Kısaltıcı DPO'nuzun karşı çıkmayacağı.
DSAR dönüş süresini, SOC 2 kanıtının tazeliğini ve bir satış döngüsünün kaç tedarikçi sorusuna mal olduğunu ölçüyorsunuz. Elido, DPO'nuzun karşı çıkmayacağı kısaltıcıdır.
- Her çalışma alanı için AB-varsayılan bölge
- Veritabanı GRANT katmanında uygulanan sadece-ekleme denetim günlüğü
- 5 alt işlemci, hepsi konum + amaçla herkese açık listelenmiş
- 30 günlük SLA'lı DSAR API'si (Business'ta 5 günlük hızlandırılmış)
- EU regioneu · primary originEU residency · default
Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.
- US Eastus-east · opt-in regionOpt-in
Workspace creation only. Irreversible. For US-resident customers who want US data path.
- Asia-Pacificapac · opt-in regionBusiness+ · opt-in
Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.
Sadece-ekleme denetim günlüğü
Her durum değişikliği. Aktör, IP, öncesi/sonrası farkı, kaynak.
Sadece-ekleme veritabanı katmanında uygulanır: denetim tablosu, uygulama rollerine yalnızca INSERT ve SELECT verir, UPDATE veya DELETE vermez. Kendi yöneticilerimiz bile değişiklik kontrolünde görünen bir geçiş olmadan geçmişi yeniden yazamaz. Saklama süresi Pro'da 90 gün ve Business'ta 7 yıldır - eklenti olmadan SOX, MiFID II ve HIPAA'yı kapsar.
- Aktör kimliğiKullanıcı kimliği veya servis asıl kullanıcısı, artı kaynak IP ve istek kimliği
- Öncesi/sonrası farkıDeğişen satırın yapılandırılmış JSON farkı - sadece bir metin günlük satırı değil
- SIEM firehose'uSplunk / Datadog / ELK'a gerçek zamanlı HMAC imzalı webhook
- Kurcalamaya karşı kanıtVeritabanı GRANT uygulaması; uygulama rolleri için UPDATE / DELETE yok
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Veri sahibi erişim talepleri
Destek bileti değil, DSAR. API çağrısı, imzalı paket, SLA saati.
Son kullanıcınızdan bir özne talebi alırsınız. Bunu panel veya API üzerinden özne adına kontrolör talebi olarak iletirsiniz - Elido özneyi değil kontrolörü (siz) kimlik doğrular. Paket imzalı bir zip'tir: kimlik kaydı, linkler, öznenin aktör olduğu denetim günlüğü girdileri, özne bir çalışma alanı sahibiyse fatura makbuzları. Standart SLA 30 gündür; Business hızlandırılmış 5 iş günü içinde döner.
- Step 1
Subject request
End user → controller (you)Subject contacts you. You authenticate them in your own product, not in Elido.
- Step 2
DSAR API call
POST /v1/dsarForward as a controller-on-behalf request with subject email + request type (export / erase).
- Step 3
Workspace bundle
signed zip · JSON + CSVIdentity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.
- Step 4
SLA
30 days · 5 days expeditedStandard SLA on every plan; Business expedited tier returns inside 5 business days.
Beş alt işlemci, herkese açık listelenmiş
Hesaplama, edge, e-posta, ödemeler, WAF. Beş tedarikçi, hepsi AB öncelikli. Liste bu.
Tedarikçi konumu, işleme amacı, veri kategorileri ve DPA referans URL'si ile tam liste /legal/subprocessors'da yaşar. Bir alt işlemci eklemek veya değiştirmek, işleme başlamadan önce uygulama içi banner ve e-posta yoluyla her çalışma alanı yöneticisine 30 günlük bir bildirim tetikler, böylece müşteriler itiraz edebilir.
- Compute & hostingISO 27001Primary app + edge infrastructureEU · Germany + Finland
- Edge computeISO 27001 · SOC 2Business region pinsEU + APAC
- Email deliverySOC 2 Type IITransactional emailEU (opt-out for EU-only)
- PaymentsPCI DSS L1Card acquiringEU
- CDN + WAFISO 27001 · SOC 2Marketing proxy (not redirect path)Global · EU routing
Tedarik sunumuna koyabilecekleriniz
- Her çalışma alanı için AB-varsayılan bölge
- Veritabanı GRANT katmanında uygulanan sadece-ekleme denetim günlüğü
- 5 alt işlemci, hepsi konum + amaçla herkese açık listelenmiş
- 30 günlük SLA'lı DSAR API'si (Business'ta 5 günlük hızlandırılmış)
- ISO 27001 elde edildi · SOC 2 Type II devam ediyor (H2 2026)
- Güvenlik önlemleri zaten bağlanmış Business+'ta HIPAA'ya hazır BAA
Üründe 'uyumluluk' neye benziyor
Çoğu kısaltıcı uyumluluk sorularını bir sayfalık belge ve bir tedarikçi anketiyle yanıtlar. Aşağıdaki özellikler, bir tedarik sunumundaki vaatler değil kodda gerçekte bağlanmış olan şeylerdir.
AB-varsayılan, çalışma alanı başına bölge sabitlemesi
AB bölgesi, her yeni çalışma alanı için varsayılandır. Analitik deposundaki tıklama olayları, veritabanındaki link metadata'sı, denetim günlüğü girdileri, nesne depolamadaki zamanlanmış dışa aktarmalar ve bellek içi sıcak cache, bir yönetici çalışma alanını oluşturmada US East veya Asia-Pacific'e sabitlemedikçe hepsi bölge içinde kalır. Sabitleme bir kez yapılır ve geri alınamaz - çalışma alanları göç etmez, çünkü bir kiracıyı taşımak imzalanmış alt işlemci akış maddelerini geçersiz kılar. Sıcak veri için bölgeler arası çoğullama yoktur; günlük yedeklemeler bekleme durumunda şifrelenir ve kaynakla aynı bölgede saklanır. Data Privacy Framework, uyumluluk hikayemizin bir parçası değildir - AB'ye sabitlenmiş çalışma alanları Atlantik'i asla geçmediği için ABD-AB aktarım mekaniklerine güvenmeyiz. Edge POP'ları yalnızca önbelleğe alınmış yönlendirme verisini sunar; tıklama olayları, kaynak bölgenin olay akışına geri fire-and-forget yapılır.
Her durum değişikliğinin sadece-ekleme günlüğü
Çalışma alanı ayarları, API anahtarı verme ve döndürme, üye davetleri ve rol değişiklikleri, özel alan adı talepleri, markalama düzenlemeleri, fatura planı değişiklikleri, bölge sabitlemeleri ve link oluşturma / güncelleme / silme - durum değiştiren her mutasyon, aktör (kullanıcı kimliği veya servis asıl kullanıcısı), UTC zaman damgası, öncesi/sonrası JSON farkı, kaynak IP ve API'mize geri bağlanan istek kimliğiyle denetim günlüğüne iner. Saklama süresi Pro'da 90 gün ve Business'ta 7 yıldır; Business, eklenti olmadan çoğu düzenlenmiş saklama gereksinimini (SOX, HIPAA, MiFID II) kapsar. Her iki katman da firehose'u imzalı webhook üzerinden bir SIEM'e (Splunk, Datadog, ELK) akıtır, yeniden bağlanmada cursor'dan tekrar oynatmayla. Kurcalama, veritabanı katmanındaki sadece-ekleme kısıtlaması ile önlenir - tablo, uygulama rollerine yalnızca INSERT ve SELECT verir, UPDATE veya DELETE vermez. Bir yönetici, değişiklik kontrolünde görünen bir geçiş olmadan geçmişi yeniden yazamaz.
Beş tedarikçi, hepsi herkese açık listelenmiş
Tam olarak beş alt işlemci kullanıyoruz ve liste tam olarak yayınlanmıştır: hesaplama + hosting (AB - Almanya + Finlandiya, ISO 27001), Business bölge sabitlemeleri için edge hesaplama (AB + APAC POP'ları, ISO 27001), işlemsel e-posta (sadece-AB çalışma alanları için opt-out, trafiğin çalışma alanı düzeyinde devre dışı bırakıldığı yer), ödemeler (AB) ve sadece pazarlama yüzeylerinde kullanılan bir proxy + WAF (yönlendirme sıcak yolunda değil). Tedarikçi konumu, işleme amacı, veri kategorileri ve DPA referans URL'si ile tam adlandırılmış liste /legal/subprocessors'da yaşar. Bir alt işlemci eklemek veya değiştirmek, işleme başlamadan önce uygulama içi banner ve e-posta yoluyla her çalışma alanı yöneticisine 30 günlük bir bildirim tetikler, böylece müşteriler itiraz edebilir. Tedarikçi risk döngümüz altında her çeyrek incelenir.
Bir destek bileti değil, API üzerinden dışa aktarma ve silme
DSAR API'si, imzalı bir zip içinde JSON artı CSV olarak özne başına bir paket döndürür. İçerik: kimlik kaydı (e-posta, ad, yerel ayar, son giriş), öznenin UTM şablonları ve etiketleriyle linkleri, öznenin aktör olduğu denetim günlüğü girdileri, özne bir çalışma alanı sahibiyse fatura makbuzları ve plan geçmişi, ve özneye çözümlenen tıklama olayı metadata'sı - tipik olarak hiçbiri, çünkü çalışma alanı açıkça link başına PII takibini etkinleştirmediği sürece tıklamalar alım anında anonimleştirilir (kesilmiş IP, hash'lenmiş kullanıcı-ajanı, çerez kalıcılığı yok). Silme, satırı işaretleyen, sorgulardan gizleyen ve saniyeler içinde yeni işlemeyi durduran bir yumuşak silmedir; 30 günlük bir pencere, kalıcı temizlik birincil veritabanını, her okuma replikasını ve şifrelenmiş gece yedeklerini süpürmeden önce kurtarmaya izin verir. Standart SLA 30 gündür; Business hızlandırılmış katmanı paketi 5 iş gününde döndürür.
SOC 2 Type II, ISO 27001, HIPAA'ya hazır
ISO 27001 elde edilmiştir ve sertifika NDA altında /trust'tan indirilebilir. SOC 2 Type II denetimi H2 2026 hedefiyle devam ediyor - kontrol seti zaten operasyoneldir (erişim incelemeleri, değişiklik yönetimi biletleri, güvenlik açığı taraması sıklığı, olay tatbikatları, tedarikçi risk incelemeleri), bu yüzden en uzun madde program değil gözlem penceresidir. Type 1 kanıtı bugün talep üzerine paylaşılabilir; denetçi imzaladığında Type 2 raporları herkese açık olarak yayınlanır. Business+'ta HIPAA'ya hazır olmak, Elido'yu bir iş ortağı olarak kapsayan bir BAA imzaladığımız anlamına gelir, güvenlik önlemleri zaten bağlanmıştır: AWS KMS üzerinden AES-256 bekleme durumunda, iletimde TLS 1.3, sadece-ekleme denetim izi, RBAC, kapsamlı API anahtarları ve belgelenmiş 72 saatlik ihlal bildirimi prosedürü. HIPAA'nın kendisi sektör öz-beyanıdır - denetçilerin istediği şey BAA artı güvenlik önlemleridir. Duruş değişiklikleri, gönderildiği gün /changelog'da görünür.
Kanıtlayacağınız yığın
- AB veri yerleşimi
- GDPR DPA
- SOC 2 Type II (devam ediyor)
- ISO 27001
- Denetim günlüğü + SIEM firehose'u
- DSAR API'si
DPO'nuzun ölçtüğü şey
- Alt işlemci sayısı
- 5, varsayılan olarak sadece AB
- DSAR yanıtı
- 30 günden az
- Denetim günlüğü saklama süresi
- Business'ta 7 yıl
Bunun üzerinde çalışan uyumluluk ekipleri
Adlar şu an için yer tutucudur - vaka çalışmaları yayınlandıkça gerçek müşteri adları buraya gelecek.
“Denetçimiz ABD alt işlemci listesini işaretlediğinde Bitly'den ayrılmak zorunda kaldık. Elido'nun sadece-AB varsayılanı, tedariği iki haftada temizledi; önceden, önceki tedarikçide 'bana DPA'yı göster' aşamasını geçemiyorduk.”
“Business'taki BAA fark yarattı. Ayrıca denetim günlüğü doğrudan Datadog SIEM'imize akıyor - kendimiz bir senkronizasyon katmanı yazmak zorunda kalmadık.”
“Schrems II, değerlendirdiğimiz dört kısaltıcıyı diskalifiye etti. Elido, 'veri nerede?' sorusuna 'söylediğiniz ülkede' yanıtını veren tek kısaltıcıydı. Bar tamamen bu.”
Alıcı uyumluluk olduğunda ne değişir
DPO'nuz tedarikçiyi inceliyorsa, soracakları sorular bunlardır. Üç seçenek genelinde dürüst yanıtlar.
| Yetenek | Elido | Bitly Enterprise | Genel kısaltıcı |
|---|---|---|---|
| Varsayılan veri yerleşimi | Her çalışma alanı için AB bölgesi | ABD varsayılan; Enterprise'da AB opt-in | Bölge plan katmanına bağlı |
| DPF / Schrems II'ye güvenme | Yok - ABD veri yolu yok | DPF listeli; aktarım mekanizmasına güvenir | Karışık; alt işlemcilere bağlı |
| Alt işlemci sayısı | 5, hepsi herkese açık listelenmiş | Plan katmanları genelinde 20+ | Yayınlanmamış |
| DPA imzalama | Önceden imzalanmış, indirilebilir | Talep üzerine manuel karşı imza | Talep üzerine, sadece ücretli planlar |
| Denetim günlüğü saklama süresi | Business'ta 7 yıl | Varsayılan 1 yıl | 30-90 gün |
| Denetim günlüğü → SIEM akışı | Webhook firehose'u, gerçek zamanlı | Sadece günlük dışa aktarma | Manuel indirme |
| DSAR yerine getirme | API; standart <30 gün, hızlandırılmış <5 gün | Destek bileti; 30 gün | Destek bileti; SLA değişir |
| BAA / HIPAA desteği | Evet, Business+'ta | Enterprise eklentisi | Hayır |
| SOC 2 / ISO 27001 | ISO 27001; SOC 2 Type II devam ediyor | İkisi de, olgun | Hiçbiri |
Tedarik ekibinden yaygın sorular
Verimiz tam olarak nerede saklanıyor?
Varsayılan olarak AB bölgesinde. Veritabanı, analitik deposu (tıklama akışı), bellek içi sıcak cache, nesne depolama (varlıklar) ve yedeklemelerin hepsi AB bölgesinde bulunur. Bir yönetici çalışma alanını oluşturmada açıkça US East veya Asia-Pacific'e sabitlemedikçe hiçbir veri ABD veya APAC'a çoğullanmaz - ki bu bilinçli, geri alınamaz bir seçimdir (çalışma alanları bölgeler arasında göç etmez).
SOC 2 / ISO 27001 kapsamında mısınız?
ISO 27001 elde edilmiş. SOC 2 Type II denetimi H2 2026 hedefiyle devam ediyor - kontroller ve kanıtlar zaten operasyonel, en uzun madde denetim dönemidir. Bugün talep üzerine NDA altında Type 1 kanıtını paylaşıyoruz; hazır olduğunda Type 2 raporları herkese açık olarak yayınlanır. /trust adresindeki Trust Center güncel durumu takip eder.
Bir DPA imzalıyor musunuz?
Önceden imzalanmış ve /legal/dpa'dan indirilebilir. DPA, /legal/subprocessors'daki alt işlemci listemize yaşayan bir belge olarak atıfta bulunur; alt işlemci değişiklikleri 30 günlük müşteri bildirimi verir. Redline'lara ihtiyacınız varsa, bu bir Business+ sözleşme konuşmasıdır; varsayılanlar genellikle AB DPO'ları tarafından değişiklik yapılmadan kabul edilir.
Kaç alt işlemci dahil?
Sekiz, çoğunlukla AB merkezli: hesaplama + veritabanı hosting (AB), APAC için edge hesaplama, şifrelenmiş uzak konum yedeklemeleri (AB), işlemsel e-posta (AB + ABD), kart ödemeleri + tahsilat (AB/UA), isteğe bağlı kripto ödemeleri (ABD), çevrimdışı bir IP-ülke veri kümesi (PII paylaşılmaz) ve bir CAPTCHA + talep üzerine TLS sağlayıcısı (AB bölgesel yönlendirmeli global). Her biri için konum ve amaçla tam adlandırılmış liste /legal/subprocessors'dadır. Bir alt işlemci eklemek 30 günlük bir müşteri bildirimi tetikler; onları sessizce eklemeyiz.
Şifreleme anahtarları için kendi HSM / KMS'imizi getirebilir miyiz?
Self-hosted sürümde evet. SaaS Elido, bekleme durumunda AWS KMS (bölge başına) ve iletimde TLS 1.3 ile şifreler; şu anda çok kiracılı SaaS'ta müşteri yönetimli KMS'i desteklemiyoruz. Self-host (Helm chart'ı, Apache 2.0 lisanslı), kendi KMS / Vault / HSM'inize işaret etmenizi sağlar.
İhlal bildirimi SLA'sı nedir?
Doğrulanmış kişisel veri ihlalleri: 24 saat müşteri bildirimi, 72 saat düzenleyici bildirimi (GDPR Madde 33). Bildirim, o noktada bildiklerimizi kapsar; tam adli analiz için beklemeyiz. Süreç, /trust/incident-response adresindeki Trust Center'ımızdadır.
DSAR'ları sadece müşteri olarak bizden değil, son kullanıcılardan (veri sahiplerinden) da yerine getiriyor musunuz?
Kontrolörden (siz, müşteri) gelen talimatlara göre hareket ederiz. Son kullanıcılar sizinle iletişime geçer; talebi panel veya API üzerinden iletirsiniz ve biz yerine getiririz. Son kullanıcılardan doğrudan DSAR kabul etmeyiz çünkü onları çalışma alanınızın bir öznesi olarak kimlik doğrulama şansımız olmaz - o kimlik doğrulama sizindir.
Denetim günlüğü bir Elido yöneticisi tarafından kurcalanabilir mi?
Hayır. Günlük veritabanı katmanında sadece-eklemedir; kendi yöneticilerimiz bile geçmiş girdileri düzenleyemez. Saklama penceresini geçen eski girdilerin silinmesi otomatiktir ve bir 'saklama temizliği' meta olayını kaydeder, böylece boşluğun kendisi denetlenebilir olur. Canlı kurcalama, uygulama kodumuzu atlayan veritabanı düzeyinde bir izinsiz girişi gerektirir, bu da diğer herhangi bir tablo bozulmasıyla aynı tehdit modelidir - RLS ve SOC 2 kontrollerimiz tarafından kapsanır.
Herkese açık bir security.txt / koordineli ifşa politikanız var mı?
Evet - security.txt /.well-known/security.txt'de; koordineli ifşa politikası /trust/disclosure'da. Hata ödülü HackerOne üzerinden yürütülür (özel program; bildirilmemiş bir bulgunuz varsa davet için [email protected] üzerinden ulaşın).
Sözleşme sona erdiğinde ne olur? Verimizi nasıl çıkarırız?
API üzerinden veya tek seferlik bir destek talebiyle her zaman tam veri dışa aktarma. Linkleri, tıklama olaylarını (ham veya toplanmış, tercihiniz), denetim günlüğünü, üyeleri, ayarları, markalamayı kapsayan JSON + CSV paketi. Sözleşme sona erdikten sonra kazara iptal kurtarması için 30 gün bekletiriz, ardından birincilden, replikalardan ve yedeklerden kalıcı olarak temizleriz. DPA'nız gerektiriyorsa yazılı bir temizlik onayı verebiliriz.
DPO'nun okuma listesi
Alt işlemciler, DPA, security.txt - bu sayfadaki her iddianın herkese açık versiyonu.
Önceden imzalanmış DPA, indirilebilir. Standart AB SCC'leri, varsayılan koşullar için müzakere gerekmez.
Beş tedarikçi, satır başına konum, amaç, DPA referansıyla herkese açık liste.
Şifreleme, erişim kontrolü, güvenlik açığı ifşası, olay müdahale zaman çizelgeleri.
WorkOS yönetimli SAML / OIDC + SCIM dizin senkronizasyonu; dakikalar içinde sağlamadan kaldırma.
DSAR uç noktaları, denetim günlüğü akışı, kapsamlı API anahtarları - TS / Py / Go genelinde tipli.
Hangi açının uyduğundan emin değil misiniz?
Çoğu ekip birinden başlar ve dördüne birden büyür. Satış ekibimiz, kendi yığınınızı 20 dakikada sizinle birlikte gözden geçirebilir.