osobowych z EU.

Prywatność

Co zbieramy, czego nie, okna retencji danych.

Strona bezpieczeństwa

Architektura, szyfrowanie, obsługa sekretów, model zagrożeń.

Status

Uptime na żywo, ostatnie incydenty, post-mortem.

Kontakt

Masz pytanie o bezpieczeństwo?

[email protected] dla zgłoszeń podatności (dostępne PGP). [email protected] w sprawach SOC 2 / ISO / DPA. Odpowiadamy w ciągu jednego dnia roboczego.

Bezpieczeństwo

Zgłoszenia podatności, security.txt, klucz PGP. Odpowiadamy w ciągu jednego dnia roboczego.

[email protected]

Compliance

Wnioski SOC 2 / ISO, kontr-podpis DPA, powiadomienia o sub-procesorach, proces BAA dla HIPAA.

[email protected]

Sales

Zakupy enterprise, ankiety bezpieczeństwa i prośby o warunki niestandardowe.

[email protected]

Gotowi, gdy gotowe jest procurement.

Wcześniej podpisane DPA, publiczna lista sub-procesorów, log audytu w każdym planie. Zacznij za darmo lub porozmawiaj ze sprzedażą, by skrócić ankietę bezpieczeństwa.

Zobacz cennikKontakt ze sprzedażą