Ekibinize uyan açıyı seçin
Uyumluluk odaklı ekipler için

Kısaltıcı DPO'nuzun karşı çıkmayacağı.

DSAR dönüş süresini, SOC 2 kanıtının tazeliğini ve bir satış döngüsünün kaç tedarikçi sorusuna mal olduğunu ölçüyorsunuz. Elido, DPO'nuzun karşı çıkmayacağı kısaltıcıdır.

  • Her çalışma alanı için AB-varsayılan bölge
  • Veritabanı GRANT katmanında uygulanan sadece-ekleme denetim günlüğü
  • 5 alt işlemci, hepsi konum + amaçla herkese açık listelenmiş
  • 30 günlük SLA'lı DSAR API'si (Business'ta 5 günlük hızlandırılmış)
Workspace region · pin once
irreversible at create
  • EU regioneu · primary origin
    EU residency · default

    Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.

  • US Eastus-east · opt-in region
    Opt-in

    Workspace creation only. Irreversible. For US-resident customers who want US data path.

  • Asia-Pacificapac · opt-in region
    Business+ · opt-in

    Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.

No cross-region replication for hot dataaudit · clicks · backups
5
Alt işlemciler
Sadece AB
Varsayılan yerleşim
<30g
DSAR SLA'sı
7y
Denetim saklama

Sadece-ekleme denetim günlüğü

Her durum değişikliği. Aktör, IP, öncesi/sonrası farkı, kaynak.

Sadece-ekleme veritabanı katmanında uygulanır: denetim tablosu, uygulama rollerine yalnızca INSERT ve SELECT verir, UPDATE veya DELETE vermez. Kendi yöneticilerimiz bile değişiklik kontrolünde görünen bir geçiş olmadan geçmişi yeniden yazamaz. Saklama süresi Pro'da 90 gün ve Business'ta 7 yıldır - eklenti olmadan SOX, MiFID II ve HIPAA'yı kapsar.

  • Aktör kimliği
    Kullanıcı kimliği veya servis asıl kullanıcısı, artı kaynak IP ve istek kimliği
  • Öncesi/sonrası farkı
    Değişen satırın yapılandırılmış JSON farkı - sadece bir metin günlük satırı değil
  • SIEM firehose'u
    Splunk / Datadog / ELK'a gerçek zamanlı HMAC imzalı webhook
  • Kurcalamaya karşı kanıt
    Veritabanı GRANT uygulaması; uygulama rolleri için UPDATE / DELETE yok
Güvenlik genel bakışı →
Audit entry · evt_8c41a7
domain.claim · ws_8a2f
Timestamp (UTC)
2026-05-08T11:42:18Z
Source IP
203.0.113.42 · DE
Source
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Event type
domain.claim
Diff lines
+3 / -2
Retention
7 years (Business)
Append-only · enforced by database GRANTStreamed to SIEM

Veri sahibi erişim talepleri

Destek bileti değil, DSAR. API çağrısı, imzalı paket, SLA saati.

Son kullanıcınızdan bir özne talebi alırsınız. Bunu panel veya API üzerinden özne adına kontrolör talebi olarak iletirsiniz - Elido özneyi değil kontrolörü (siz) kimlik doğrular. Paket imzalı bir zip'tir: kimlik kaydı, linkler, öznenin aktör olduğu denetim günlüğü girdileri, özne bir çalışma alanı sahibiyse fatura makbuzları. Standart SLA 30 gündür; Business hızlandırılmış 5 iş günü içinde döner.

  1. Step 1

    Subject request

    End user → controller (you)

    Subject contacts you. You authenticate them in your own product, not in Elido.

  2. Step 2

    DSAR API call

    POST /v1/dsar

    Forward as a controller-on-behalf request with subject email + request type (export / erase).

  3. Step 3

    Workspace bundle

    signed zip · JSON + CSV

    Identity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.

  4. Step 4

    SLA

    30 days · 5 days expedited

    Standard SLA on every plan; Business expedited tier returns inside 5 business days.

Beş alt işlemci, herkese açık listelenmiş

Hesaplama, edge, e-posta, ödemeler, WAF. Beş tedarikçi, hepsi AB öncelikli. Liste bu.

Tedarikçi konumu, işleme amacı, veri kategorileri ve DPA referans URL'si ile tam liste /legal/subprocessors'da yaşar. Bir alt işlemci eklemek veya değiştirmek, işleme başlamadan önce uygulama içi banner ve e-posta yoluyla her çalışma alanı yöneticisine 30 günlük bir bildirim tetikler, böylece müşteriler itiraz edebilir.

Sub-processor fan-out · workspace data flow
5 vendors · public list
Your workspace
ws_xxxx
EU region (default)
  • Compute & hostingISO 27001
    Primary app + edge infrastructure
    EU · Germany + Finland
  • Edge computeISO 27001 · SOC 2
    Business region pins
    EU + APAC
  • Email deliverySOC 2 Type II
    Transactional email
    EU (opt-out for EU-only)
  • PaymentsPCI DSS L1
    Card acquiring
    EU
  • CDN + WAFISO 27001 · SOC 2
    Marketing proxy (not redirect path)
    Global · EU routing
Adding a vendor triggers a 30-day customer notice/legal/subprocessors

Tedarik sunumuna koyabilecekleriniz

  • Her çalışma alanı için AB-varsayılan bölge
  • Veritabanı GRANT katmanında uygulanan sadece-ekleme denetim günlüğü
  • 5 alt işlemci, hepsi konum + amaçla herkese açık listelenmiş
  • 30 günlük SLA'lı DSAR API'si (Business'ta 5 günlük hızlandırılmış)
  • ISO 27001 elde edildi · SOC 2 Type II devam ediyor (H2 2026)
  • Güvenlik önlemleri zaten bağlanmış Business+'ta HIPAA'ya hazır BAA

Üründe 'uyumluluk' neye benziyor

Çoğu kısaltıcı uyumluluk sorularını bir sayfalık belge ve bir tedarikçi anketiyle yanıtlar. Aşağıdaki özellikler, bir tedarik sunumundaki vaatler değil kodda gerçekte bağlanmış olan şeylerdir.

Veri yerleşimi
01

AB-varsayılan, çalışma alanı başına bölge sabitlemesi

AB bölgesi, her yeni çalışma alanı için varsayılandır. Analitik deposundaki tıklama olayları, veritabanındaki link metadata'sı, denetim günlüğü girdileri, nesne depolamadaki zamanlanmış dışa aktarmalar ve bellek içi sıcak cache, bir yönetici çalışma alanını oluşturmada US East veya Asia-Pacific'e sabitlemedikçe hepsi bölge içinde kalır. Sabitleme bir kez yapılır ve geri alınamaz - çalışma alanları göç etmez, çünkü bir kiracıyı taşımak imzalanmış alt işlemci akış maddelerini geçersiz kılar. Sıcak veri için bölgeler arası çoğullama yoktur; günlük yedeklemeler bekleme durumunda şifrelenir ve kaynakla aynı bölgede saklanır. Data Privacy Framework, uyumluluk hikayemizin bir parçası değildir - AB'ye sabitlenmiş çalışma alanları Atlantik'i asla geçmediği için ABD-AB aktarım mekaniklerine güvenmeyiz. Edge POP'ları yalnızca önbelleğe alınmış yönlendirme verisini sunar; tıklama olayları, kaynak bölgenin olay akışına geri fire-and-forget yapılır.

Denetim izi
02

Her durum değişikliğinin sadece-ekleme günlüğü

Çalışma alanı ayarları, API anahtarı verme ve döndürme, üye davetleri ve rol değişiklikleri, özel alan adı talepleri, markalama düzenlemeleri, fatura planı değişiklikleri, bölge sabitlemeleri ve link oluşturma / güncelleme / silme - durum değiştiren her mutasyon, aktör (kullanıcı kimliği veya servis asıl kullanıcısı), UTC zaman damgası, öncesi/sonrası JSON farkı, kaynak IP ve API'mize geri bağlanan istek kimliğiyle denetim günlüğüne iner. Saklama süresi Pro'da 90 gün ve Business'ta 7 yıldır; Business, eklenti olmadan çoğu düzenlenmiş saklama gereksinimini (SOX, HIPAA, MiFID II) kapsar. Her iki katman da firehose'u imzalı webhook üzerinden bir SIEM'e (Splunk, Datadog, ELK) akıtır, yeniden bağlanmada cursor'dan tekrar oynatmayla. Kurcalama, veritabanı katmanındaki sadece-ekleme kısıtlaması ile önlenir - tablo, uygulama rollerine yalnızca INSERT ve SELECT verir, UPDATE veya DELETE vermez. Bir yönetici, değişiklik kontrolünde görünen bir geçiş olmadan geçmişi yeniden yazamaz.

Alt işlemci şeffaflığı
03

Beş tedarikçi, hepsi herkese açık listelenmiş

Tam olarak beş alt işlemci kullanıyoruz ve liste tam olarak yayınlanmıştır: hesaplama + hosting (AB - Almanya + Finlandiya, ISO 27001), Business bölge sabitlemeleri için edge hesaplama (AB + APAC POP'ları, ISO 27001), işlemsel e-posta (sadece-AB çalışma alanları için opt-out, trafiğin çalışma alanı düzeyinde devre dışı bırakıldığı yer), ödemeler (AB) ve sadece pazarlama yüzeylerinde kullanılan bir proxy + WAF (yönlendirme sıcak yolunda değil). Tedarikçi konumu, işleme amacı, veri kategorileri ve DPA referans URL'si ile tam adlandırılmış liste /legal/subprocessors'da yaşar. Bir alt işlemci eklemek veya değiştirmek, işleme başlamadan önce uygulama içi banner ve e-posta yoluyla her çalışma alanı yöneticisine 30 günlük bir bildirim tetikler, böylece müşteriler itiraz edebilir. Tedarikçi risk döngümüz altında her çeyrek incelenir.

DSAR ve veri sahibi hakları
04

Bir destek bileti değil, API üzerinden dışa aktarma ve silme

DSAR API'si, imzalı bir zip içinde JSON artı CSV olarak özne başına bir paket döndürür. İçerik: kimlik kaydı (e-posta, ad, yerel ayar, son giriş), öznenin UTM şablonları ve etiketleriyle linkleri, öznenin aktör olduğu denetim günlüğü girdileri, özne bir çalışma alanı sahibiyse fatura makbuzları ve plan geçmişi, ve özneye çözümlenen tıklama olayı metadata'sı - tipik olarak hiçbiri, çünkü çalışma alanı açıkça link başına PII takibini etkinleştirmediği sürece tıklamalar alım anında anonimleştirilir (kesilmiş IP, hash'lenmiş kullanıcı-ajanı, çerez kalıcılığı yok). Silme, satırı işaretleyen, sorgulardan gizleyen ve saniyeler içinde yeni işlemeyi durduran bir yumuşak silmedir; 30 günlük bir pencere, kalıcı temizlik birincil veritabanını, her okuma replikasını ve şifrelenmiş gece yedeklerini süpürmeden önce kurtarmaya izin verir. Standart SLA 30 gündür; Business hızlandırılmış katmanı paketi 5 iş gününde döndürür.

Uyumluluk duruşu
05

SOC 2 Type II, ISO 27001, HIPAA'ya hazır

ISO 27001 elde edilmiştir ve sertifika NDA altında /trust'tan indirilebilir. SOC 2 Type II denetimi H2 2026 hedefiyle devam ediyor - kontrol seti zaten operasyoneldir (erişim incelemeleri, değişiklik yönetimi biletleri, güvenlik açığı taraması sıklığı, olay tatbikatları, tedarikçi risk incelemeleri), bu yüzden en uzun madde program değil gözlem penceresidir. Type 1 kanıtı bugün talep üzerine paylaşılabilir; denetçi imzaladığında Type 2 raporları herkese açık olarak yayınlanır. Business+'ta HIPAA'ya hazır olmak, Elido'yu bir iş ortağı olarak kapsayan bir BAA imzaladığımız anlamına gelir, güvenlik önlemleri zaten bağlanmıştır: AWS KMS üzerinden AES-256 bekleme durumunda, iletimde TLS 1.3, sadece-ekleme denetim izi, RBAC, kapsamlı API anahtarları ve belgelenmiş 72 saatlik ihlal bildirimi prosedürü. HIPAA'nın kendisi sektör öz-beyanıdır - denetçilerin istediği şey BAA artı güvenlik önlemleridir. Duruş değişiklikleri, gönderildiği gün /changelog'da görünür.

Kanıtlayacağınız yığın

  • AB veri yerleşimi
  • GDPR DPA
  • SOC 2 Type II (devam ediyor)
  • ISO 27001
  • Denetim günlüğü + SIEM firehose'u
  • DSAR API'si

DPO'nuzun ölçtüğü şey

Alt işlemci sayısı
5, varsayılan olarak sadece AB
DSAR yanıtı
30 günden az
Denetim günlüğü saklama süresi
Business'ta 7 yıl

Bunun üzerinde çalışan uyumluluk ekipleri

Adlar şu an için yer tutucudur - vaka çalışmaları yayınlandıkça gerçek müşteri adları buraya gelecek.

Denetçimiz ABD alt işlemci listesini işaretlediğinde Bitly'den ayrılmak zorunda kaldık. Elido'nun sadece-AB varsayılanı, tedariği iki haftada temizledi; önceden, önceki tedarikçide 'bana DPA'yı göster' aşamasını geçemiyorduk.

O
Orta ölçekli fintech, Münih
Veri Koruma Görevlisi

Business'taki BAA fark yarattı. Ayrıca denetim günlüğü doğrudan Datadog SIEM'imize akıyor - kendimiz bir senkronizasyon katmanı yazmak zorunda kalmadık.

S
Sağlık SaaS, Münih
Güvenlik Başkanı

Schrems II, değerlendirdiğimiz dört kısaltıcıyı diskalifiye etti. Elido, 'veri nerede?' sorusuna 'söylediğiniz ülkede' yanıtını veren tek kısaltıcıydı. Bar tamamen bu.

D
Devlet yüklenicisi, Brüksel
Bilgi Yönetişimi Lideri

Alıcı uyumluluk olduğunda ne değişir

DPO'nuz tedarikçiyi inceliyorsa, soracakları sorular bunlardır. Üç seçenek genelinde dürüst yanıtlar.

YetenekElidoBitly EnterpriseGenel kısaltıcı
Varsayılan veri yerleşimiHer çalışma alanı için AB bölgesiABD varsayılan; Enterprise'da AB opt-inBölge plan katmanına bağlı
DPF / Schrems II'ye güvenmeYok - ABD veri yolu yokDPF listeli; aktarım mekanizmasına güvenirKarışık; alt işlemcilere bağlı
Alt işlemci sayısı5, hepsi herkese açık listelenmişPlan katmanları genelinde 20+Yayınlanmamış
DPA imzalamaÖnceden imzalanmış, indirilebilirTalep üzerine manuel karşı imzaTalep üzerine, sadece ücretli planlar
Denetim günlüğü saklama süresiBusiness'ta 7 yılVarsayılan 1 yıl30-90 gün
Denetim günlüğü → SIEM akışıWebhook firehose'u, gerçek zamanlıSadece günlük dışa aktarmaManuel indirme
DSAR yerine getirmeAPI; standart <30 gün, hızlandırılmış <5 günDestek bileti; 30 günDestek bileti; SLA değişir
BAA / HIPAA desteğiEvet, Business+'taEnterprise eklentisiHayır
SOC 2 / ISO 27001ISO 27001; SOC 2 Type II devam ediyorİkisi de, olgunHiçbiri

Tedarik ekibinden yaygın sorular

Verimiz tam olarak nerede saklanıyor?

Varsayılan olarak AB bölgesinde. Veritabanı, analitik deposu (tıklama akışı), bellek içi sıcak cache, nesne depolama (varlıklar) ve yedeklemelerin hepsi AB bölgesinde bulunur. Bir yönetici çalışma alanını oluşturmada açıkça US East veya Asia-Pacific'e sabitlemedikçe hiçbir veri ABD veya APAC'a çoğullanmaz - ki bu bilinçli, geri alınamaz bir seçimdir (çalışma alanları bölgeler arasında göç etmez).

SOC 2 / ISO 27001 kapsamında mısınız?

ISO 27001 elde edilmiş. SOC 2 Type II denetimi H2 2026 hedefiyle devam ediyor - kontroller ve kanıtlar zaten operasyonel, en uzun madde denetim dönemidir. Bugün talep üzerine NDA altında Type 1 kanıtını paylaşıyoruz; hazır olduğunda Type 2 raporları herkese açık olarak yayınlanır. /trust adresindeki Trust Center güncel durumu takip eder.

Bir DPA imzalıyor musunuz?

Önceden imzalanmış ve /legal/dpa'dan indirilebilir. DPA, /legal/subprocessors'daki alt işlemci listemize yaşayan bir belge olarak atıfta bulunur; alt işlemci değişiklikleri 30 günlük müşteri bildirimi verir. Redline'lara ihtiyacınız varsa, bu bir Business+ sözleşme konuşmasıdır; varsayılanlar genellikle AB DPO'ları tarafından değişiklik yapılmadan kabul edilir.

Kaç alt işlemci dahil?

Sekiz, çoğunlukla AB merkezli: hesaplama + veritabanı hosting (AB), APAC için edge hesaplama, şifrelenmiş uzak konum yedeklemeleri (AB), işlemsel e-posta (AB + ABD), kart ödemeleri + tahsilat (AB/UA), isteğe bağlı kripto ödemeleri (ABD), çevrimdışı bir IP-ülke veri kümesi (PII paylaşılmaz) ve bir CAPTCHA + talep üzerine TLS sağlayıcısı (AB bölgesel yönlendirmeli global). Her biri için konum ve amaçla tam adlandırılmış liste /legal/subprocessors'dadır. Bir alt işlemci eklemek 30 günlük bir müşteri bildirimi tetikler; onları sessizce eklemeyiz.

Şifreleme anahtarları için kendi HSM / KMS'imizi getirebilir miyiz?

Self-hosted sürümde evet. SaaS Elido, bekleme durumunda AWS KMS (bölge başına) ve iletimde TLS 1.3 ile şifreler; şu anda çok kiracılı SaaS'ta müşteri yönetimli KMS'i desteklemiyoruz. Self-host (Helm chart'ı, Apache 2.0 lisanslı), kendi KMS / Vault / HSM'inize işaret etmenizi sağlar.

İhlal bildirimi SLA'sı nedir?

Doğrulanmış kişisel veri ihlalleri: 24 saat müşteri bildirimi, 72 saat düzenleyici bildirimi (GDPR Madde 33). Bildirim, o noktada bildiklerimizi kapsar; tam adli analiz için beklemeyiz. Süreç, /trust/incident-response adresindeki Trust Center'ımızdadır.

DSAR'ları sadece müşteri olarak bizden değil, son kullanıcılardan (veri sahiplerinden) da yerine getiriyor musunuz?

Kontrolörden (siz, müşteri) gelen talimatlara göre hareket ederiz. Son kullanıcılar sizinle iletişime geçer; talebi panel veya API üzerinden iletirsiniz ve biz yerine getiririz. Son kullanıcılardan doğrudan DSAR kabul etmeyiz çünkü onları çalışma alanınızın bir öznesi olarak kimlik doğrulama şansımız olmaz - o kimlik doğrulama sizindir.

Denetim günlüğü bir Elido yöneticisi tarafından kurcalanabilir mi?

Hayır. Günlük veritabanı katmanında sadece-eklemedir; kendi yöneticilerimiz bile geçmiş girdileri düzenleyemez. Saklama penceresini geçen eski girdilerin silinmesi otomatiktir ve bir 'saklama temizliği' meta olayını kaydeder, böylece boşluğun kendisi denetlenebilir olur. Canlı kurcalama, uygulama kodumuzu atlayan veritabanı düzeyinde bir izinsiz girişi gerektirir, bu da diğer herhangi bir tablo bozulmasıyla aynı tehdit modelidir - RLS ve SOC 2 kontrollerimiz tarafından kapsanır.

Herkese açık bir security.txt / koordineli ifşa politikanız var mı?

Evet - security.txt /.well-known/security.txt'de; koordineli ifşa politikası /trust/disclosure'da. Hata ödülü HackerOne üzerinden yürütülür (özel program; bildirilmemiş bir bulgunuz varsa davet için [email protected] üzerinden ulaşın).

Sözleşme sona erdiğinde ne olur? Verimizi nasıl çıkarırız?

API üzerinden veya tek seferlik bir destek talebiyle her zaman tam veri dışa aktarma. Linkleri, tıklama olaylarını (ham veya toplanmış, tercihiniz), denetim günlüğünü, üyeleri, ayarları, markalamayı kapsayan JSON + CSV paketi. Sözleşme sona erdikten sonra kazara iptal kurtarması için 30 gün bekletiriz, ardından birincilden, replikalardan ve yedeklerden kalıcı olarak temizleriz. DPA'nız gerektiriyorsa yazılı bir temizlik onayı verebiliriz.

Hangi açının uyduğundan emin değil misiniz?

Çoğu ekip birinden başlar ve dördüne birden büyür. Satış ekibimiz, kendi yığınınızı 20 dakikada sizinle birlikte gözden geçirebilir.