The shortener your DPO won’t push back on.
Medes o tempo de resposta DSAR, frescura de evidências SOC 2 e quantas perguntas de fornecedores um ciclo de vendas custa. O Elido é o shortener que o teu DPO não vai contestar.
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- FrankfurtFRA · eu-central-1EU residency · default
Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.
- AshburnIAD · us-east-1Opt-in
Workspace creation only. Irreversible. For US-resident customers who want US data path.
- SingaporeSIN · ap-southeast-1Business+ · opt-in
Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.
Append-only audit log
Every state change. Actor, IP, before/after diff, source.
Append-only is enforced at the database layer: the audit table grants only INSERT and SELECT to application roles, with no UPDATE or DELETE. Even our own admins can’t rewrite history without a migration that shows up in change control. Retention is 90 days on Pro and 7 years on Business — covering SOX, MiFID II, and HIPAA without an add-on.
- Actor identityUser ID or service principal, plus source IP and request ID
- Before/after diffStructured JSON diff of the changed row — not just a text log line
- SIEM firehoseHMAC-signed webhook to Splunk / Datadog / ELK in real time
- Tamper-evidentPostgres GRANT enforcement; no UPDATE / DELETE for app roles
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Data subject access requests
DSAR, not support ticket. API call, signed bundle, SLA clock.
You receive a subject request from your end user. You forward it via the dashboard or API as a controller-on-behalf-of-subject request — Elido authenticates the controller (you), not the subject. The bundle is a signed zip: identity record, links, audit-log entries where the subject is the actor, billing receipts if the subject is a workspace owner. Standard SLA is 30 days; Business expedited returns inside 5 business days.
- Step 1
Subject request
End user → controller (you)Subject contacts you. You authenticate them in your own product, not in Elido.
- Step 2
DSAR API call
POST /v1/dsarForward as a controller-on-behalf request with subject email + request type (export / erase).
- Step 3
Workspace bundle
signed zip · JSON + CSVIdentity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.
- Step 4
SLA
30 days · 5 days expeditedStandard SLA on every plan; Business expedited tier returns inside 5 business days.
Five sub-processors, listed publicly
Hetzner, OVH, Postmark, monobank Plata, Cloudflare. That’s the list.
The full list with vendor location, processing purpose, data categories, and DPA reference URL lives at /legal/subprocessors and is checked into the public docs repo, so changes appear in git history. Adding or replacing a sub-processor triggers a 30-day notice to every workspace admin via in-app banner and email before processing begins, so customers can object. monobank Plata replaced LiqPay under ADR-0026 in 2026-05.
- HetznerISO 27001Compute · primary infraEU · Frankfurt + Helsinki
- OVHISO 27001 · SOC 2Compute · Business region pinsEU + APAC POPs
- PostmarkSOC 2 Type IITransactional emailEU (opt-out for EU-only)
- monobank PlataPCI DSS L1Payments · replaced LiqPay (ADR-0026)EU
- CloudflareISO 27001 · SOC 2Marketing proxy + WAF (not redirect path)Global
What you can put on the procurement deck
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- ISO 27001 achieved · SOC 2 Type II in progress (H2 2026)
- HIPAA-ready BAA on Business+ with safeguards already wired
Como o 'compliance' se apresenta no produto
A maioria dos encurtadores responde a perguntas de compliance com um PDF de uma página e um questionário de fornecedor. Os recursos abaixo são o que está realmente implementado no código, não apenas promessas em uma apresentação de vendas.
Padrão UE, região fixada por workspace
Frankfurt é a região padrão para cada novo workspace. Eventos de clique, metadados de links, logs de auditoria, exportações — tudo permanece em eu-central-1, a menos que um administrador fixe o workspace em Ashburn ou Singapura no momento da criação. Não há replicação entre regiões para dados ativos; os backups são criptografados em repouso e armazenados na mesma região da origem. O DPF (Data Privacy Framework) não faz parte da nossa história de compliance — não dependemos de mecanismos de transferência EUA-UE porque não realizamos transferências.
Log somente de acréscimo de cada mudança de estado
Configurações de workspace, emissão e rotação de chaves de API, convites de membros e mudanças de função, reivindicações de domínio personalizado, edições de branding, criação/atualização/exclusão de links — cada mutação vai para o log de auditoria com autor, timestamp, diff antes/depois e IP de origem. Os logs são retidos por 90 dias no plano Pro e 7 anos no Business; ambos os níveis podem transmitir o fluxo para um SIEM (Splunk, Datadog, ELK) via webhook em tempo real. A adulteração é evitada pela restrição de somente acréscimo na camada de banco de dados; o log é consultável, mas não editável, mesmo por administradores.
Cinco fornecedores, todos listados publicamente
Utilizamos exatamente cinco sub-processadores: Hetzner (computação, UE), OVH (computação, UE + APAC para Business), Postmark (e-mail transacional, EUA — opt-out para apenas UE), LiqPay (pagamentos, UE) e Cloudflare (proxy + WAF, global). A lista completa com localização, finalidade e referência de DPA está em /legal/subprocessors e as atualizações acionam um aviso ao cliente com 30 dias de antecedência. Não adicionamos sub-processadores silenciosamente; a lista é verificada no repositório de documentos e revisada a cada trimestre.
Exportação e exclusão via API, não por ticket de suporte
A exportação de dados por usuário retorna um pacote JSON + CSV cobrindo identidade, links criados, entradas de log de auditoria atribuíveis ao titular e metadados de eventos de clique que se resolvem para esse titular (normalmente nenhum — os cliques são anonimizados na ingestão, a menos que o workspace habilite explicitamente o rastreamento de PII). A exclusão é um soft-delete com uma janela de 30 dias para recuperação de exclusão acidental, seguida por uma exclusão permanente (hard purge) da base primária, réplicas e backups. O SLA é de 30 dias a partir da solicitação; o nível expedito Business entrega em 5 dias úteis.
SOC 2 Tipo II, ISO 27001, pronto para HIPAA
A auditoria SOC 2 Tipo II está em andamento (meta: H2 2026); os controles e evidências já estão em vigor — a janela de auditoria é o que estamos aguardando. ISO 27001 foi alcançada. Estar pronto para HIPAA significa que assinamos um BAA no plano Business+ e temos as salvaguardas técnicas (criptografia, trilha de auditoria, controles de acesso, procedimentos de notificação de violação) implementadas; a certificação é de setor para setor, não um selo único no estilo SOC. A postura de confiança está documentada em /trust e as atualizações aparecem em /changelog.
Stack you’ll evidence
- EU-residency
- GDPR DPA
- SOC 2 Type II (em progresso)
- ISO 27001
- Audit log + firehose SIEM
- API DSAR
O que o teu DPO mede
- Contagem de sub-processors
- 5, apenas EU por defeito
- Resposta DSAR
- Menos de 30 dias
- Retenção de audit log
- 7 anos em Business
Equipes de compliance rodando nisso
Nomes são marcadores por enquanto — nomes reais de clientes aparecerão aqui conforme os estudos de caso forem publicados.
“Tivemos que sair do Bitly quando nosso auditor sinalizou a lista de sub-processadores dos EUA. O padrão apenas UE do Elido passou pelo faturamento em duas semanas; antes, não conseguíamos passar do 'mostre-me o DPA' no fornecedor anterior.”
“O BAA no Business foi o diferencial. Além disso, o log de auditoria flui diretamente para o nosso SIEM no Datadog — não precisamos escrever uma camada de sincronização nós mesmos.”
“O Schrems II desqualificou quatro encurtadores que avaliamos. O Elido foi o único cuja resposta para 'onde estão os dados?' foi 'no país que você disse'. Essa é toda a barreira.”
O que muda quando o compliance é o comprador
Se o seu DPO estiver revisando o fornecedor, estas são as perguntas que ele fará. Respostas honestas entre três opções.
| Capability | Elido | Bitly Enterprise | Encurtador genérico |
|---|---|---|---|
| Residência de dados padrão | UE (Frankfurt) para cada workspace | Padrão EUA; opt-in da UE no Enterprise | A região depende do nível do plano |
| Dependência de DPF / Schrems II | Nenhuma — sem caminho de dados nos EUA | Listado no DPF; depende de mecanismo de transferência | Misto; depende dos sub-processadores |
| Contagem de sub-processadores | 5, todos listados publicamente | 20+ entre os níveis de plano | Não publicado |
| Assinatura de DPA | Pré-assinado, disponível para download | Contra-assinatura manual sob consulta | Sob consulta, apenas planos pagos |
| Retenção de log de auditoria | 7 anos no Business | Padrão de 1 ano | 30-90 dias |
| Streaming de log de auditoria → SIEM | Firehose de webhooks, em tempo real | Apenas exportação diária | Download manual |
| Cumprimento de DSAR | API; padrão <30d, expedito <5d | Ticket de suporte; 30d | Ticket de suporte; SLA varia |
| Suporte a BAA / HIPAA | Sim no Business+ | Add-on de Enterprise | Não |
| SOC 2 / ISO 27001 | ISO 27001; SOC 2 Tipo II em andamento | Ambos, maduros | Nenhum |
Perguntas comuns do faturamento
Onde exatamente nossos dados são armazenados?
UE-Central (Frankfurt) por padrão. Postgres, ClickHouse (clickstream), Redis (cache), MinIO (armazenamento de ativos) e backups residem em eu-central-1. Nenhum dado é replicado para EUA ou APAC, a menos que um administrador fixe explicitamente o workspace em Ashburn ou Singapura na criação — que é uma escolha deliberada e irreversível (workspaces não migram de região). A arquitetura completa está em /docs/strategy/ARCHITECTURE.md, registrada no repositório público.
Vocês estão no escopo para SOC 2 / ISO 27001?
ISO 27001 foi alcançada. A auditoria SOC 2 Tipo II está em andamento com meta para H2 2026 — os controles e evidências já estão operacionais, o período de auditoria é o processo mais longo. Compartilhamos evidências do Tipo 1 sob solicitação mediante NDA hoje; os relatórios do Tipo 2 serão lançados publicamente quando estiverem prontos. O Trust Center em /trust acompanha o estado atual.
Vocês assinam um DPA?
Pré-assinado e disponível para download em /legal/dpa. O DPA faz referência à nossa lista de sub-processadores em /legal/subprocessors como um documento vivo; mudanças de sub-processadores dão aviso de 30 dias ao cliente. Se precisar de alterações específicas, essa é uma conversa de contrato Business+; os padrões são geralmente aceitos por DPOs da UE sem modificação.
Quantos sub-processadores estão envolvidos?
Cinco: Hetzner (computação, UE), OVH (computação, UE + APAC para clientes fora da UE), Postmark (e-mail transacional — opt-out para apenas UE), LiqPay (pagamentos, UE), Cloudflare (proxy + WAF, global). As localizações e finalidades de cada um estão em /legal/subprocessors. A adição de um sub-processador aciona um aviso de 30 dias ao cliente; não os adicionamos retroativamente de forma silenciosa.
Podemos usar nosso próprio HSM / KMS para chaves de criptografia?
Sim na edição auto-hospedada. O Elido SaaS criptografa em repouso com AWS KMS (por região) e em trânsito com TLS 1.3; atualmente não suportamos KMS gerenciado pelo cliente no SaaS multi-tenant. A auto-hospedagem (Helm chart, licença Apache 2.0) permite que você aponte para seu próprio KMS / Vault / HSM.
Qual é o SLA de notificação de violação?
Violações de dados pessoais confirmadas: notificação ao cliente em 24 horas, notificação ao regulador em 72 horas (GDPR Art. 33). A notificação cobre o que sabemos naquele momento; não esperamos pela perícia forense completa. O processo está em nosso Trust Center em /trust/incident-response.
Vocês atendem DSARs de usuários finais (titulares dos dados), não apenas de nós como clientes?
Agimos com base nas instruções do controlador (você, o cliente). Os usuários finais entram em contato com você; você encaminha a solicitação via dashboard ou API e nós a cumprimos. Não aceitamos DSARs diretamente de usuários finais porque não teríamos como autenticá-los como titulares do seu workspace — essa autenticação é sua.
O log de auditoria pode ser adulterado por um administrador do Elido?
Não. O log é do tipo somente acréscimo (append-only) na camada de banco de dados; nem mesmo nossos próprios administradores podem editar entradas históricas. A exclusão de entradas antigas após o período de retenção é automatizada e registra um meta-evento de 'expurgo de retenção', para que a lacuna em si seja auditável. Uma adulteração ao vivo exigiria uma intrusão em nível de banco de dados que contornasse nosso código de aplicação, que é o mesmo modelo de ameaça de qualquer outra corrupção de tabela — coberto por RLS e nossos controles SOC 2.
Vocês têm um arquivo security.txt público / política de divulgação coordenada?
Sim — security.txt em /.well-known/security.txt; política de divulgação coordenada em /trust/disclosure. O programa de bug bounty é executado via HackerOne (programa privado; entre em contato via security@elido.app para um convite se tiver uma descoberta não relatada).
O que acontece ao final do contrato? Como retiramos nossos dados?
Exportação completa de dados a qualquer momento via API ou uma solicitação de suporte avulsa. Pacote JSON + CSV cobrindo links, eventos de clique (brutos ou agregados, à sua escolha), log de auditoria, membros, configurações, branding. Após o término do contrato, mantemos por 30 dias para recuperação de cancelamento acidental e, em seguida, realizamos a exclusão permanente (hard purge) da base primária, réplicas e backups. Podemos emitir uma confirmação de expurgo por escrito se o seu DPA exigir.
DPO’s reading list
Sub-processors, DPA, security.txt — the public version of every claim on this page.
Pre-signed DPA, downloadable. Standard EU SCCs, no negotiation needed for default terms.
Five vendors, public list with location, purpose, DPA reference per row.
Encryption, access control, vulnerability disclosure, incident response timelines.
WorkOS-managed SAML / OIDC + SCIM directory sync; deprovisioning within minutes.
DSAR endpoints, audit log streaming, scoped API keys — typed across TS / Py / Go.
Não tem certeza de qual abordagem se encaixa melhor?
A maioria das equipes começa com uma e evolui para todas as quatro. Nossa equipe de vendas pode analisar sua stack específica em 20 minutos.