The shortener your DPO won’t push back on.
Ви вимірюєте час відповіді DSAR, свіжість SOC 2-доказів і скільки vendor-питань коштує sales-цикл. Elido — це шортнер, проти якого ваш DPO не заперечуватиме.
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- FrankfurtFRA · eu-central-1EU residency · default
Default for every workspace. Audit log, clicks, backups stay in-region. No DPF or Schrems II reliance.
- AshburnIAD · us-east-1Opt-in
Workspace creation only. Irreversible. For US-resident customers who want US data path.
- SingaporeSIN · ap-southeast-1Business+ · opt-in
Workspace creation only. Irreversible. APAC residency for Business and Enterprise plans.
Append-only audit log
Every state change. Actor, IP, before/after diff, source.
Append-only is enforced at the database layer: the audit table grants only INSERT and SELECT to application roles, with no UPDATE or DELETE. Even our own admins can’t rewrite history without a migration that shows up in change control. Retention is 90 days on Pro and 7 years on Business — covering SOX, MiFID II, and HIPAA without an add-on.
- Actor identityUser ID or service principal, plus source IP and request ID
- Before/after diffStructured JSON diff of the changed row — not just a text log line
- SIEM firehoseHMAC-signed webhook to Splunk / Datadog / ELK in real time
- Tamper-evidentPostgres GRANT enforcement; no UPDATE / DELETE for app roles
{ "domain": "go.acme.eu",- "status": "pending_dns",+ "status": "verified",- "tls_mode": "none",+ "tls_mode": "on_demand",+ "verified_at": "2026-05-08T11:42:18Z", "workspace_id": "ws_8a2f" }Data subject access requests
DSAR, not support ticket. API call, signed bundle, SLA clock.
You receive a subject request from your end user. You forward it via the dashboard or API as a controller-on-behalf-of-subject request — Elido authenticates the controller (you), not the subject. The bundle is a signed zip: identity record, links, audit-log entries where the subject is the actor, billing receipts if the subject is a workspace owner. Standard SLA is 30 days; Business expedited returns inside 5 business days.
- Step 1
Subject request
End user → controller (you)Subject contacts you. You authenticate them in your own product, not in Elido.
- Step 2
DSAR API call
POST /v1/dsarForward as a controller-on-behalf request with subject email + request type (export / erase).
- Step 3
Workspace bundle
signed zip · JSON + CSVIdentity, links, audit-log entries where subject is actor, billing if owner, anonymised click metadata.
- Step 4
SLA
30 days · 5 days expeditedStandard SLA on every plan; Business expedited tier returns inside 5 business days.
Five sub-processors, listed publicly
Hetzner, OVH, Postmark, monobank Plata, Cloudflare. That’s the list.
The full list with vendor location, processing purpose, data categories, and DPA reference URL lives at /legal/subprocessors and is checked into the public docs repo, so changes appear in git history. Adding or replacing a sub-processor triggers a 30-day notice to every workspace admin via in-app banner and email before processing begins, so customers can object. monobank Plata replaced LiqPay under ADR-0026 in 2026-05.
- HetznerISO 27001Compute · primary infraEU · Frankfurt + Helsinki
- OVHISO 27001 · SOC 2Compute · Business region pinsEU + APAC POPs
- PostmarkSOC 2 Type IITransactional emailEU (opt-out for EU-only)
- monobank PlataPCI DSS L1Payments · replaced LiqPay (ADR-0026)EU
- CloudflareISO 27001 · SOC 2Marketing proxy + WAF (not redirect path)Global
What you can put on the procurement deck
- EU-default eu-central-1 region for every workspace
- Append-only audit log enforced at the Postgres GRANT layer
- 5 sub-processors, all listed publicly with location + purpose
- DSAR API with 30-day SLA (5-day expedited on Business)
- ISO 27001 achieved · SOC 2 Type II in progress (H2 2026)
- HIPAA-ready BAA on Business+ with safeguards already wired
Як 'compliance' виглядає в продукті
Більшість сервісів скорочення посилань відповідають на питання про комплаєнс односторінковим документом та анкетою постачальника. Наведені нижче функції — це те, що дійсно реалізовано в коді, а не просто обіцянки в презентації для закупівель.
EU за замовчуванням, закріплення регіону для кожного робочого простору
Франкфурт є регіоном за замовчуванням для кожного нового робочого простору. Події кліків, метадані посилань, журнали аудиту, експорт — усе залишається в eu-central-1, якщо адміністратор не закріпить робочий простір за Ешберном або Сінгапуром під час створення. Транскордонної реплікації для 'гарячих' даних немає; резервні копії шифруються у стані спокою та зберігаються в тому самому регіоні, що й джерело. DPF (Data Privacy Framework) не є частиною нашої історії комплаєнсу — ми не покладаємося на механізми передачі між США та ЄС, тому що ми не здійснюємо передачу.
Журнал усіх змін стану тільки для додавання
Налаштування робочого простору, випуск та ротація API-ключів, запрошення учасників та зміна ролей, підтвердження власних доменів, редагування брендингу, створення / оновлення / видалення посилань — кожна мутація потрапляє в журнал аудиту з ідентифікатором автора, міткою часу, порівнянням 'до/після' та IP-адресою джерела. Журнали зберігаються протягом 90 днів на тарифі Pro та 7 років на Business; обидва рівні можуть транслювати потік даних у SIEM (Splunk, Datadog, ELK) через webhook у реальному часі. Втручання запобігає обмеження 'тільки додавання' на рівні бази даних; журнал доступний для запитів, але не для редагування, навіть адміністраторами.
П'ять постачальників, усі перелічені публічно
Ми використовуємо рівно п'ять субпроцесорів: Hetzner (обчислення, ЄС), OVH (обчислення, ЄС + APAC для Business), Postmark (транзакційні електронні листи, США — відмова для варіанту 'тільки ЄС'), LiqPay (платежі, ЄС) та Cloudflare (проксі + WAF, глобально). Повний список із зазначенням місця розташування, мети та посилання на DPA доступний за адресою /legal/subprocessors, а оновлення ініціюють 30-денне повідомлення клієнтам. Ми не додаємо субпроцесорів таємно; список перевіряється в репозиторії документації та переглядається щокварталу.
Експорт та видалення через API, а не через тікет у службу підтримки
Експорт даних користувача повертає пакет JSON + CSV, що охоплює ідентифікаційні дані, створені посилання, записи журналу аудиту, що належать суб'єкту, та метадані подій кліків, які стосуються цього суб'єкта (зазвичай жодних — кліки анонімізуються під час отримання, якщо тільки робочий простір явно не вмикає відстеження PII). Видалення — це м'яке видалення з 30-денним вікном для відновлення у разі випадкового видалення, після чого слідує повне видалення з основної бази, реплік та резервних копій. SLA становить 30 днів з моменту запиту; на прискореному рівні Business термін скорочується до 5 робочих днів.
SOC 2 Type II, ISO 27001, готовність до HIPAA
Аудит SOC 2 Type II триває (план: 2-ге півріччя 2026 року); засоби контролю та докази вже на місці — ми чекаємо на вікно аудиту. ISO 27001 отримано. 'Готовність до HIPAA' означає, що ми підписуємо BAA на рівні Business+ та маємо впроваджені технічні засоби захисту (шифрування, журнал аудиту, контроль доступу, процедури сповіщення про порушення); сертифікація є специфічною для галузі, а не єдиною печаткою у стилі SOC. Стан довіри задокументовано на /trust, а оновлення відображаються в /changelog.
Stack you’ll evidence
- EU-residency
- GDPR DPA
- SOC 2 Type II (у процесі)
- ISO 27001
- Audit log + SIEM firehose
- DSAR API
Що вимірює ваш DPO
- Кількість субпідрядників
- 5, лише ЄС за замовчуванням
- Відповідь DSAR
- Менше 30 днів
- Збереження audit log
- 7 років на Business
Команди з комплаєнсу, що використовують це
Наразі імена є заповнювачами — справжні імена клієнтів з'являться тут після публікації кейсів.
“Нам довелося піти від Bitly, коли наш аудитор звернув увагу на список субпроцесорів зі США. Стандарт Elido 'тільки ЄС' пройшов перевірку закупівель за два тижні; раніше ми не могли пройти далі запиту 'покажіть мені DPA' у попереднього постачальника.”
“BAA на тарифі Business став вирішальним фактором. Крім того, журнал аудиту транслюється безпосередньо в наш Datadog SIEM — нам не довелося писати рівень синхронізації самостійно.”
“Schrems II дискваліфікував чотири сервіси скорочення посилань, які ми оцінювали. Elido був єдиним, чия відповідь на запитання 'де знаходяться дані?' була 'у країні, яку ви вказали'. Це і є весь критерій.”
Що змінюється, коли покупцем є відділ комплаєнсу
Якщо ваш DPO перевіряє постачальника, це запитання, які він поставить. Чесні відповіді за трьома варіантами.
| Capability | Elido | Bitly Enterprise | Звичайний сервіс скорочення |
|---|---|---|---|
| Резидентність даних за замовчуванням | ЄС (Франкфурт) для кожного робочого простору | США за замовчуванням; ЄС за запитом на Enterprise | Регіон залежить від тарифного плану |
| Залежність від DPF / Schrems II | Жодної — шлях даних через США відсутній | У списку DPF; покладається на механізм передачі | Змішано; залежить від субпроцесорів |
| Кількість субпроцесорів | 5, усі перелічені публічно | 20+ на різних тарифних планах | Не опубліковано |
| Підписання DPA | Попередньо підписано, доступно для завантаження | Ручне підписання за запитом | За запитом, тільки на платних планах |
| Термін зберігання журналу аудиту | 7 років на Business | 1 рік за замовчуванням | 30-90 днів |
| Стрімінг журналу аудиту → SIEM | Webhook-потік, у реальному часі | Тільки щоденний експорт | Завантаження вручну |
| Виконання DSAR | API; стандартно <30 днів, прискорено <5 днів | Тікет у підтримку; 30 днів | Тікет у підтримку; SLA варіюється |
| Підтримка BAA / HIPAA | Так на Business+ | Доповнення для Enterprise | Ні |
| SOC 2 / ISO 27001 | ISO 27001; SOC 2 Type II триває | Обидва, зрілі | Жодного |
Поширені запитання від відділу закупівель
Де саме зберігаються наші дані?
EU-Central (Франкфурт) за замовчуванням. Postgres, ClickHouse (потік кліків), Redis (кеш), MinIO (сховище активів) та резервні копії — усе знаходиться в eu-central-1. Дані не реплікуються до США чи APAC, якщо адміністратор явно не закріпить робочий простір за Ешберном або Сінгапуром під час створення — це свідомий, незворотний вибір (робочі простори не мігрують між регіонами). Повна архітектура описана в /docs/strategy/ARCHITECTURE.md, що знаходиться у публічному репозиторії.
Чи охоплюєте ви SOC 2 / ISO 27001?
ISO 27001 отримано. Аудит SOC 2 Type II триває з ціллю на 2-ге півріччя 2026 року — засоби контролю та докази вже діють, період аудиту є тривалим процесом. Ми надаємо докази Type 1 за запитом під NDA сьогодні; звіти Type 2 будуть опубліковані публічно після готовності. Центр довіри на /trust відстежує поточний стан.
Чи підписуєте ви DPA?
Попередньо підписаний та доступний для завантаження з /legal/dpa. DPA посилається на наш список субпроцесорів на /legal/subprocessors як на живий документ; зміни в списку субпроцесорів передбачають 30-денне повідомлення клієнтів. Якщо вам потрібні правки (redlines), це тема для розмови про контракт Business+; стандарти зазвичай приймаються європейськими DPO без змін.
Скільки субпроцесорів задіяно?
П'ять: Hetzner (обчислення, ЄС), OVH (обчислення, ЄС + APAC для клієнтів за межами ЄС), Postmark (транзакційні електронні листи — відмова для варіанту 'тільки ЄС'), LiqPay (платежі, ЄС), Cloudflare (проксі + WAF, глобально). Місця розташування та призначення кожного вказані на /legal/subprocessors. Додавання субпроцесора ініціює 30-денне повідомлення клієнтів; ми не додаємо їх заднім числом без попередження.
Чи можемо ми використовувати власні HSM / KMS для ключів шифрування?
Так у версії для власного хостингу. SaaS Elido шифрує дані у стані спокою за допомогою AWS KMS (для кожного регіону) та під час передачі за допомогою TLS 1.3; наразі ми не підтримуємо керований клієнтом KMS у мультиорендному SaaS. Версія для самостійного хостингу (Helm-чарт, ліцензія Apache 2.0) дозволяє вказати на власний KMS / Vault / HSM.
Який SLA для сповіщення про порушення?
Підтверджені порушення персональних даних: сповіщення клієнта протягом 24 годин, сповіщення регулятора протягом 72 годин (GDPR ст. 33). Сповіщення охоплює те, що нам відомо на той момент; ми не чекаємо повного завершення криміналістичної експертизи. Процес описано в нашому Центрі довіри на /trust/incident-response.
Чи виконуєте ви запити DSAR від кінцевих користувачів (суб'єктів даних), а не лише від нас як клієнта?
Ми діємо за інструкціями контролера (вас, клієнта). Кінцеві користувачі звертаються до вас; ви пересилаєте запит через панель керування або API, і ми його виконуємо. Ми не приймаємо DSAR безпосередньо від кінцевих користувачів, оскільки не мали б можливості аутентифікувати їх як суб'єктів вашого робочого простору — ця аутентифікація є вашою відповідальністю.
Чи може адміністратор Elido втрутитися в журнал аудиту?
Ні. Журнал доступний тільки для додавання на рівні бази даних; навіть наші власні адміністратори не можуть редагувати історичні записи. Видалення старих записів після закінчення терміну зберігання автоматизовано і реєструється як мета-подія 'очищення за терміном зберігання', тому сама прогалина є об'єктом аудиту. Втручання в реальному часі вимагало б вторгнення на рівні бази даних в обхід коду нашого додатка, що є такою ж моделлю загроз, як і будь-яке інше пошкодження таблиць — це покривається RLS та нашими засобами контролю SOC 2.
Чи є у вас публічний файл security.txt / політика узгодженого розкриття вразливостей?
Так — security.txt за адресою /.well-known/security.txt; політика узгодженого розкриття вразливостей на /trust/disclosure. Програма bug bounty працює через HackerOne (приватна програма; зверніться за адресою security@elido.app для отримання запрошення, якщо у вас є незареєстрована знахідка).
Що відбувається після закінчення контракту? Як нам отримати свої дані?
Повний експорт даних у будь-який час через API або разовий запит у службу підтримки. Пакет JSON + CSV, що містить посилання, події кліків (сирі або агреговані, за вашим вибором), журнал аудиту, учасників, налаштування, брендинг. Після закінчення контракту ми зберігаємо дані протягом 30 днів для відновлення у разі випадкового скасування, після чого слідує остаточне видалення з основної бази, реплік та резервних копій. Ми можемо надати письмове підтвердження видалення, якщо ваш DPA цього вимагає.
DPO’s reading list
Sub-processors, DPA, security.txt — the public version of every claim on this page.
Pre-signed DPA, downloadable. Standard EU SCCs, no negotiation needed for default terms.
Five vendors, public list with location, purpose, DPA reference per row.
Encryption, access control, vulnerability disclosure, incident response timelines.
WorkOS-managed SAML / OIDC + SCIM directory sync; deprovisioning within minutes.
DSAR endpoints, audit log streaming, scoped API keys — typed across TS / Py / Go.
Не впевнені, який кут підходить?
Більшість команд починають з одного і розвиваються у всі чотири. Наша команда продажів може розглянути ваш конкретний стек за 20 хвилин.