Centrul de încredere

Încredere, scrisă negru pe alb.

Elido este găzduit în UE în mod implicit, prietenos cu GDPR și construit cu jurnale de audit integrate din start. Tot ce urmează mai jos este ceea ce facem deja - nu ce plănuim să facem.

SOC 2 Type II
ISO 27001
GDPR
Compatibil HIPAA (Business)
Rezidență în UE
Regiunea spațiului de lucru · fixată o singură dată
ireversibil la creare
  • Regiunea UEEU
    Rezidență în UE · implicit

    Implicit pentru fiecare spațiu de lucru. Jurnalul de audit, click-urile și backup-urile rămân în regiune. Fără dependență de DPF sau Schrems II.

  • US EastUS
    Opțional

    Doar la crearea spațiului de lucru. Ireversibil. Pentru clienții rezidenți în SUA care doresc o cale a datelor prin SUA.

  • Asia-PacificAPAC
    Business+ · opțional

    Doar la crearea spațiului de lucru. Ireversibil. Rezidență APAC pentru planurile Business și Enterprise.

Fără replicare inter-regională pentru date activeaudit · click-uri · backup-uri
5
Subprocesatori, listă publică
90d
Retenție audit pe Pro (7 ani pe Business)
30d
SLA DSAR (5 zile, expediat pe Business)
0
Transferuri inter-regionale pentru date active

Ce înseamnă „încredere” în termeni de produs

Ce înțelegem prin încredere

Fiecare pilon corespunde unui lucru concret pe care îl poți căuta în jurnalul de audit, în DPA sau în depozitul nostru public de infrastructură. Fără ambiguitate de marketing.

Rezidență în UE, implicit

Toate datele operaționale rămân în regiunea UE. Planurile Business pot fixa regiunea la US East sau Asia-Pacific. Free și Pro nu părăsesc niciodată UE.

Jurnal de audit pentru tot

Setările spațiului de lucru, schimbările de rol, rotațiile de chei, crearea de linkuri, ștergerile, exporturile. Fiecare eveniment are un cine, un când și un ce - exportabile.

Doar-citire, implicit, pentru AI

Integrările AI primesc chei cu domeniu limitat și rotative. Accesul de scriere/ștergere este o setare explicită a spațiului de lucru, auditată - nu una implicită.

BYOK și chei gestionate de client

Adu-ți propriul KMS pentru criptarea datelor stocate, pe Business. Rotește cheile fără să re-criptezi stocarea rece.

Flux anti-abuz

Fiecare link trece printr-un scanner compozit (URLhaus + Google Safe Browsing + euristici) la creare și, din nou, printr-un worker de rescanare continuă.

Transparență privind subprocesatorii

Listă completă, locație și scop. Notificăm la adăugări; există opțiuni de refuz pentru unii dintre ei.

Jurnal de audit doar-adăugare

Fiecare schimbare de stare este înregistrată.

Modul doar-adăugare este impus la nivelul bazei de date: tabelul de audit acordă rolurilor aplicației doar INSERT și SELECT, fără UPDATE sau DELETE. Nici măcar administratorii noștri nu pot rescrie istoricul fără o migrare care apare în controlul modificărilor. Retenția este de 90 de zile pe Pro și 7 ani pe Business - acoperind SOX, MiFID II și HIPAA fără nicio opțiune suplimentară.

  • Identitatea actorului
    ID-ul utilizatorului sau principalul de serviciu, plus IP-ul sursă și ID-ul cererii
  • Diferență înainte/după
    Diferență JSON structurată a rândului modificat - nu doar o linie de text în jurnal
  • Flux SIEM
    Webhook semnat HMAC către Splunk / Datadog / ELK, în timp real
  • Rezistent la falsificare
    Impus prin GRANT la nivel de bază de date; fără UPDATE / DELETE pentru rolurile aplicației
Prezentare de securitate →
Intrare de audit · evt_8c41a7
domain.claim · ws_8a2f
Marcaj temporal (UTC)
2026-05-08T11:42:18Z
IP sursă
203.0.113.42 · DE
Sursă
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Tip eveniment
domain.claim
Linii de diferență
+3 / -2
Retenție
7 ani (Business)
Doar-adăugare · impus prin GRANT la nivel de bază de dateTransmis în flux către SIEM

Cereri de acces ale persoanelor vizate

Drepturile persoanei vizate, prin API.

Primești o cerere din partea persoanei vizate, de la utilizatorul tău final. O transmiți prin dashboard sau API, ca o cerere de operator-în-numele-persoanei-vizate - Elido autentifică operatorul (tu), nu persoana vizată. Pachetul este o arhivă zip semnată: înregistrarea de identitate, linkurile, intrările din jurnalul de audit în care persoana vizată este actorul, chitanțele de facturare dacă persoana vizată este proprietarul spațiului de lucru. SLA standard este de 30 de zile; varianta expediată pe Business răspunde în 5 zile lucrătoare.

  1. Pas 1

    Cererea persoanei vizate

    Utilizator final → operator (tu)

    Persoana vizată te contactează. O autentifici în propriul tău produs, nu în Elido.

  2. Pas 2

    Apel API DSAR

    POST /v1/dsar

    Transmite ca cerere de operator-în-numele-persoanei, cu emailul persoanei vizate + tipul cererii (export / ștergere).

  3. Pas 3

    Pachetul spațiului de lucru

    zip semnat · JSON + CSV

    Identitate, linkuri, intrări din jurnalul de audit în care persoana vizată este actorul, facturare dacă este proprietar, metadate de click anonimizate.

  4. Pas 4

    SLA

    30 de zile · 5 zile expediat

    SLA standard pentru fiecare plan; nivelul expediat de pe Business răspunde în 5 zile lucrătoare.

Cinci subprocesatori, listați public

Cinci furnizori. Listați public.

Lista completă, cu locația furnizorului, scopul prelucrării, categoriile de date și URL-ul de referință al DPA-ului, se află la /legal/subprocessors. Adăugarea sau înlocuirea unui subprocesator declanșează o notificare cu 30 de zile înainte, către fiecare administrator de spațiu de lucru, printr-un banner în aplicație și email, înainte de începerea prelucrării, astfel încât clienții să poată obiecta.

Distribuția subprocesatorilor · fluxul datelor spațiului de lucru
5 furnizori · listă publică
Spațiul tău de lucru
ws_xxxx
Regiunea UE (implicit)
  • Calcul și găzduireISO 27001
    Aplicația principală + infrastructură edge
    UE · Germania + Finlanda
  • Calcul edgeISO 27001 · SOC 2
    Fixarea regiunii pentru Business
    UE + APAC
  • Livrare emailSOC 2 Type II
    Email tranzacțional
    UE (opțiune de refuz pentru doar-UE)
  • PlățiPCI DSS L1
    Procesare de plăți cu cardul
    UE
  • CDN + WAFISO 27001 · SOC 2
    Proxy pentru marketing (nu pe calea de redirecționare)
    Global · rutare prin UE
Adăugarea unui furnizor declanșează o notificare către client cu 30 de zile înainte/legal/subprocessors

Postura de conformitate

Unde ne situăm față de cadrele despre care ne întreabă clienții.

Fără afirmații la timpul viitor. Fiecare rând spune ce este livrat astăzi, ce este în observație și ce este disponibil ca opțiune suplimentară, sub contract.

Obținut

ISO 27001

Sistem de management al securității informației; domeniul de certificare acoperă întreaga platformă Elido.

În desfășurare

SOC 2 Type II

Perioada de observație se desfășoară pe parcursul H2 2026. Raportul Type I este disponibil sub NDA începând de azi.

Implicit

GDPR

Rezidență în UE, implicit, DPA pre-semnat cu SCC standard, listă publică de subprocesatori.

Disponibil

HIPAA-ready

BAA pe Business+, cu criptare, jurnalizare de audit și controale de acces deja implementate.

Implicit

EU residency

Toate datele operaționale rămân în regiunea UE. Fără dependență de Schrems II / DPF.

Implicit

Encryption

AES-256 pentru date stocate, TLS 1.3 în tranzit, rotație de chei susținută de KMS. BYOK pe Business.

Întrebări frecvente despre conformitate

Întrebările pe care ni le trimite constant departamentul de achiziții.

Semnați un DPA?

Da. DPA-ul nostru standard este pre-semnat cu SCC din UE și poate fi descărcat de la /legal/dpa. Nu este nevoie de negociere pentru termenii impliciți - planurile plătite îl primesc contrasemnat automat. Modificările personalizate sunt disponibile pe Business și Enterprise.

Câți subprocesatori folosiți?

Cinci, majoritatea bazați în UE: calcul + găzduire (UE), calcul edge pentru fixarea regiunii (UE + APAC), email tranzacțional (UE), plăți (UE) și un proxy + WAF exclusiv pentru marketing, care nu atinge niciodată calea de redirecționare. Lista completă, cu numele, locația, scopul și referința DPA, se află la /legal/subprocessors.

Fixarea regiunii este disponibilă pe fiecare plan?

Rezidența în UE este implicită pentru fiecare spațiu de lucru, pe fiecare plan, și nu se schimbă niciodată. Fixarea opțională la US East sau Asia-Pacific se face doar la nivel de spațiu de lucru, este ireversibilă la momentul creării și este limitată la planurile Business și Enterprise.

Care este timpul de răspuns pentru DSAR?

SLA standard de 30 de zile pentru fiecare plan. Business și Enterprise primesc un nivel expediat de 5 zile lucrătoare. Cererile DSAR se depun prin API sau dashboard (POST /v1/dsar) - tu autentifici operatorul, noi te autentificăm pe tine, iar pachetul se livrează ca o arhivă zip semnată, cu identitate, linkuri, intrări din jurnalul de audit și înregistrări de facturare.

Cum funcționează BAA-urile pentru HIPAA?

BAA doar pe Business+. Măsurile tehnice de protecție (criptare, jurnalizare de audit, control al accesului, backup securizat) sunt aceleași ca la nivelul implicit - BAA-ul este act birocratic, nu o restricție de funcție. Scrie la [email protected] pentru a începe.

Există o opțiune self-host?

Da. Nivelul de redirecționare și click-ingester-ul sunt open source, sub licență Apache 2.0, cu un chart Helm pentru Kubernetes. Clienții rulează nivelul de redirecționare în propriul VPC și îndreaptă dashboard-ul către planul nostru de control, sau rulează întregul stack on-premise. Depozitul conține exact codul pe care îl rulăm noi.

Cum îi notificați pe clienți despre schimbările subprocesatorilor?

Adăugarea sau înlocuirea unui subprocesator declanșează o notificare cu 30 de zile înainte, printr-un banner în aplicație și email, către fiecare administrator de spațiu de lucru. Clienții pot obiecta înainte de începerea prelucrării. Lista de la /legal/subprocessors este ținută într-un depozit git public, astfel încât schimbările apar în istoricul de control al versiunilor.

Unde publicați incidentele și timpul de funcționare?

Starea live, incidentele recente și analizele post-mortem complete se află la /status. Incidentele care afectează securitatea sunt postate și către abonații [email protected], precum și pe pagina Centrului de încredere, în intervalul SLA definit în DPA.

Contact

Ai o întrebare despre securitate?

[email protected] pentru rapoarte de vulnerabilități (PGP disponibil). [email protected] pentru SOC 2 / ISO / DPA. Răspundem în cel mult o zi lucrătoare.

Securitate

Rapoarte de vulnerabilități, security.txt, cheie PGP. Răspundem în cel mult o zi lucrătoare.

[email protected]

Conformitate

Cereri SOC 2 / ISO, contrasemnarea DPA-ului, notificări privind subprocesatorii, procesul BAA pentru HIPAA.

[email protected]

Vânzări

Achiziții enterprise, chestionare de securitate și cereri pentru termeni personalizați.

[email protected]

Gata oricând este și departamentul de achiziții.

DPA pre-semnat, listă publică de subprocesatori, jurnal de audit pe fiecare plan. Începe gratuit sau discută cu echipa de vânzări pentru a scurta drumul prin chestionarul de securitate.