Elido
Trust Center

Confiança, registrada por escrito.

A Elido é alojada na EU por defeito, compatível com GDPR e construída com trilhas de auditoria integradas. Tudo abaixo é o que já fazemos - não o que planeamos fazer.

Ler o DPA[email protected]
SOC 2 Type II
ISO 27001
GDPR
HIPAA-aware (Business)
EU-residency
Região do workspace · fixe uma vez
irreversível na criação
  • Região da UEEU
    EU-residency · padrão

    Padrão para cada workspace. Audit log, cliques e backups ficam na região. Sem dependência de DPF ou Schrems II.

  • Leste dos EUAUS
    Opt-in

    Apenas na criação do workspace. Irreversível. Para clientes residentes nos EUA que querem caminho de dados nos EUA.

  • Ásia-PacíficoAPAC
    Business+ · Opt-in

    Apenas na criação do workspace. Irreversível. Residência APAC para planos Business e Enterprise.

Sem replicação inter-regional para dados quentesauditoria · cliques · backups
5
Subprocessadores, lista pública
90d
Retenção de auditoria no Pro (7 anos no Business)
30d
SLA de DSAR (5d acelerado no Business)
0
Transferências inter-regionais de dados quentes

O que «confiança» significa em termos de produto

O que queremos dizer com confiança

Cada pilar mapeia para algo concreto que você pode procurar no log de auditoria, no DPA ou no nosso repositório público de infraestrutura. Sem ambiguidade de marketing.

EU-residency, por defeito

Todos os dados operacionais permanecem na região da UE. Planos Business podem fixar no Leste dos EUA ou Ásia-Pacífico. Free + Pro nunca saem da UE.

Trilha de auditoria em tudo

Definições de workspace, alterações de função, rotações de chaves, criações de links, eliminações, exportações. Cada evento tem um quem, quando e o quê - exportável.

Apenas leitura por defeito para AI

As integrações de AI recebem chaves com âmbito definido e rotativas. O acesso de escrita/eliminação é uma definição de workspace explícita e auditada - não um defeito.

BYOK e chaves geridas pelo cliente

Traga o seu próprio KMS para encriptação at-rest no plano Business. Rode chaves sem re-encriptar o armazenamento a frio.

Pipeline anti-abuso

Cada link passa por um scanner composto (URLhaus + Google Safe Browsing + heurísticas) na criação e novamente num worker de re-scan rotativo.

Transparência de sub-processadores

Lista completa, localização e propósito. Notificamos sobre adições; rotas de opt-out disponíveis para alguns.

Log de auditoria append-only

Cada mudança de estado é registrada.

O append-only é imposto na camada do banco de dados: a tabela de auditoria concede apenas INSERT e SELECT aos papéis de aplicação, sem UPDATE nem DELETE. Nem os nossos próprios administradores conseguem reescrever o histórico sem uma migração que apareça no change control. A retenção é de 90 dias no Pro e 7 anos no Business - cobre SOX, MiFID II e HIPAA sem add-on.

  • Identidade do ator
    ID do usuário ou service principal, além de IP de origem e request ID
  • Diff antes/depois
    Diff JSON estruturado da linha alterada - não uma simples linha de log textual
  • Firehose para SIEM
    Webhook assinado com HMAC para Splunk / Datadog / ELK em tempo real
  • À prova de adulteração
    Imposição via GRANT da base de dados; sem UPDATE / DELETE para papéis de aplicação
Visão geral de segurança →
Entrada de auditoria · evt_8c41a7
domain.claim · ws_8a2f
Carimbo de data/hora (UTC)
2026-05-08T11:42:18Z
IP de origem
203.0.113.42 · DE
Origem
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Tipo de evento
domain.claim
Linhas de diff
+3 / -2
Retenção
7 anos (Business)
Append-only · imposto por GRANT da base de dadosTransmitido ao SIEM

Pedidos de acesso do titular dos dados

Direitos do titular via API.

Você recebe um pedido do titular do seu usuário final. Encaminha pelo dashboard ou API como um pedido de controlador-em-nome-do-titular - a Elido autentica o controlador (você), não o titular. O pacote é um zip assinado: registro de identidade, links, entradas de log de auditoria em que o titular é o ator, recibos de cobrança se o titular for proprietário do workspace. O SLA padrão é de 30 dias; o nível acelerado do Business responde em 5 dias úteis.

  1. Passo 1

    Pedido do titular

    Usuário final → controlador (você)

    O titular entra em contato com você. Você o autentica no seu produto, não na Elido.

  2. Passo 2

    Chamada à API DSAR

    POST /v1/dsar

    Encaminhe como pedido de controlador-em-nome com o e-mail do titular + tipo (export / erase).

  3. Passo 3

    Pacote do workspace

    zip assinado · JSON + CSV

    Identidade, links, entradas de auditoria com o titular como ator, cobrança se for proprietário, metadados de clique anonimizados.

  4. Passo 4

    SLA

    30 dias · 5 dias acelerado

    SLA padrão em qualquer plano; o nível acelerado do Business responde em 5 dias úteis.

Ler o DPA →Referência do endpoint DSAR → API

Cinco subprocessadores, listados publicamente

Cinco fornecedores. Listados publicamente.

A lista completa nomeada, com localização do fornecedor, finalidade do tratamento, categorias de dados e URL de referência do DPA, fica em /legal/subprocessors. Adicionar ou substituir um subprocessador dispara um aviso de 30 dias para cada admin do workspace via banner in-app e e-mail, antes do início do tratamento, para que os clientes possam se opor.

Distribuição de subprocessadores · fluxo de dados do workspace
5 fornecedores · lista pública
Seu workspace
ws_xxxx
Região da UE (padrão)
  • Computação & hospedagemISO 27001
    Infraestrutura principal de app + edge
    EU · Alemanha + Finlândia
  • Computação de edgeISO 27001 · SOC 2
    Pins regionais do Business
    EU + APAC
  • Entrega de e-mailSOC 2 Type II
    E-mail transacional
    EU (opt-out só EU)
  • PagamentosPCI DSS L1
    Acquiring de cartões
    EU
  • CDN + WAFISO 27001 · SOC 2
    Proxy de marketing (fora do caminho de redirecionamento)
    Global · roteamento EU
Adicionar um fornecedor dispara um aviso de 30 dias ao cliente/legal/subprocessors
Ver a lista completa de subprocessadores →Visão geral de segurança → arquitetura

Postura de conformidade

Onde estamos nos frameworks que os clientes perguntam.

Sem promessas no futuro. Cada linha diz o que está entregue hoje, o que está em observação e o que está disponível como add-on contratual.

Alcançado

ISO 27001

Sistema de gestão de segurança da informação, escopo certificado cobre toda a plataforma Elido.

Em andamento

SOC 2 Type II

Período de observação em curso até H2 de 2026. Relatório Type I disponível hoje sob NDA.

Padrão

GDPR

EU-residency por padrão, DPA pré-assinado com SCCs padrão, lista pública de subprocessadores.

Disponível

HIPAA-ready

BAA no Business+ com criptografia, audit logging e controles de acesso já implementados.

Padrão

EU residency

Todos os dados operacionais permanecem na região da UE. Sem dependência de Schrems II / DPF.

Padrão

Encryption

AES-256 em repouso, TLS 1.3 em trânsito, rotação de chaves via KMS. BYOK no Business.

FAQ de conformidade

As perguntas que procurement não para de nos enviar.

Vocês assinam um DPA?

Sim. Nosso DPA padrão é pré-assinado com SCCs da UE e pode ser baixado em /legal/dpa. Não há negociação necessária para os termos padrão - planos pagos recebem a contra-assinatura automaticamente. Redlines personalizados estão disponíveis em Business e Enterprise.

Quantos subprocessadores vocês usam?

Cinco, na sua maioria baseados na UE: computação + hospedagem (EU), computação de edge para os pins regionais (EU + APAC), e-mail transacional (EU), pagamentos (EU) e um proxy + WAF apenas de marketing que nunca toca no caminho de redirecionamento. A lista completa nomeada com localização, finalidade e referência ao DPA está em /legal/subprocessors.

O pinning de região está disponível em todos os planos?

EU-residency é o padrão para cada workspace, em todos os planos, e nunca muda. O pinning opt-in para o Leste dos EUA ou Ásia-Pacífico é apenas no nível do workspace, irreversível na criação, e restrito aos planos Business e Enterprise.

Qual o prazo de DSAR?

SLA padrão de 30 dias em qualquer plano. Business e Enterprise têm um nível acelerado de 5 dias úteis. As DSARs são enviadas via API ou dashboard (POST /v1/dsar) - você autentica o controlador, autenticamos você, e o pacote é entregue como zip assinado com identidade, links, entradas de auditoria e registros de cobrança.

Como funcionam os BAAs para HIPAA?

BAA só no Business+. As salvaguardas técnicas (criptografia, audit logging, controle de acesso, backup seguro) são as mesmas do nível padrão - o BAA é papel, não feature-gating. Escreva para [email protected] para começar.

Existe opção self-host?

Sim. A camada de redirecionamento e o serviço de ingestão são open source sob Apache 2.0 com um chart Helm para Kubernetes. Os clientes executam a camada de redirecionamento na própria VPC e apontam o dashboard para o nosso control plane, ou executam todo o stack on-prem. O repositório é o mesmo código que rodamos.

Como vocês notificam mudanças de subprocessadores?

Adicionar ou substituir um subprocessador dispara um aviso de 30 dias via banner in-app e e-mail para cada admin do workspace. Os clientes podem se opor antes do início do tratamento. A lista em /legal/subprocessors está versionada em um repositório git público, então as mudanças aparecem no histórico de controle de versão.

Onde vocês publicam incidentes e uptime?

Status ao vivo, incidentes recentes e post-mortems completos em /status. Incidentes que afetam segurança também são publicados aos assinantes de [email protected] e na página do Trust Center dentro da janela de SLA definida no DPA.

Onde olhar a seguir

Cada afirmação acima tem um documento público. Se você está nos avaliando para uma decisão de procurement, comece aqui.

Sub-processadores

Com quem partilhamos dados, onde estão e porquê.

DPA

Assine antes de processar dados pessoais da EU.

Privacidade

O que recolhemos, o que não recolhemos, janelas de retenção.

Página de segurança

Arquitetura, encriptação, manuseamento de segredos, modelo de ameaças.

Status

Uptime ao vivo, incidentes recentes, post-mortems.

Contato

Tem uma questão de segurança?

[email protected] para relatórios de vulnerabilidade (PGP disponível). [email protected] para SOC 2 / ISO / DPA. Respondemos num dia útil.

Segurança

Relatos de vulnerabilidades, security.txt, chave PGP. Respondemos em um dia útil.

[email protected]

Compliance

Pedidos SOC 2 / ISO, contra-assinatura de DPA, avisos de subprocessadores, processo BAA para HIPAA.

[email protected]

Sales

Compras enterprise, questionários de segurança e pedidos de termos personalizados.

[email protected]

Prontos quando procurement estiver.

DPA pré-assinado, lista pública de subprocessadores, audit log em todos os planos. Comece grátis ou fale com vendas para acelerar o questionário de segurança.

Ver preçosFalar com vendas