Încredere, scrisă negru pe alb.
Elido este găzduit în UE în mod implicit, prietenos cu GDPR și construit cu jurnale de audit integrate din start. Tot ce urmează mai jos este ceea ce facem deja - nu ce plănuim să facem.
- Regiunea UEEURezidență în UE · implicit
Implicit pentru fiecare spațiu de lucru. Jurnalul de audit, click-urile și backup-urile rămân în regiune. Fără dependență de DPF sau Schrems II.
- US EastUSOpțional
Doar la crearea spațiului de lucru. Ireversibil. Pentru clienții rezidenți în SUA care doresc o cale a datelor prin SUA.
- Asia-PacificAPACBusiness+ · opțional
Doar la crearea spațiului de lucru. Ireversibil. Rezidență APAC pentru planurile Business și Enterprise.
Ce înseamnă „încredere” în termeni de produs
Ce înțelegem prin încredere
Fiecare pilon corespunde unui lucru concret pe care îl poți căuta în jurnalul de audit, în DPA sau în depozitul nostru public de infrastructură. Fără ambiguitate de marketing.
Rezidență în UE, implicit
Toate datele operaționale rămân în regiunea UE. Planurile Business pot fixa regiunea la US East sau Asia-Pacific. Free și Pro nu părăsesc niciodată UE.
Jurnal de audit pentru tot
Setările spațiului de lucru, schimbările de rol, rotațiile de chei, crearea de linkuri, ștergerile, exporturile. Fiecare eveniment are un cine, un când și un ce - exportabile.
Doar-citire, implicit, pentru AI
Integrările AI primesc chei cu domeniu limitat și rotative. Accesul de scriere/ștergere este o setare explicită a spațiului de lucru, auditată - nu una implicită.
BYOK și chei gestionate de client
Adu-ți propriul KMS pentru criptarea datelor stocate, pe Business. Rotește cheile fără să re-criptezi stocarea rece.
Flux anti-abuz
Fiecare link trece printr-un scanner compozit (URLhaus + Google Safe Browsing + euristici) la creare și, din nou, printr-un worker de rescanare continuă.
Transparență privind subprocesatorii
Listă completă, locație și scop. Notificăm la adăugări; există opțiuni de refuz pentru unii dintre ei.
Jurnal de audit doar-adăugare
Fiecare schimbare de stare este înregistrată.
Modul doar-adăugare este impus la nivelul bazei de date: tabelul de audit acordă rolurilor aplicației doar INSERT și SELECT, fără UPDATE sau DELETE. Nici măcar administratorii noștri nu pot rescrie istoricul fără o migrare care apare în controlul modificărilor. Retenția este de 90 de zile pe Pro și 7 ani pe Business - acoperind SOX, MiFID II și HIPAA fără nicio opțiune suplimentară.
- Identitatea actoruluiID-ul utilizatorului sau principalul de serviciu, plus IP-ul sursă și ID-ul cererii
- Diferență înainte/dupăDiferență JSON structurată a rândului modificat - nu doar o linie de text în jurnal
- Flux SIEMWebhook semnat HMAC către Splunk / Datadog / ELK, în timp real
- Rezistent la falsificareImpus prin GRANT la nivel de bază de date; fără UPDATE / DELETE pentru rolurile aplicației
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Cereri de acces ale persoanelor vizate
Drepturile persoanei vizate, prin API.
Primești o cerere din partea persoanei vizate, de la utilizatorul tău final. O transmiți prin dashboard sau API, ca o cerere de operator-în-numele-persoanei-vizate - Elido autentifică operatorul (tu), nu persoana vizată. Pachetul este o arhivă zip semnată: înregistrarea de identitate, linkurile, intrările din jurnalul de audit în care persoana vizată este actorul, chitanțele de facturare dacă persoana vizată este proprietarul spațiului de lucru. SLA standard este de 30 de zile; varianta expediată pe Business răspunde în 5 zile lucrătoare.
- Pas 1
Cererea persoanei vizate
Utilizator final → operator (tu)Persoana vizată te contactează. O autentifici în propriul tău produs, nu în Elido.
- Pas 2
Apel API DSAR
POST /v1/dsarTransmite ca cerere de operator-în-numele-persoanei, cu emailul persoanei vizate + tipul cererii (export / ștergere).
- Pas 3
Pachetul spațiului de lucru
zip semnat · JSON + CSVIdentitate, linkuri, intrări din jurnalul de audit în care persoana vizată este actorul, facturare dacă este proprietar, metadate de click anonimizate.
- Pas 4
SLA
30 de zile · 5 zile expediatSLA standard pentru fiecare plan; nivelul expediat de pe Business răspunde în 5 zile lucrătoare.
Cinci subprocesatori, listați public
Cinci furnizori. Listați public.
Lista completă, cu locația furnizorului, scopul prelucrării, categoriile de date și URL-ul de referință al DPA-ului, se află la /legal/subprocessors. Adăugarea sau înlocuirea unui subprocesator declanșează o notificare cu 30 de zile înainte, către fiecare administrator de spațiu de lucru, printr-un banner în aplicație și email, înainte de începerea prelucrării, astfel încât clienții să poată obiecta.
- Calcul și găzduireISO 27001Aplicația principală + infrastructură edgeUE · Germania + Finlanda
- Calcul edgeISO 27001 · SOC 2Fixarea regiunii pentru BusinessUE + APAC
- Livrare emailSOC 2 Type IIEmail tranzacționalUE (opțiune de refuz pentru doar-UE)
- PlățiPCI DSS L1Procesare de plăți cu cardulUE
- CDN + WAFISO 27001 · SOC 2Proxy pentru marketing (nu pe calea de redirecționare)Global · rutare prin UE
Postura de conformitate
Unde ne situăm față de cadrele despre care ne întreabă clienții.
Fără afirmații la timpul viitor. Fiecare rând spune ce este livrat astăzi, ce este în observație și ce este disponibil ca opțiune suplimentară, sub contract.
ISO 27001
Sistem de management al securității informației; domeniul de certificare acoperă întreaga platformă Elido.
SOC 2 Type II
Perioada de observație se desfășoară pe parcursul H2 2026. Raportul Type I este disponibil sub NDA începând de azi.
GDPR
Rezidență în UE, implicit, DPA pre-semnat cu SCC standard, listă publică de subprocesatori.
HIPAA-ready
BAA pe Business+, cu criptare, jurnalizare de audit și controale de acces deja implementate.
EU residency
Toate datele operaționale rămân în regiunea UE. Fără dependență de Schrems II / DPF.
Encryption
AES-256 pentru date stocate, TLS 1.3 în tranzit, rotație de chei susținută de KMS. BYOK pe Business.
Întrebări frecvente despre conformitate
Întrebările pe care ni le trimite constant departamentul de achiziții.
Semnați un DPA?
Da. DPA-ul nostru standard este pre-semnat cu SCC din UE și poate fi descărcat de la /legal/dpa. Nu este nevoie de negociere pentru termenii impliciți - planurile plătite îl primesc contrasemnat automat. Modificările personalizate sunt disponibile pe Business și Enterprise.
Câți subprocesatori folosiți?
Cinci, majoritatea bazați în UE: calcul + găzduire (UE), calcul edge pentru fixarea regiunii (UE + APAC), email tranzacțional (UE), plăți (UE) și un proxy + WAF exclusiv pentru marketing, care nu atinge niciodată calea de redirecționare. Lista completă, cu numele, locația, scopul și referința DPA, se află la /legal/subprocessors.
Fixarea regiunii este disponibilă pe fiecare plan?
Rezidența în UE este implicită pentru fiecare spațiu de lucru, pe fiecare plan, și nu se schimbă niciodată. Fixarea opțională la US East sau Asia-Pacific se face doar la nivel de spațiu de lucru, este ireversibilă la momentul creării și este limitată la planurile Business și Enterprise.
Care este timpul de răspuns pentru DSAR?
SLA standard de 30 de zile pentru fiecare plan. Business și Enterprise primesc un nivel expediat de 5 zile lucrătoare. Cererile DSAR se depun prin API sau dashboard (POST /v1/dsar) - tu autentifici operatorul, noi te autentificăm pe tine, iar pachetul se livrează ca o arhivă zip semnată, cu identitate, linkuri, intrări din jurnalul de audit și înregistrări de facturare.
Cum funcționează BAA-urile pentru HIPAA?
BAA doar pe Business+. Măsurile tehnice de protecție (criptare, jurnalizare de audit, control al accesului, backup securizat) sunt aceleași ca la nivelul implicit - BAA-ul este act birocratic, nu o restricție de funcție. Scrie la [email protected] pentru a începe.
Există o opțiune self-host?
Da. Nivelul de redirecționare și click-ingester-ul sunt open source, sub licență Apache 2.0, cu un chart Helm pentru Kubernetes. Clienții rulează nivelul de redirecționare în propriul VPC și îndreaptă dashboard-ul către planul nostru de control, sau rulează întregul stack on-premise. Depozitul conține exact codul pe care îl rulăm noi.
Cum îi notificați pe clienți despre schimbările subprocesatorilor?
Adăugarea sau înlocuirea unui subprocesator declanșează o notificare cu 30 de zile înainte, printr-un banner în aplicație și email, către fiecare administrator de spațiu de lucru. Clienții pot obiecta înainte de începerea prelucrării. Lista de la /legal/subprocessors este ținută într-un depozit git public, astfel încât schimbările apar în istoricul de control al versiunilor.
Unde publicați incidentele și timpul de funcționare?
Starea live, incidentele recente și analizele post-mortem complete se află la /status. Incidentele care afectează securitatea sunt postate și către abonații [email protected], precum și pe pagina Centrului de încredere, în intervalul SLA definit în DPA.
Unde te mai poți uita
Fiecare afirmație de mai sus are un document public asociat. Dacă ne evaluezi pentru o decizie de achiziție, începe de aici.
Cu cine partajăm date, unde se află și de ce.
Semnează înainte de a prelucra date personale din UE.
Ce colectăm, ce nu colectăm, perioadele de retenție.
Arhitectură, criptare, gestionarea secretelor, modelul de amenințări.
Timp de funcționare live, incidente recente, analize post-mortem.
Contact
Ai o întrebare despre securitate?
[email protected] pentru rapoarte de vulnerabilități (PGP disponibil). [email protected] pentru SOC 2 / ISO / DPA. Răspundem în cel mult o zi lucrătoare.
Securitate
Rapoarte de vulnerabilități, security.txt, cheie PGP. Răspundem în cel mult o zi lucrătoare.
[email protected]Conformitate
Cereri SOC 2 / ISO, contrasemnarea DPA-ului, notificări privind subprocesatorii, procesul BAA pentru HIPAA.
[email protected]Vânzări
Achiziții enterprise, chestionare de securitate și cereri pentru termeni personalizați.
[email protected]Gata oricând este și departamentul de achiziții.
DPA pre-semnat, listă publică de subprocesatori, jurnal de audit pe fiecare plan. Începe gratuit sau discută cu echipa de vânzări pentru a scurta drumul prin chestionarul de securitate.