Güven, yazıya döküldü.
Elido varsayılan olarak AB'de barındırılır, GDPR uyumludur ve denetim izleri en baştan sisteme entegre edilmiştir. Aşağıdakilerin tümü zaten yaptığımız şeylerdir - planladığımız değil.
- AB bölgesiEUAB veri ikameti · varsayılan
Her çalışma alanı için varsayılandır. Denetim günlüğü, tıklamalar ve yedekler bölge içinde kalır. DPF veya Schrems II'ye bağımlılık yoktur.
- ABD DoğuUSİsteğe bağlı
Yalnızca çalışma alanı oluşturulurken. Geri alınamaz. ABD veri yolunu isteyen ABD merkezli müşteriler içindir.
- Asya-PasifikAPACBusiness+ · isteğe bağlı
Yalnızca çalışma alanı oluşturulurken. Geri alınamaz. Business ve Enterprise planları için APAC veri ikameti.
"Güven" ürün terimleriyle ne anlama geliyor
Güvenden ne anlıyoruz
Her ilke, denetim günlüğünde, DPA'da veya herkese açık altyapı deposunda arayıp bulabileceğiniz somut bir şeye karşılık gelir. Pazarlama belirsizliği yok.
Varsayılan olarak AB veri ikameti
Tüm operasyonel veriler AB bölgesinde kalır. Business planları ABD Doğu veya Asya-Pasifik bölgesine sabitlenebilir. Free ve Pro planları asla AB dışına çıkmaz.
Her şey için denetim izi
Çalışma alanı ayarları, rol değişiklikleri, anahtar rotasyonları, bağlantı oluşturma, silme işlemleri, dışa aktarmalar. Her olayın bir kimi, ne zamanı ve nesi vardır - dışa aktarılabilir.
AI için varsayılan olarak salt okunur
AI entegrasyonları kapsamlandırılmış, rotasyona tabi anahtarlar alır. Yazma/silme erişimi varsayılan değil, açık ve denetlenen bir çalışma alanı ayarıdır.
BYOK ve müşteri tarafından yönetilen anahtarlar
Business planında bekleyen veri şifrelemesi için kendi KMS'inizi kullanın. Soğuk depolamayı yeniden şifrelemeden anahtarları rotasyona tabi tutun.
Kötüye kullanım önleme hattı
Her bağlantı, oluşturulduğunda ve ardından sürekli çalışan yeniden tarama işçisinde bileşik bir tarayıcıdan (URLhaus + Google Safe Browsing + sezgisel kurallar) geçer.
Alt işleyici şeffaflığı
Tam liste, konum ve amaç. Eklemelerde bildirim yaparız; bazıları için vazgeçme (opt-out) seçenekleri mevcuttur.
Yalnızca ekleme yapılabilen denetim günlüğü
Her durum değişikliği kaydedilir.
Yalnızca ekleme yapılabilme özelliği veritabanı katmanında zorunlu kılınır: denetim tablosu, uygulama rollerine yalnızca INSERT ve SELECT yetkisi verir; UPDATE veya DELETE yetkisi yoktur. Kendi yöneticilerimiz bile, değişiklik kontrolünde görünecek bir migrasyon olmadan geçmişi yeniden yazamaz. Saklama süresi Pro'da 90 gün, Business'ta 7 yıldır - herhangi bir ek ücret olmadan SOX, MiFID II ve HIPAA gereksinimlerini karşılar.
- Aktör kimliğiKullanıcı kimliği veya servis asıl kullanıcısı, ayrıca kaynak IP ve istek kimliği
- Önce/sonra farkıDeğişen satırın yapılandırılmış JSON farkı - sadece bir metin günlük satırı değil
- SIEM veri akışıSplunk / Datadog / ELK'a gerçek zamanlı, HMAC imzalı webhook
- Kurcalamaya karşı iz bırakanVeritabanı GRANT zorunluluğu; uygulama rolleri için UPDATE / DELETE yok
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Veri sahibi erişim talepleri
API üzerinden veri sahibi hakları.
Son kullanıcınızdan bir veri sahibi talebi alırsınız. Bunu, kontrolör adına veri sahibi talebi olarak panel veya API üzerinden iletirsiniz - Elido, veri sahibini değil kontrolörü (sizi) doğrular. Paket imzalı bir zip dosyasıdır: kimlik kaydı, bağlantılar, veri sahibinin aktör olduğu denetim günlüğü kayıtları, veri sahibi bir çalışma alanı sahibiyse fatura makbuzları. Standart SLA 30 gündür; Business hızlandırılmış seçenek 5 iş günü içinde döner.
- Adım 1
Veri sahibi talebi
Son kullanıcı → kontrolör (siz)Veri sahibi sizinle iletişime geçer. Onları Elido'da değil, kendi ürününüzde doğrularsınız.
- Adım 2
DSAR API çağrısı
POST /v1/dsarVeri sahibinin e-postası ve talep türüyle (dışa aktarma / silme) birlikte kontrolör adına talep olarak iletin.
- Adım 3
Çalışma alanı paketi
imzalı zip · JSON + CSVKimlik, bağlantılar, veri sahibinin aktör olduğu denetim günlüğü kayıtları, sahipse fatura bilgileri, anonimleştirilmiş tıklama meta verileri.
- Adım 4
SLA
30 gün · hızlandırılmışta 5 günHer planda standart SLA; Business hızlandırılmış katman 5 iş günü içinde döner.
Herkese açık şekilde listelenen beş alt işleyici
Beş tedarikçi. Herkese açık şekilde listelendi.
Tedarikçi konumu, işleme amacı, veri kategorileri ve DPA referans URL'sini içeren tam liste /legal/subprocessors adresinde yer alır. Bir alt işleyici eklemek veya değiştirmek, işleme başlamadan önce her çalışma alanı yöneticisine uygulama içi banner ve e-posta yoluyla 30 günlük bir bildirim tetikler, böylece müşteriler itiraz edebilir.
- Bilişim ve barındırmaISO 27001Ana uygulama + uç (edge) altyapısıAB · Almanya + Finlandiya
- Uç bilişim (edge compute)ISO 27001 · SOC 2Business bölge sabitlemeleriAB + APAC
- E-posta gönderimiSOC 2 Type IIİşlemsel e-postaAB (yalnızca AB için vazgeçme seçeneği)
- ÖdemelerPCI DSS L1Kart edinme (card acquiring)AB
- CDN + WAFISO 27001 · SOC 2Pazarlama proxy'si (yönlendirme yolu değil)Küresel · AB yönlendirmesi
Uyumluluk durumu
Müşterilerin sorduğu çerçevelerde nerede durduğumuz.
Gelecek zaman iddiaları yok. Her satır, bugün hayata geçirilmiş olanı, gözlem aşamasında olanı ve sözleşme kapsamında ek hizmet olarak sunulanı belirtir.
ISO 27001
Bilgi güvenliği yönetim sistemi; sertifikalı kapsam, Elido platformunun tamamını kapsar.
SOC 2 Type II
Gözlem dönemi 2026'nın ikinci yarısına kadar sürüyor. Type I raporu bugün NDA kapsamında mevcuttur.
GDPR
Varsayılan olarak AB veri ikameti, standart SCC'lerle önceden imzalanmış DPA, herkese açık alt işleyici listesi.
HIPAA'ya hazır
Şifreleme, denetim günlüğü tutma ve erişim kontrolleri zaten devrede olan Business+ planında BAA.
AB veri ikameti
Tüm operasyonel veriler AB bölgesinde kalır. Schrems II / DPF'ye bağımlılık yoktur.
Şifreleme
Bekleyen veride AES-256, aktarımda TLS 1.3, KMS destekli anahtar rotasyonu. Business planında BYOK.
Uyumluluk SSS
Satın alma ekiplerinin bize sürekli e-posta ile sorduğu sorular.
DPA imzalıyor musunuz?
Evet. Standart DPA'mız AB SCC'leriyle önceden imzalanmış olup /legal/dpa adresinden indirilebilir. Varsayılan koşullar için müzakereye gerek yoktur - ücretli planlarda otomatik olarak karşı imzalanır. Business ve Enterprise planlarında özel değişiklik talepleri (redline) mümkündür.
Kaç alt işleyici kullanıyorsunuz?
Beş tane, çoğunlukla AB merkezli: bilişim + barındırma (AB), bölge sabitlemeleri için uç bilişim (AB + APAC), işlemsel e-posta (AB), ödemeler (AB) ve yönlendirme yoluna asla dokunmayan yalnızca pazarlama amaçlı bir proxy + WAF. Konum, amaç ve DPA referansıyla birlikte tam adlandırılmış liste /legal/subprocessors adresindedir.
Bölge sabitleme her planda mevcut mu?
AB veri ikameti, her planda, her çalışma alanı için varsayılandır ve asla değişmez. ABD Doğu veya Asya-Pasifik'e isteğe bağlı sabitleme yalnızca çalışma alanı düzeyindedir, oluşturma anında geri alınamaz ve yalnızca Business ve Enterprise planlarında sunulur.
DSAR yanıt süresi ne kadar?
Her planda standart SLA 30 gündür. Business ve Enterprise planları 5 iş günlük hızlandırılmış bir katman elde eder. DSAR talepleri API veya panel (POST /v1/dsar) üzerinden gönderilir - siz kontrolörü doğrularsınız, biz sizi doğrularız ve paket; kimlik, bağlantılar, denetim günlüğü kayıtları ve fatura kayıtlarını içeren imzalı bir zip olarak gönderilir.
HIPAA için BAA'lar nasıl işliyor?
BAA yalnızca Business+ planında sunulur. Teknik önlemler (şifreleme, denetim günlüğü tutma, erişim kontrolü, güvenli yedekleme) varsayılan katmanla aynıdır - BAA bir özellik kısıtlaması değil, evrak işidir. Başlamak için [email protected] adresine e-posta gönderin.
Kendi sunucunuzda barındırma (self-host) seçeneği var mı?
Evet. Yönlendirme katmanı ve click-ingester, Kubernetes için bir Helm chart ile birlikte Apache 2.0 lisansı altında açık kaynaktır. Müşteriler yönlendirme katmanını kendi VPC'lerinde çalıştırıp paneli bizim kontrol düzlemimize yönlendirebilir veya tüm yığını kendi sunucularında (on-prem) çalıştırabilir. Depo, bizim çalıştırdığımız kodun aynısıdır.
Alt işleyici değişiklikleri hakkında müşterileri nasıl bilgilendiriyorsunuz?
Bir alt işleyici eklemek veya değiştirmek, her çalışma alanı yöneticisine uygulama içi banner ve e-posta yoluyla 30 günlük bir bildirim tetikler. Müşteriler, işleme başlamadan önce itiraz edebilir. /legal/subprocessors adresindeki liste herkese açık bir git deposuna işlenir, böylece değişiklikler sürüm kontrolü geçmişinde görünür.
Olayları ve çalışma süresini nerede yayımlıyorsunuz?
Canlı durum, son olaylar ve tam olay sonrası incelemeler /status adresindedir. Güvenliği etkileyen olaylar ayrıca [email protected] abonelerine ve DPA'da tanımlanan SLA süresi içinde Güven Merkezi sayfasına da yayınlanır.
Bundan sonra nereye bakmalısınız
Yukarıdaki her iddianın herkese açık bir belgesi vardır. Bizi bir satın alma kararı için değerlendiriyorsanız, buradan başlayın.
Verileri kimlerle paylaştığımız, nerede bulundukları ve nedeni.
AB kişisel verilerini işlemeden önce imzalayın.
Neleri topladığımız, neleri toplamadığımız, saklama süreleri.
Mimari, şifreleme, gizli bilgi yönetimi, tehdit modeli.
Canlı çalışma süresi, güncel olaylar, olay sonrası incelemeler.
İletişim
Bir güvenlik sorunuz mu var?
Güvenlik açığı bildirimleri için [email protected] (PGP mevcuttur). SOC 2 / ISO / DPA için [email protected]. Bir iş günü içinde yanıt veriyoruz.
Güvenlik
Güvenlik açığı bildirimleri, security.txt, PGP anahtarı. Bir iş günü içinde yanıt veriyoruz.
[email protected]Uyumluluk
SOC 2 / ISO talepleri, DPA karşı imzalama, alt işleyici bildirimleri, HIPAA için BAA süreci.
[email protected]Satın alma süreciniz ne zaman hazırsa, biz de hazırız.
Önceden imzalanmış DPA, herkese açık alt işleyici listesi, her planda denetim günlüğü. Ücretsiz başlayın veya güvenlik anketi kısayolu için satış ekibiyle görüşün.