Сокращатель ссылок кажется незначительной деталью при проверке закупок. Два абзаца в анкете безопасности вендора, быстрое подтверждение, галочка. Затем команда безопасности открывает диаграмму архитектуры и обнаруживает, что сокращатель находится на пути запроса каждого URL кампании, каждой ссылки в транзакционных письмах и каждого редиректа по QR-коду. Обзор из двух абзацев превращается в три недели дополнительных уточнений.
В этом посте мы ответим на вопросы, которые отделы закупок крупных компаний на самом деле задают про SOC 2 Type II и HIPAA при оценке сервиса отслеживания ссылок. Пост написан как для тех, кто заполняет анкету, так и для тех, кто проверяет ответы.
Коротко о главном
Elido имеет сертификат ISO 27001. Получение SOC 2 Type II находится в процессе с плановым завершением во второй половине 2026 года - окно аудита открылось в феврале 2026 года, сбор доказательств продлится до июля, а отчет Type II ожидается к концу четвертого квартала. HIPAA поддерживается на планах Business и Enterprise при наличии подписанного Business Associate Agreement (BAA); базовые контроли безопасности те же, что используются для SOC 2.
Соответствие GDPR рассматривается отдельно от SOC 2 и HIPAA и описано в базовой статье GDPR для сокращателей ссылок. Этот пост сфокусирован на фреймворках подтверждения соответствия стандартам US, которые определяют процесс проверки закупок в крупных компаниях.
Что на самом деле говорит SOC 2 о сокращателе ссылок
SOC 2 - это отчет, а не сертификация. Независимый аудитор (фирма CPA в US или признанный орган аудита в EU) проверяет сервисную организацию на соответствие Trust Services Criteria AICPA и выносит заключение. Type I подтверждает, что контроли спроектированы надлежащим образом на определенный момент времени; Type II подтверждает, что они эффективно работали в течение периода - обычно от шести до двенадцати месяцев.
Критерии Trust Services делятся на пять категорий. Каждый отчет SOC 2 включает Security; остальные четыре (Availability, Processing Integrity, Confidentiality, Privacy) включаются по выбору сервисной организации в зависимости от потребностей клиентов.
Security - категория, включенная всегда
Критерии Security охватывают контроль доступа, управление изменениями, мониторинг, реагирование на инциденты и оценку рисков. Для сокращателя ссылок наиболее важны следующие контроли:
- CC6.1 Logical access: кто может создавать, изменять или удалять короткую ссылку, а также как этот доступ предоставляется и отзывается. Аудит проследит путь конкретных пользователей от записи HR о приеме на работу через IdP (наш уровень аутентификации в Elido) до назначения ролей в рабочем пространстве и проверит, был ли доступ закрыт в течение установленного политикой окна после увольнения.
- CC6.6 External access: как внешние пользователи (владельцы кастомных доменов, потребители API, партнерские интеграции) проходят аутентификацию и какие уровни доступа (scopes) они получают. Модель токенов API с ключами идемпотентности и ограничением области действия рамками рабочего пространства - это именно тот артефакт, который захочет увидеть аудитор.
- CC7.2 Monitoring: что логируется, куда уходят логи и как выявляются аномалии. Для сервиса редиректов релевантными сигналами являются необычный объем редиректов в рабочем пространстве, срабатывание лимитов (rate-limit) на edge и ошибки аутентификации.
- CC8.1 Change management: изменения кода от pull request до развертывания с разделением обязанностей между инженером, написавшим код, и ревьюером, утвердившим его. Аудит возьмет выборку pull requests и изучит записи об утверждении и деплое.
Критерии Security также требуют наличия документированного плана реагирования на инциденты. Для сервиса редиректов актуальными инцидентами являются несанкционированное создание ссылок, подмена адреса назначения редиректа и эксфильтрация данных через эндпоинты экспорта аналитики. Runbook по адресу /docs/runbooks/ содержит сценарии для каждого случая.
Availability - вторая по популярности категория
Availability охватывает обязательства по аптайму, планирование мощностей и аварийное восстановление. Для сокращателя ссылок релевантными артефактами являются:
- Документированная цель уровня обслуживания (SLO). Опубликованный SLO Elido составляет 99.95% доступности редиректов в квартал, с отдельными SLO для панели управления (99.9%) и API аналитики (99.5%).
- Доказательства тестирования мощностей. Сервис edge-редиректов проходит непрерывные нагрузочные тесты в staging; аудит ищет подтверждения того, что границы производительности в production известны и отслеживаются на соответствие SLO.
- Доказательства резервного копирования и восстановления. Наша база данных работает с высокодоступными репликами и возможностью восстановления на любой момент времени; аналитическое хранилище ежедневно экспортирует данные в объектное хранилище; аудиту требуется лог учебного восстановления, подтверждающий достижимость целевого времени восстановления.
- Документация по многорегиональному отказоустойчивому переключению (failover). Три POP (регион ЕС, восток США, Азиатско-Тихоокеанский регион) работают в режиме active-active для редиректов; аудитор изучит runbook по отказоустойчивости и post-mortem последнего регионального инцидента.
Confidentiality и Privacy - включаются выборочно
Confidentiality и Privacy добавляют категории, которые пересекаются с требованиями GDPR. Большинство корпоративных клиентов в EU предпочитают решать вопросы конфиденциальности через документацию GDPR (соглашения об обработке данных по Article 28, оценки воздействия передачи данных, публичное DPA), а не через SOC 2 Privacy. Текущий объем аудита SOC 2 в Elido включает Security, Availability и Confidentiality. Privacy рассматривается отдельно через пакет документации GDPR на странице /trust.
Причина разделения: SOC 2 Privacy опирается на Generally Accepted Privacy Principles AICPA, которые были разработаны для фреймворков приватности в стиле US. GDPR - это отдельная правовая база со своими контролями. Объединение их в одном подтверждении обычно ослабляет оба подхода.
Что на самом деле говорит HIPAA о сокращателе ссылок
HIPAA - закон Health Insurance Portability and Accountability Act, обновленный HITECH и Omnibus Rule 2013 года, - регулирует обращение с защищенной медицинской информацией (PHI) субъектами (провайдерами медицинских услуг, страховыми компаниями, расчетными центрами) и их деловыми партнерами (Business Associates).
Сокращатель ссылок становится Business Associate, когда короткая ссылка или данные за ней содержат PHI. Интересный вопрос заключается в том, происходит ли это когда-либо, и ответ на него более тонкий, чем предполагают большинство проверок закупок.
Когда PHI проходит через редирект
Сама короткая ссылка - s.elido.me/abc123 - не является PHI. URL назначения, метаданные рабочего пространства и теги кампании также в общем случае не являются PHI.
Вопрос PHI возникает в трех конкретных случаях:
- URL назначения, содержащие идентификаторы: короткая ссылка, перенаправляющая на
https://provider.example/patient/12345/results, содержит идентификатор пациента в пути URL. Этот URL назначения сохраняется сокращателем и, следовательно, является PHI в строгом смысле - даже если никто в сервисе сокращения ссылок не интерпретирует этот идентификатор. - Кастомные параметры, добавляемые в момент клика: если редирект добавляет идентификатор сессии или пользователя в качестве параметра URL, и этот идентификатор позже можно связать с PHI, событие клика становится частью цепочки PHI.
- События клика с данными реферера: событие клика включает URL реферера. Если реферер содержит идентификатор пациента (например, страница портала пациента с глубокой ссылкой, которая направила пользователя на сокращенную ссылку), поле реферера является PHI.
Большинство маркетинговых кейсов в здравоохранении не генерируют PHI через эти каналы. Маркетинговый отдел системы здравоохранения, проводящий кампании по вакцинации от гриппа, велнес-мероприятиям или общему контенту о здоровье, создает редиректы с адресами назначения и реферерами без PHI. Для такой рабочей нагрузки BAA является мерой предосторожности, а не архитектурной необходимостью.
Для рабочих нагрузок, которые действительно проходят через PHI-адреса - порталы пациентов, ссылки для подтверждения записи, URL выдачи результатов анализов - требуется BAA и наличие описанных ниже архитектурных контролей на стороне сокращателя.
HIPAA Security Rule в применении к сервису редиректов
Правило безопасности HIPAA Security Rule (45 CFR Part 164, Subpart C) предписывает административные, физические и технические меры защиты. Для сервиса редиректов, обрабатывающего PHI в адресах назначения:
- Access controls (164.312(a)): уникальная идентификация пользователя, автоматический выход из системы, шифрование ePHI при передаче и хранении. Elido применяет уникальные идентификаторы пользователей, назначенные IdP, настраиваемый таймаут сессии для каждого рабочего пространства, TLS 1.3 на всех внешних эндпоинтах и конвертное шифрование AES-256 для соответствующих хранилищ данных.
- Audit controls (164.312(b)): запись и изучение активности в системах, которые содержат или используют ePHI. Elido отправляет логи аудита создания ссылок, их модификации, изменения адресов назначения и экспорта аналитики в защищенное от несанкционированного доступа хранилище, работающее только на добавление (append-only). Срок хранения логов аудита по умолчанию составляет 24 месяца на планах Business+.
- Integrity controls (164.312(c)): защита ePHI от ненадлежащего изменения. URL назначения хранятся с историей на уровне строк; любая модификация логируется с указанием личности исполнителя и метки времени, а предыдущее значение остается в таблице истории.
- Transmission security (164.312(e)): защита ePHI при передаче через открытые сети. TLS 1.3 на всех эндпоинтах редиректов; HSTS preload; возможность пиннинга сертификатов для кастомных доменов.
Административные и физические меры защиты (обучение персонала, политика санкций, контроль доступа в помещения) во многом пересекаются с контролями SOC 2 Security. Одно и то же доказательство подтверждает оба аудита, поэтому мы проводим их по единому графику сбора доказательств.
Что BAA покрывает, а что нет
Business Associate Agreement - это контракт в соответствии с HIPAA 164.504(e). Он обязывает Business Associate соблюдать конкретные меры защиты, сроки уведомления об утечках и обязательства по передаче требований субподрядчикам. Он не меняет базовую архитектуру; он обязывает вендора эксплуатировать архитектуру в соответствии с требованиями HIPAA.
Стандартное BAA Elido, доступное на планах Business и Enterprise, охватывает:
- Четыре категории мер защиты HIPAA Security Rule, применяемые ко всем данным, которые клиент направляет через сервис редиректов.
- Уведомление об утечке данных в течение 60 дней после обнаружения, с подробными сроками реагирования на инциденты, указанными в BAA и соответствующем runbook по адресу
/docs/runbooks/incident-response. - Передача обязательств названным субпроцессорам (инфраструктура в ЕС, доставка email, защита от DDoS и платёжные провайдеры) в рамках их собственных BAA, где это применимо. Текущий список субпроцессоров находится на странице
/legal/subprocessors- это тот же список, который используется для документации по Article 28 GDPR. - Возврат или уничтожение PHI при прекращении действия контракта с 30-дневным окном для экспорта данных клиентом перед их удалением.
Чего BAA не делает: оно не делает тарифный план, не поддерживающий HIPAA, пригодным для этого. Бесплатные и Pro планы не включают подписание BAA. Инфраструктура одинакова на всех платных планах; юридические обязательства - нет.
Анкета для закупок - ответы, которые можно скопировать
Большинство анкет для корпоративных закупок содержат один и тот же набор вопросов. Ниже приведены ответы, которые мы предоставляем напрямую, со ссылками на артефакты.
Есть ли у вас действующий отчет SOC 2 Type II? Сертифицированы по ISO 27001; аудит SOC 2 Type II в процессе, получение отчета Type II запланировано на четвертый квартал 2026 года. Bridge letters и действующий сертификат ISO 27001 доступны под NDA на странице /trust. SOC 2 Type I был завершен в ноябре 2025 года; отчет Type I также доступен под NDA.
Подпишете ли вы наше BAA? Мы подписываем наше стандартное BAA на планах Business и Enterprise. BAA на бланке клиента рассматриваются на планах Enterprise; принимаются распространенные модификации (расширенные окна уведомления об утечках, дополнительные подтверждения мер защиты, контроля субподрядчиков, указанные клиентом). Свяжитесь с [email protected] для получения стандартного текста или начала проверки вашего варианта.
Где хранятся данные? Для клиентов из EU по умолчанию используется регион ЕС. Клиенты из US могут выбрать восток США. Азиатско-Тихоокеанский регион доступен для клиентов из APAC. Репликация между регионами включается по желанию для каждого рабочего пространства; без нее все данные клиента остаются в выбранном регионе. Пост про хранение данных подробно описывает архитектуру резидентности.
Какое шифрование используется? TLS 1.3 при передаче на всех внешних эндпоинтах (редирект, API, панель управления, аналитика). Конвертное шифрование AES-256 при хранении для основной базы данных, аналитического хранилища и объектного хранилища. На планах Enterprise поддерживается использование ключей клиента через интеграцию BYO KMS.
Как осуществляется предоставление и отзыв доступа? Single sign-on через SAML или OIDC с помощью WorkOS; использование SCIM для управления жизненным циклом пользователей. Контроль доступа на основе ролей (RBAC) на уровне рабочего пространства с возможностью создания кастомных ролей на плане Enterprise. Пост про SCIM и SSO описывает интеграцию и контроли жизненного цикла.
Как выглядит ваш процесс реагирования на инциденты? Документированный runbook с SLA 60 минут на первичный ответ, SLA 24 часа на техническое обновление и ротацией дежурных руководителей инцидентов. Уведомления об утечках следуют срокам, указанным в наших BAA и DPA. Полный индекс runbooks находится по адресу /docs/runbooks/.
Кто ваши субпроцессоры? Пять названных субпроцессоров, покрывающих инфраструктуру в ЕС, инфраструктуру в APAC, транзакционные письма, защиту от DDoS (на публичных маркетинговых поверхностях; не используется в плоскости данных редиректов) и биллинг для клиентов из EU. Полный список с названиями вендоров и контактными данными находится по адресу /legal/subprocessors.
Как долго вы храните данные клиентов? События кликов хранятся в течение срока действия контракта плюс 30-дневное окно для экспорта при расторжении, затем удаляются. Конфигурация ссылок хранится в течение срока действия контракта плюс окно для экспорта. Агрегированные метрики (количество ссылок на рабочее пространство, количество кликов в день, без PII) сохраняются после окончания контракта для целей биллинга и внутреннего планирования мощностей.
Файл с доказательствами, который нужен аудитору
Если вы корпоративный клиент, проводящий собственный аудит SOC 2, и Elido является вендором в рамках проверки, ваш аудитор, скорее всего, запросит доказательства по контролям CC9.2 (управление вендорами) и CC1.4 (обязательства). Файл вендора должен содержать:
- Наш действующий сертификат ISO 27001 (обновляется ежегодно).
- Наш отчет SOC 2 Type I и bridge letter для SOC 2 Type II (доступны под NDA).
- Наши подписанные DPA и BAA, где это применимо.
- Наш список субпроцессоров и даты любых изменений.
- Снимок нашей публичной страницы безопасности на
/trustи последнюю версию политики конфиденциальности. - Нашу историю уведомлений об утечках (публичная история пуста - внутренний лог проверяется в процессе закупки под NDA).
Файл с доказательствами формируется один раз для каждого взаимодействия с клиентом и обновляется ежегодно. Список выше является стандартным набором; дополнения по запросу аудитора рассматриваются в индивидуальном порядке.
Что на самом деле сложно
Есть две вещи, которые действительно сложны в SOC 2 и HIPAA для сервиса редиректов, и мы упоминаем их, потому что в разговорах о закупках они рано или поздно всплывают.
Доказательства непрерывного мониторинга для edge POP - задача нетривиальная. Плоскость данных редиректов обрабатывает огромные объемы трафика в трех регионах, и аудитор хочет видеть доказательства того, что мониторинг работает непрерывно, а не просто делает выборки. Текущий подход использует синтетические редиректы из каждого региона каждую минуту, причем состояние алертов фиксируется в защищенном от изменений логе. Стоимость такого мониторинга вполне реальна, а его дизайн прошел через три итерации, чтобы добиться правильного соотношения сигнала и шума. Руководство по наблюдаемости в документации описывает текущую конфигурацию; соответствующее ADR находится по адресу /docs/adr/0024-sla-monitoring.md.
Сроки уведомления об утечках в HIPAA жестче, чем в GDPR. HIPAA требует уведомления пострадавших лиц в течение 60 дней после обнаружения; для утечек, затрагивающих более 500 человек, требуются дополнительные уведомления в HHS и СМИ. GDPR дает 72 часа на уведомление надзорного органа, но срок уведомления пострадавших лиц определяется как «без неоправданной задержки». При утечке в нескольких юрисдикциях сроки HIPAA часто становятся определяющими. Мы по умолчанию придерживаемся сроков HIPAA для любых инцидентов, затрагивающих данные клиентов, маршрутизируемые через US, и наш runbook по реагированию на инциденты отражает это.
Рекомендуемое чтение
- GDPR для сокращателей ссылок: что на самом деле хочет видеть ваш DPO - база для кластера комплаенса.
- Резидентность данных в EU для маркетинговой аналитики - архитектура резидентности и варианты пиннинга.
- Schrems II и ваши пиксели отслеживания - контекст оценки воздействия передачи данных.
- SCIM и SSO для маркетинговых инструментов - контроли доступа, соответствующие CC6.1.
- Атрибуция кликов после Safari ITP - пост о браузерных ограничениях приватности.
- Операционное руководство: гид по доказательствам SOC 2 в документации - как сбор доказательств происходит на практике.
- Продуктовая страница:
/solutions/complianceи/solutions/enterpriseдля сопоставления функций и планов.
Попробуйте Elido
Вставьте URL - получите короткую ссылку
Без регистрации. Ссылка живёт 30 дней. Зарегистрируйтесь, чтобы оставить её навсегда.
Бесплатно, без регистрации · 2 в день