Güven Merkezi

Güven, yazıya döküldü.

Elido varsayılan olarak AB'de barındırılır, GDPR uyumludur ve denetim izleri en baştan sisteme entegre edilmiştir. Aşağıdakilerin tümü zaten yaptığımız şeylerdir - planladığımız değil.

SOC 2 Type II
ISO 27001
GDPR
HIPAA'ya duyarlı (Business)
AB veri ikameti
Çalışma alanı bölgesi · bir kez sabitleyin
oluşturmada geri alınamaz
  • AB bölgesiEU
    AB veri ikameti · varsayılan

    Her çalışma alanı için varsayılandır. Denetim günlüğü, tıklamalar ve yedekler bölge içinde kalır. DPF veya Schrems II'ye bağımlılık yoktur.

  • ABD DoğuUS
    İsteğe bağlı

    Yalnızca çalışma alanı oluşturulurken. Geri alınamaz. ABD veri yolunu isteyen ABD merkezli müşteriler içindir.

  • Asya-PasifikAPAC
    Business+ · isteğe bağlı

    Yalnızca çalışma alanı oluşturulurken. Geri alınamaz. Business ve Enterprise planları için APAC veri ikameti.

Aktif veriler için bölgeler arası çoğaltma yokdenetim · tıklamalar · yedekler
5
Alt işleyici, herkese açık liste
90g
Pro denetim saklama süresi (Business'ta 7 yıl)
30g
DSAR SLA süresi (Business'ta hızlandırılmış 5 gün)
0
Aktif veriler için bölgeler arası aktarım

"Güven" ürün terimleriyle ne anlama geliyor

Güvenden ne anlıyoruz

Her ilke, denetim günlüğünde, DPA'da veya herkese açık altyapı deposunda arayıp bulabileceğiniz somut bir şeye karşılık gelir. Pazarlama belirsizliği yok.

Varsayılan olarak AB veri ikameti

Tüm operasyonel veriler AB bölgesinde kalır. Business planları ABD Doğu veya Asya-Pasifik bölgesine sabitlenebilir. Free ve Pro planları asla AB dışına çıkmaz.

Her şey için denetim izi

Çalışma alanı ayarları, rol değişiklikleri, anahtar rotasyonları, bağlantı oluşturma, silme işlemleri, dışa aktarmalar. Her olayın bir kimi, ne zamanı ve nesi vardır - dışa aktarılabilir.

AI için varsayılan olarak salt okunur

AI entegrasyonları kapsamlandırılmış, rotasyona tabi anahtarlar alır. Yazma/silme erişimi varsayılan değil, açık ve denetlenen bir çalışma alanı ayarıdır.

BYOK ve müşteri tarafından yönetilen anahtarlar

Business planında bekleyen veri şifrelemesi için kendi KMS'inizi kullanın. Soğuk depolamayı yeniden şifrelemeden anahtarları rotasyona tabi tutun.

Kötüye kullanım önleme hattı

Her bağlantı, oluşturulduğunda ve ardından sürekli çalışan yeniden tarama işçisinde bileşik bir tarayıcıdan (URLhaus + Google Safe Browsing + sezgisel kurallar) geçer.

Alt işleyici şeffaflığı

Tam liste, konum ve amaç. Eklemelerde bildirim yaparız; bazıları için vazgeçme (opt-out) seçenekleri mevcuttur.

Yalnızca ekleme yapılabilen denetim günlüğü

Her durum değişikliği kaydedilir.

Yalnızca ekleme yapılabilme özelliği veritabanı katmanında zorunlu kılınır: denetim tablosu, uygulama rollerine yalnızca INSERT ve SELECT yetkisi verir; UPDATE veya DELETE yetkisi yoktur. Kendi yöneticilerimiz bile, değişiklik kontrolünde görünecek bir migrasyon olmadan geçmişi yeniden yazamaz. Saklama süresi Pro'da 90 gün, Business'ta 7 yıldır - herhangi bir ek ücret olmadan SOX, MiFID II ve HIPAA gereksinimlerini karşılar.

  • Aktör kimliği
    Kullanıcı kimliği veya servis asıl kullanıcısı, ayrıca kaynak IP ve istek kimliği
  • Önce/sonra farkı
    Değişen satırın yapılandırılmış JSON farkı - sadece bir metin günlük satırı değil
  • SIEM veri akışı
    Splunk / Datadog / ELK'a gerçek zamanlı, HMAC imzalı webhook
  • Kurcalamaya karşı iz bırakan
    Veritabanı GRANT zorunluluğu; uygulama rolleri için UPDATE / DELETE yok
Güvenlik genel bakışı →
Denetim kaydı · evt_8c41a7
domain.claim · ws_8a2f
Zaman damgası (UTC)
2026-05-08T11:42:18Z
Kaynak IP
203.0.113.42 · DE
Kaynak
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Olay türü
domain.claim
Fark satırları
+3 / -2
Saklama süresi
7 yıl (Business)
Yalnızca ekleme · veritabanı GRANT ile zorunlu kılınırSIEM'e aktarılır

Veri sahibi erişim talepleri

API üzerinden veri sahibi hakları.

Son kullanıcınızdan bir veri sahibi talebi alırsınız. Bunu, kontrolör adına veri sahibi talebi olarak panel veya API üzerinden iletirsiniz - Elido, veri sahibini değil kontrolörü (sizi) doğrular. Paket imzalı bir zip dosyasıdır: kimlik kaydı, bağlantılar, veri sahibinin aktör olduğu denetim günlüğü kayıtları, veri sahibi bir çalışma alanı sahibiyse fatura makbuzları. Standart SLA 30 gündür; Business hızlandırılmış seçenek 5 iş günü içinde döner.

  1. Adım 1

    Veri sahibi talebi

    Son kullanıcı → kontrolör (siz)

    Veri sahibi sizinle iletişime geçer. Onları Elido'da değil, kendi ürününüzde doğrularsınız.

  2. Adım 2

    DSAR API çağrısı

    POST /v1/dsar

    Veri sahibinin e-postası ve talep türüyle (dışa aktarma / silme) birlikte kontrolör adına talep olarak iletin.

  3. Adım 3

    Çalışma alanı paketi

    imzalı zip · JSON + CSV

    Kimlik, bağlantılar, veri sahibinin aktör olduğu denetim günlüğü kayıtları, sahipse fatura bilgileri, anonimleştirilmiş tıklama meta verileri.

  4. Adım 4

    SLA

    30 gün · hızlandırılmışta 5 gün

    Her planda standart SLA; Business hızlandırılmış katman 5 iş günü içinde döner.

Herkese açık şekilde listelenen beş alt işleyici

Beş tedarikçi. Herkese açık şekilde listelendi.

Tedarikçi konumu, işleme amacı, veri kategorileri ve DPA referans URL'sini içeren tam liste /legal/subprocessors adresinde yer alır. Bir alt işleyici eklemek veya değiştirmek, işleme başlamadan önce her çalışma alanı yöneticisine uygulama içi banner ve e-posta yoluyla 30 günlük bir bildirim tetikler, böylece müşteriler itiraz edebilir.

Alt işleyici dağılımı · çalışma alanı veri akışı
5 tedarikçi · herkese açık liste
Çalışma alanınız
ws_xxxx
AB bölgesi (varsayılan)
  • Bilişim ve barındırmaISO 27001
    Ana uygulama + uç (edge) altyapısı
    AB · Almanya + Finlandiya
  • Uç bilişim (edge compute)ISO 27001 · SOC 2
    Business bölge sabitlemeleri
    AB + APAC
  • E-posta gönderimiSOC 2 Type II
    İşlemsel e-posta
    AB (yalnızca AB için vazgeçme seçeneği)
  • ÖdemelerPCI DSS L1
    Kart edinme (card acquiring)
    AB
  • CDN + WAFISO 27001 · SOC 2
    Pazarlama proxy'si (yönlendirme yolu değil)
    Küresel · AB yönlendirmesi
Bir tedarikçi eklemek 30 günlük müşteri bildirimini tetikler/legal/subprocessors

Uyumluluk durumu

Müşterilerin sorduğu çerçevelerde nerede durduğumuz.

Gelecek zaman iddiaları yok. Her satır, bugün hayata geçirilmiş olanı, gözlem aşamasında olanı ve sözleşme kapsamında ek hizmet olarak sunulanı belirtir.

Tamamlandı

ISO 27001

Bilgi güvenliği yönetim sistemi; sertifikalı kapsam, Elido platformunun tamamını kapsar.

Devam ediyor

SOC 2 Type II

Gözlem dönemi 2026'nın ikinci yarısına kadar sürüyor. Type I raporu bugün NDA kapsamında mevcuttur.

Varsayılan

GDPR

Varsayılan olarak AB veri ikameti, standart SCC'lerle önceden imzalanmış DPA, herkese açık alt işleyici listesi.

Mevcut

HIPAA'ya hazır

Şifreleme, denetim günlüğü tutma ve erişim kontrolleri zaten devrede olan Business+ planında BAA.

Varsayılan

AB veri ikameti

Tüm operasyonel veriler AB bölgesinde kalır. Schrems II / DPF'ye bağımlılık yoktur.

Varsayılan

Şifreleme

Bekleyen veride AES-256, aktarımda TLS 1.3, KMS destekli anahtar rotasyonu. Business planında BYOK.

Uyumluluk SSS

Satın alma ekiplerinin bize sürekli e-posta ile sorduğu sorular.

DPA imzalıyor musunuz?

Evet. Standart DPA'mız AB SCC'leriyle önceden imzalanmış olup /legal/dpa adresinden indirilebilir. Varsayılan koşullar için müzakereye gerek yoktur - ücretli planlarda otomatik olarak karşı imzalanır. Business ve Enterprise planlarında özel değişiklik talepleri (redline) mümkündür.

Kaç alt işleyici kullanıyorsunuz?

Beş tane, çoğunlukla AB merkezli: bilişim + barındırma (AB), bölge sabitlemeleri için uç bilişim (AB + APAC), işlemsel e-posta (AB), ödemeler (AB) ve yönlendirme yoluna asla dokunmayan yalnızca pazarlama amaçlı bir proxy + WAF. Konum, amaç ve DPA referansıyla birlikte tam adlandırılmış liste /legal/subprocessors adresindedir.

Bölge sabitleme her planda mevcut mu?

AB veri ikameti, her planda, her çalışma alanı için varsayılandır ve asla değişmez. ABD Doğu veya Asya-Pasifik'e isteğe bağlı sabitleme yalnızca çalışma alanı düzeyindedir, oluşturma anında geri alınamaz ve yalnızca Business ve Enterprise planlarında sunulur.

DSAR yanıt süresi ne kadar?

Her planda standart SLA 30 gündür. Business ve Enterprise planları 5 iş günlük hızlandırılmış bir katman elde eder. DSAR talepleri API veya panel (POST /v1/dsar) üzerinden gönderilir - siz kontrolörü doğrularsınız, biz sizi doğrularız ve paket; kimlik, bağlantılar, denetim günlüğü kayıtları ve fatura kayıtlarını içeren imzalı bir zip olarak gönderilir.

HIPAA için BAA'lar nasıl işliyor?

BAA yalnızca Business+ planında sunulur. Teknik önlemler (şifreleme, denetim günlüğü tutma, erişim kontrolü, güvenli yedekleme) varsayılan katmanla aynıdır - BAA bir özellik kısıtlaması değil, evrak işidir. Başlamak için [email protected] adresine e-posta gönderin.

Kendi sunucunuzda barındırma (self-host) seçeneği var mı?

Evet. Yönlendirme katmanı ve click-ingester, Kubernetes için bir Helm chart ile birlikte Apache 2.0 lisansı altında açık kaynaktır. Müşteriler yönlendirme katmanını kendi VPC'lerinde çalıştırıp paneli bizim kontrol düzlemimize yönlendirebilir veya tüm yığını kendi sunucularında (on-prem) çalıştırabilir. Depo, bizim çalıştırdığımız kodun aynısıdır.

Alt işleyici değişiklikleri hakkında müşterileri nasıl bilgilendiriyorsunuz?

Bir alt işleyici eklemek veya değiştirmek, her çalışma alanı yöneticisine uygulama içi banner ve e-posta yoluyla 30 günlük bir bildirim tetikler. Müşteriler, işleme başlamadan önce itiraz edebilir. /legal/subprocessors adresindeki liste herkese açık bir git deposuna işlenir, böylece değişiklikler sürüm kontrolü geçmişinde görünür.

Olayları ve çalışma süresini nerede yayımlıyorsunuz?

Canlı durum, son olaylar ve tam olay sonrası incelemeler /status adresindedir. Güvenliği etkileyen olaylar ayrıca [email protected] abonelerine ve DPA'da tanımlanan SLA süresi içinde Güven Merkezi sayfasına da yayınlanır.

İletişim

Bir güvenlik sorunuz mu var?

Güvenlik açığı bildirimleri için [email protected] (PGP mevcuttur). SOC 2 / ISO / DPA için [email protected]. Bir iş günü içinde yanıt veriyoruz.

Güvenlik

Güvenlik açığı bildirimleri, security.txt, PGP anahtarı. Bir iş günü içinde yanıt veriyoruz.

[email protected]

Uyumluluk

SOC 2 / ISO talepleri, DPA karşı imzalama, alt işleyici bildirimleri, HIPAA için BAA süreci.

[email protected]

Satış

Enterprise satın alma süreçleri, güvenlik anketleri ve özel koşul talepleri.

[email protected]

Satın alma süreciniz ne zaman hazırsa, biz de hazırız.

Önceden imzalanmış DPA, herkese açık alt işleyici listesi, her planda denetim günlüğü. Ücretsiz başlayın veya güvenlik anketi kısayolu için satış ekibiyle görüşün.