SOC 2 и HIPAA для отслеживания ссылок: ответы для отдела закупок

Сокращатель ссылок кажется незначительной деталью при проверке закупок. Два абзаца в анкете безопасности вендора, быстрое подтверждение, галочка. Затем команда безопасности открывает диаграмму архитектуры и обнаруживает, что сокращатель находится на пути запроса каждого URL кампании, каждой ссылки в транзакционных письмах и каждого редиректа по QR-коду. Обзор из двух абзацев превращается в три недели дополнительных уточнений.

В этом посте мы ответим на вопросы, которые отделы закупок крупных компаний на самом деле задают про SOC 2 Type II и HIPAA при оценке сервиса отслеживания ссылок. Пост написан как для тех, кто заполняет анкету, так и для тех, кто проверяет ответы.

Коротко о главном#

Elido имеет сертификат ISO 27001. Получение SOC 2 Type II находится в процессе с плановым завершением во второй половине 2026 года — окно аудита открылось в феврале 2026 года, сбор доказательств продлится до июля, а отчет Type II ожидается к концу четвертого квартала. HIPAA поддерживается на планах Business и Enterprise при наличии подписанного Business Associate Agreement (BAA); базовые контроли безопасности те же, что используются для SOC 2.

Соответствие GDPR рассматривается отдельно от SOC 2 и HIPAA и описано в базовой статье GDPR для сокращателей ссылок. Этот пост сфокусирован на фреймворках подтверждения соответствия стандартам US, которые определяют процесс проверки закупок в крупных компаниях.

Что на самом деле говорит SOC 2 о сокращателе ссылок#

SOC 2 — это отчет, а не сертификация. Независимый аудитор (фирма CPA в US или признанный орган аудита в EU) проверяет сервисную организацию на соответствие Trust Services Criteria AICPA и выносит заключение. Type I подтверждает, что контроли спроектированы надлежащим образом на определенный момент времени; Type II подтверждает, что они эффективно работали в течение периода — обычно от шести до двенадцати месяцев.

Критерии Trust Services делятся на пять категорий. Каждый отчет SOC 2 включает Security; остальные четыре (Availability, Processing Integrity, Confidentiality, Privacy) включаются по выбору сервисной организации в зависимости от потребностей клиентов.

Security — категория, включенная всегда#

Критерии Security охватывают контроль доступа, управление изменениями, мониторинг, реагирование на инциденты и оценку рисков. Для сокращателя ссылок наиболее важны следующие контроли:

CC6.1 Logical access: кто может создавать, изменять или удалять короткую ссылку, а также как этот доступ предоставляется и отзывается. Аудит проследит путь конкретных пользователей от записи HR о приеме на работу через IdP (Ory Kratos в Elido) до назначения ролей в рабочем пространстве и проверит, был ли доступ закрыт в течение установленного политикой окна после увольнения.
CC6.6 External access: как внешние пользователи (владельцы кастомных доменов, потребители API, партнерские интеграции) проходят аутентификацию и какие уровни доступа (scopes) они получают. Модель токенов API с ключами идемпотентности и ограничением области действия рамками рабочего пространства — это именно тот артефакт, который захочет увидеть аудитор.
CC7.2 Monitoring: что логируется, куда уходят логи и как выявляются аномалии. Для сервиса редиректов релевантными сигналами являются необычный объем редиректов в рабочем пространстве, срабатывание лимитов (rate-limit) на edge и ошибки аутентификации.
CC8.1 Change management: изменения кода от pull request до развертывания с разделением обязанностей между инженером, написавшим код, и ревьюером, утвердившим его. Аудит возьмет выборку pull requests и изучит записи об утверждении и деплое.

Критерии Security также требуют наличия документированного плана реагирования на инциденты. Для сервиса редиректов актуальными инцидентами являются несанкционированное создание ссылок, подмена адреса назначения редиректа и эксфильтрация данных через эндпоинты экспорта аналитики. Runbook по адресу /docs/runbooks/ содержит сценарии для каждого случая.

Availability — вторая по популярности категория#

Availability охватывает обязательства по аптайму, планирование мощностей и аварийное восстановление. Для сокращателя ссылок релевантными артефактами являются:

Документированная цель уровня обслуживания (SLO). Опубликованный SLO Elido составляет 99.95% доступности редиректов в квартал, с отдельными SLO для панели управления (99.9%) и API аналитики (99.5%).
Доказательства тестирования мощностей. Сервис edge-редиректов проходит непрерывные нагрузочные тесты в staging; аудит ищет подтверждения того, что границы производительности в production известны и отслеживаются на соответствие SLO.
Доказательства резервного копирования и восстановления. Postgres работает в режиме Patroni HA с возможностью восстановления на любой момент времени; ClickHouse ежедневно экспортирует данные в объектное хранилище; аудиту требуется лог учебного восстановления, подтверждающий достижимость целевого времени восстановления.
Документация по многорегиональному отказоустойчивому переключению (failover). Три POP (Frankfurt, Ashburn, Singapore) работают в режиме active-active для редиректов; аудитор изучит runbook по отказоустойчивости и post-mortem последнего регионального инцидента.

Confidentiality и Privacy — включаются выборочно#

Confidentiality и Privacy добавляют категории, которые пересекаются с требованиями GDPR. Большинство корпоративных клиентов в EU предпочитают решать вопросы конфиденциальности через документацию GDPR (соглашения об обработке данных по Article 28, оценки воздействия передачи данных, публичное DPA), а не через SOC 2 Privacy. Текущий объем аудита SOC 2 в Elido включает Security, Availability и Confidentiality. Privacy рассматривается отдельно через пакет документации GDPR на странице /trust.

Причина разделения: SOC 2 Privacy опирается на Generally Accepted Privacy Principles AICPA, которые были разработаны для фреймворков приватности в стиле US. GDPR — это отдельная правовая база со своими контролями. Объединение их в одном подтверждении обычно ослабляет оба подхода.

Что на самом деле говорит HIPAA о сокращателе ссылок#

HIPAA — закон Health Insurance Portability and Accountability Act, обновленный HITECH и Omnibus Rule 2013 года, — регулирует обращение с защищенной медицинской информацией (PHI) субъектами (провайдерами медицинских услуг, страховыми компаниями, расчетными центрами) и их деловыми партнерами (Business Associates).

Сокращатель ссылок становится Business Associate, когда короткая ссылка или данные за ней содержат PHI. Интересный вопрос заключается в том, происходит ли это когда-либо, и ответ на него более тонкий, чем предполагают большинство проверок закупок.

Когда PHI проходит через редирект#

Сама короткая ссылка — s.elido.me/abc123 — не является PHI. URL назначения, метаданные рабочего пространства и теги кампании также в общем случае не являются PHI.

Вопрос PHI возникает в трех конкретных случаях:

URL назначения, содержащие идентификаторы: короткая ссылка, перенаправляющая на https://provider.example/patient/12345/results, содержит идентификатор пациента в пути URL. Этот URL назначения сохраняется сокращателем и, следовательно, является PHI в строгом смысле — даже если никто в сервисе сокращения ссылок не интерпретирует этот идентификатор.
Кастомные параметры, добавляемые в момент клика: если редирект добавляет идентификатор сессии или пользователя в качестве параметра URL, и этот идентификатор позже можно связать с PHI, событие клика становится частью цепочки PHI.
События клика с данными реферера: событие клика включает URL реферера. Если реферер содержит идентификатор пациента (например, страница портала пациента с глубокой ссылкой, которая направила пользователя на сокращенную ссылку), поле реферера является PHI.

Большинство маркетинговых кейсов в здравоохранении не генерируют PHI через эти каналы. Маркетинговый отдел системы здравоохранения, проводящий кампании по вакцинации от гриппа, велнес-мероприятиям или общему контенту о здоровье, создает редиректы с адресами назначения и реферерами без PHI. Для такой рабочей нагрузки BAA является мерой предосторожности, а не архитектурной необходимостью.

Для рабочих нагрузок, которые действительно проходят через PHI-адреса — порталы пациентов, ссылки для подтверждения записи, URL выдачи результатов анализов — требуется BAA и наличие описанных ниже архитектурных контролей на стороне сокращателя.

HIPAA Security Rule в применении к сервису редиректов#

Правило безопасности HIPAA Security Rule (45 CFR Part 164, Subpart C) предписывает административные, физические и технические меры защиты. Для сервиса редиректов, обрабатывающего PHI в адресах назначения:

Access controls (164.312(a)): уникальная идентификация пользователя, автоматический выход из системы, шифрование ePHI при передаче и хранении. Elido применяет уникальные идентификаторы пользователей, назначенные IdP, настраиваемый таймаут сессии для каждого рабочего пространства, TLS 1.3 на всех внешних эндпоинтах и конвертное шифрование AES-256 для соответствующих хранилищ данных.
Audit controls (164.312(b)): запись и изучение активности в системах, которые содержат или используют ePHI. Elido отправляет логи аудита создания ссылок, их модификации, изменения адресов назначения и экспорта аналитики в защищенное от несанкционированного доступа хранилище, работающее только на добавление (append-only). Срок хранения логов аудита по умолчанию составляет 24 месяца на планах Business+.
Integrity controls (164.312(c)): защита ePHI от ненадлежащего изменения. URL назначения хранятся с историей на уровне строк; любая модификация логируется с указанием личности исполнителя и метки времени, а предыдущее значение остается в таблице истории.
Transmission security (164.312(e)): защита ePHI при передаче через открытые сети. TLS 1.3 на всех эндпоинтах редиректов; HSTS preload; возможность пиннинга сертификатов для кастомных доменов.

Административные и физические меры защиты (обучение персонала, политика санкций, контроль доступа в помещения) во многом пересекаются с контролями SOC 2 Security. Одно и то же доказательство подтверждает оба аудита, поэтому мы проводим их по единому графику сбора доказательств.

Что BAA покрывает, а что нет#

Business Associate Agreement — это контракт в соответствии с HIPAA 164.504(e). Он обязывает Business Associate соблюдать конкретные меры защиты, сроки уведомления об утечках и обязательства по передаче требований субподрядчикам. Он не меняет базовую архитектуру; он обязывает вендора эксплуатировать архитектуру в соответствии с требованиями HIPAA.

Стандартное BAA Elido, доступное на планах Business и Enterprise, охватывает:

Четыре категории мер защиты HIPAA Security Rule, применяемые ко всем данным, которые клиент направляет через сервис редиректов.
Уведомление об утечке данных в течение 60 дней после обнаружения, с подробными сроками реагирования на инциденты, указанными в BAA и соответствующем runbook по адресу /docs/runbooks/incident-response.
Передача обязательств субподрядчикам (Hetzner, OVH, Postmark, Cloudflare, monobank Plata) в рамках их собственных BAA, где это применимо. Текущий список субпроцессоров находится на странице /legal/subprocessors — это тот же список, который используется для документации по Article 28 GDPR.
Возврат или уничтожение PHI при прекращении действия контракта с 30-дневным окном для экспорта данных клиентом перед их удалением.

Чего BAA не делает: оно не делает тарифный план, не поддерживающий HIPAA, пригодным для этого. Бесплатные и Pro планы не включают подписание BAA. Инфраструктура одинакова на всех платных планах; юридические обязательства — нет.

Анкета для закупок — ответы, которые можно скопировать#

Большинство анкет для корпоративных закупок содержат один и тот же набор вопросов. Ниже приведены ответы, которые мы предоставляем напрямую, со ссылками на артефакты.

Есть ли у вас действующий отчет SOC 2 Type II? Сертифицированы по ISO 27001; аудит SOC 2 Type II в процессе, получение отчета Type II запланировано на четвертый квартал 2026 года. Bridge letters и действующий сертификат ISO 27001 доступны под NDA на странице /trust. SOC 2 Type I был завершен в ноябре 2025 года; отчет Type I также доступен под NDA.

Подпишете ли вы наше BAA? Мы подписываем наше стандартное BAA на планах Business и Enterprise. BAA на бланке клиента рассматриваются на планах Enterprise; принимаются распространенные модификации (расширенные окна уведомления об утечках, дополнительные подтверждения мер защиты, контроля субподрядчиков, указанные клиентом). Свяжитесь с [email protected] для получения стандартного текста или начала проверки вашего варианта.

Где хранятся данные? Для клиентов из EU по умолчанию используется Frankfurt (Hetzner FRA1, регион EU). Клиенты из US могут выбрать Ashburn (Hetzner ASH). Singapore (OVH SGP) доступен для клиентов из APAC. Репликация между регионами включается по желанию для каждого рабочего пространства; без нее все данные клиента остаются в выбранном регионе. Пост про хранение данных подробно описывает архитектуру резидентности.

Какое шифрование используется? TLS 1.3 при передаче на всех внешних эндпоинтах (редирект, API, панель управления, аналитика). Конвертное шифрование AES-256 при хранении для основной базы Postgres, кластера ClickHouse и объектного хранилища. На планах Enterprise поддерживается использование ключей клиента через интеграцию BYO KMS.

Как осуществляется предоставление и отзыв доступа? Single sign-on через SAML или OIDC с помощью WorkOS; использование SCIM для управления жизненным циклом пользователей. Контроль доступа на основе ролей (RBAC) на уровне рабочего пространства с возможностью создания кастомных ролей на плане Enterprise. Пост про SCIM и SSO описывает интеграцию и контроли жизненного цикла.

Как выглядит ваш процесс реагирования на инциденты? Документированный runbook с SLA 60 минут на первичный ответ, SLA 24 часа на техническое обновление и ротацией дежурных руководителей инцидентов. Уведомления об утечках следуют срокам, указанным в наших BAA и DPA. Полный индекс runbooks находится по адресу /docs/runbooks/.

Кто ваши субпроцессоры? Пять указанных субпроцессоров: Hetzner (инфраструктура, EU), OVH (инфраструктура, APAC), Postmark (транзакционные письма), Cloudflare (защита от DDoS на публичных маркетинговых поверхностях; не используется в плоскости данных редиректов), monobank Plata (биллинг для клиентов из EU). Полный список с контактными данными находится по адресу /legal/subprocessors.

Как долго вы храните данные клиентов? События кликов хранятся в течение срока действия контракта плюс 30-дневное окно для экспорта при расторжении, затем удаляются. Конфигурация ссылок хранится в течение срока действия контракта плюс окно для экспорта. Агрегированные метрики (количество ссылок на рабочее пространство, количество кликов в день, без PII) сохраняются после окончания контракта для целей биллинга и внутреннего планирования мощностей.

Файл с доказательствами, который нужен аудитору#

Если вы корпоративный клиент, проводящий собственный аудит SOC 2, и Elido является вендором в рамках проверки, ваш аудитор, скорее всего, запросит доказательства по контролям CC9.2 (управление вендорами) и CC1.4 (обязательства). Файл вендора должен содержать:

Наш действующий сертификат ISO 27001 (обновляется ежегодно).
Наш отчет SOC 2 Type I и bridge letter для SOC 2 Type II (доступны под NDA).
Наши подписанные DPA и BAA, где это применимо.
Наш список субпроцессоров и даты любых изменений.
Снимок нашей публичной страницы безопасности на /trust и последнюю версию политики конфиденциальности.
Нашу историю уведомлений об утечках (публичная история пуста — внутренний лог проверяется в процессе закупки под NDA).

Файл с доказательствами формируется один раз для каждого взаимодействия с клиентом и обновляется ежегодно. Список выше является стандартным набором; дополнения по запросу аудитора рассматриваются в индивидуальном порядке.

Что на самом деле сложно#

Есть две вещи, которые действительно сложны в SOC 2 и HIPAA для сервиса редиректов, и мы упоминаем их, потому что в разговорах о закупках они рано или поздно всплывают.

Доказательства непрерывного мониторинга для edge POP — задача нетривиальная. Плоскость данных редиректов обрабатывает огромные объемы трафика в трех регионах, и аудитор хочет видеть доказательства того, что мониторинг работает непрерывно, а не просто делает выборки. Текущий подход использует синтетические редиректы из каждого региона каждую минуту, причем состояние алертов фиксируется в защищенном от изменений логе. Стоимость такого мониторинга вполне реальна, а его дизайн прошел через три итерации, чтобы добиться правильного соотношения сигнала и шума. Руководство по наблюдаемости в документации описывает текущую конфигурацию; соответствующее ADR находится по адресу /docs/adr/0024-sla-monitoring.md.

Сроки уведомления об утечках в HIPAA жестче, чем в GDPR. HIPAA требует уведомления пострадавших лиц в течение 60 дней после обнаружения; для утечек, затрагивающих более 500 человек, требуются дополнительные уведомления в HHS и СМИ. GDPR дает 72 часа на уведомление надзорного органа, но срок уведомления пострадавших лиц определяется как «без неоправданной задержки». При утечке в нескольких юрисдикциях сроки HIPAA часто становятся определяющими. Мы по умолчанию придерживаемся сроков HIPAA для любых инцидентов, затрагивающих данные клиентов, маршрутизируемые через US, и наш runbook по реагированию на инциденты отражает это.