Elido
Trust Center

Довіра, зафіксована.

Elido - EU-хостинг за замовчуванням, GDPR-friendly, з audit trail з коробки. Усе нижче - те, що ми вже робимо, не плани.

Прочитати DPA[email protected]
SOC 2 Type II
ISO 27001
GDPR
HIPAA-aware (Business)
EU-residency
Регіон робочого простору · закріпити одного разу
незворотно при створенні
  • Регіон ЄСEU
    EU residency · за замовчуванням

    За замовчуванням для кожного робочого простору. Аудит-лог, кліки, бекапи залишаються в регіоні. Без залежності від DPF чи Schrems II.

  • Схід СШАUS
    Опціонально

    Лише при створенні простору. Незворотно. Для клієнтів-резидентів США, яким потрібен шлях даних у США.

  • Азійсько-Тихоокеанський регіонAPAC
    Business+ · опціонально

    Лише при створенні простору. Незворотно. APAC-residency для тарифів Business і Enterprise.

Без міжрегіональної реплікації для гарячих данихаудит · кліки · бекапи
5
Субпідрядників, публічний список
90д
Аудит на Pro (7 років на Business)
30д
SLA DSAR (5д прискорено на Business)
0
Міжрегіональних передач гарячих даних

Що «довіра» означає у продуктових термінах

Що ми маємо на увазі під довірою

Кожен пункт відповідає чомусь конкретному, що можна знайти в аудит-лозі або DPA. Без маркетингової двозначності.

EU-residency за замовчуванням

Усі операційні дані залишаються в регіоні ЄС. Business може закріпити схід США чи Азійсько-Тихоокеанський регіон. Free + Pro ніколи не покидають ЄС.

Audit trail на все

Налаштування воркспейсу, зміни ролей, ротації ключів, створення/видалення посилань, експорт. Кожна подія має who/when/what - експортується.

Read-only за замовчуванням для AI

AI-інтеграції отримують scoped, ротовані ключі. Запис/видалення - окреме явне налаштування з аудитом.

BYOK і customer-managed keys

Свій KMS для шифрування at-rest на Business. Ротуйте ключі без перешифровки cold storage.

Anti-abuse pipeline

Кожне посилання проганяється через композитний сканер (URLhaus + Google Safe Browsing + евристика) на створенні і ще раз - повторним воркером.

Прозорість sub-processors

Повний список, локація, призначення. Сповіщаємо про додавання; для частини є opt-out.

Append-only audit log

Кожна зміна стану записується.

Append-only гарантується на рівні бази: таблиця аудиту дозволяє ролям додатка лише INSERT і SELECT, без UPDATE та DELETE. Навіть наші власні адміністратори не можуть переписати історію без міграції, яка проходить через change control. Термін зберігання - 90 днів на Pro і 7 років на Business - покриває SOX, MiFID II та HIPAA без доплат.

  • Особа ініціатора
    ID користувача або сервісного principal, IP-адреса джерела і request ID
  • Diff до/після
    Структурований JSON-diff зміненого рядка - не просто текстовий запис лога
  • Потік до SIEM
    Webhook з HMAC-підписом у Splunk / Datadog / ELK у реальному часі
  • Захист від підробки
    Примусові GRANT бази даних; жодних UPDATE / DELETE для ролей додатка
Огляд безпеки →
Запис аудиту · evt_8c41a7
domain.claim · ws_8a2f
Ініціатор
[email protected]
Час (UTC)
2026-05-08T11:42:18Z
IP джерела
203.0.113.42 · DE
Джерело
dashboard · req_a4f9c1
  {    "domain": "go.acme.eu",-   "status": "pending_dns",+   "status": "verified",-   "tls_mode": "none",+   "tls_mode": "on_demand",+   "verified_at": "2026-05-08T11:42:18Z",    "workspace_id": "ws_8a2f"  }
Тип події
domain.claim
Рядки diff
+3 / -2
Зберігання
7 років (Business)
Append-only · примусово через GRANT бази данихТранслюється у SIEM

Запити суб’єктів даних

Права суб’єктів через API.

Ви отримуєте запит від свого кінцевого користувача. Пересилаєте його через панель або API як запит «контролер-від-імені-суб’єкта» - Elido аутентифікує контролера (вас), а не суб’єкта. Бандл - підписаний zip: запис особи, посилання, записи аудит-лога, де суб’єкт є ініціатором, біллингові квитанції, якщо суб’єкт - власник робочого простору. Стандартний SLA - 30 днів; прискорений тариф Business - 5 робочих днів.

  1. Крок 1

    Запит суб’єкта

    Кінцевий користувач → контролер (ви)

    Суб’єкт звертається до вас. Ви аутентифікуєте його у власному продукті, не в Elido.

  2. Крок 2

    Виклик DSAR API

    POST /v1/dsar

    Перешліть як запит «контролер-від-імені» з email суб’єкта і типом запиту (export / erase).

  3. Крок 3

    Бандл робочого простору

    підписаний zip · JSON + CSV

    Особа, посилання, записи аудит-лога з суб’єктом-ініціатором, біллинг при володінні, знеособлені метадані кліків.

  4. Крок 4

    SLA

    30 днів · 5 днів прискорено

    Стандартний SLA на будь-якому тарифі; прискорений Business повертає протягом 5 робочих днів.

Прочитати DPA →Опис DSAR-ендпоінта → API

П’ять субпідрядників, публічно перелічених

П’ять вендорів. Опубліковані.

Повний список з розташуванням вендора, цілями обробки, категоріями даних і посиланням на DPA знаходиться на /legal/subprocessors. Додавання або заміна субпідрядника запускає 30-денне сповіщення всім адміністраторам через in-app банер і email до початку обробки, щоб клієнти могли заперечити.

Розподіл субпідрядників · потік даних робочого простору
5 вендорів · публічний список
Ваш робочий простір
ws_xxxx
Регіон ЄС (за замовчуванням)
  • Обчислення та хостингISO 27001
    Основна інфраструктура додатку + edge
    EU · Німеччина + Фінляндія
  • Крайові обчисленняISO 27001 · SOC 2
    Регіональні піни Business
    EU + APAC
  • Доставка поштиSOC 2 Type II
    Транзакційна пошта
    EU (opt-out для EU-only)
  • ПлатежіPCI DSS L1
    Еквайринг карток
    EU
  • CDN + WAFISO 27001 · SOC 2
    Marketing-проксі (не на шляху редиректу)
    Глобально · EU-маршрутизація
Додавання вендора запускає 30-денне сповіщення клієнтам/legal/subprocessors
Повний список субпідрядників →Огляд безпеки → архітектура

Compliance-позиція

Де ми по фреймворках, про які запитують клієнти.

Жодних обіцянок у майбутньому часі. Кожен рядок каже, що вже працює сьогодні, що в спостереженні і що доступно як додаток за контрактом.

Досягнуто

ISO 27001

Система управління інформаційною безпекою, сертифікований обсяг покриває всю платформу Elido.

У роботі

SOC 2 Type II

Період спостереження триває до H2 2026. Звіт Type I доступний під NDA вже зараз.

За замовчуванням

GDPR

EU-residency за замовчуванням, передпідписана DPA зі стандартними SCC, публічний список субпідрядників.

Доступно

HIPAA-ready

BAA на Business+ із шифруванням, аудит-логом і контролем доступу з коробки.

За замовчуванням

EU residency

Усі операційні дані залишаються в регіоні ЄС. Без залежності від Schrems II / DPF.

За замовчуванням

Encryption

AES-256 у спокої, TLS 1.3 у передачі, KMS-ротація ключів. BYOK на Business.

Compliance FAQ

Питання, які procurement продовжує нам надсилати.

Ви підписуєте DPA?

Так. Наш стандартний DPA передпідписаний з EU SCC і доступний для завантаження на /legal/dpa. Для базових умов переговори не потрібні - платні плани отримують зустрічний підпис автоматично. Кастомні правки доступні на Business і Enterprise.

Скільки у вас субпідрядників?

П’ять, переважно з ЄС: обчислення + хостинг (EU), крайові обчислення для регіональних пінів (EU + APAC), транзакційна пошта (EU), платежі (EU) та маркетинговий проксі + WAF, що ніколи не торкається шляху редиректу. Повний іменований список із розташуванням, ціллю і посиланням на DPA на /legal/subprocessors.

Чи доступний пін регіону на кожному тарифі?

EU-residency - це значення за замовчуванням для кожного робочого простору, на кожному тарифі, і воно ніколи не змінюється. Опціональний пін у схід США або Азійсько-Тихоокеанський регіон застосовується лише при створенні простору, незворотний і доступний на тарифах Business і Enterprise.

Які терміни обробки DSAR?

Стандартний SLA - 30 днів на будь-якому тарифі. Business і Enterprise отримують прискорений тариф у 5 робочих днів. DSAR подаються через API або панель (POST /v1/dsar) - ви аутентифікуєте контролера, ми аутентифікуємо вас, бандл доставляється як підписаний zip з особою, посиланнями, записами аудит-лога і біллинговими записами.

Як працюють BAA для HIPAA?

BAA лише на Business+. Технічні заходи (шифрування, аудит-лог, контроль доступу, безпечне резервне копіювання) такі ж, як на базовому тарифі - BAA це папери, а не feature-gating. Напишіть на [email protected], щоб почати.

Чи є self-host?

Так. Рівень редиректу і сервіс прийому - open source під Apache 2.0 з Helm-чартом для Kubernetes. Клієнти запускають рівень редиректу у власній VPC і підключають панель до нашого control plane, або запускають весь стек on-prem. Репозиторій - це той самий код, що працює у нас.

Як ви сповіщаєте клієнтів про зміни субпідрядників?

Додавання або заміна субпідрядника запускає 30-денне сповіщення через in-app банер і email кожному адміністратору робочого простору. Клієнти можуть заперечити до початку обробки. Повний іменований список ведеться на /legal/subprocessors.

Де ви публікуєте інциденти й uptime?

Живий статус, недавні інциденти і повні post-mortem на /status. Інциденти, що зачіпають безпеку, також публікуються для підписників [email protected] і на сторінці Trust Center у межах SLA-вікна, визначеного в DPA.

Куди дивитися далі

Під кожним твердженням вище є публічний документ. Якщо ви оцінюєте нас для рішення про закупівлю, починайте звідси.

Sub-processors

З ким ми ділимося даними, де вони і навіщо.

DPA

Підпишіть до обробки персональних даних ЄС.

Privacy

Що збираємо, чого ні, терміни зберігання.

Security

Архітектура, шифрування, секрети, threat model.

Status

Live uptime, інциденти, post-mortems.

Контакти

Питання щодо безпеки?

[email protected] для звітів про вразливості (PGP доступний). [email protected] для SOC 2 / ISO / DPA. Відповідь - протягом одного робочого дня.

Безпека

Звіти про вразливості, security.txt, PGP-ключ. Відповідаємо протягом одного робочого дня.

[email protected]

Compliance

Запити SOC 2 / ISO, зустрічний підпис DPA, сповіщення про субпідрядників, процес BAA для HIPAA.

[email protected]

Sales

Enterprise-закупівлі, security-опитувальники і запити з кастомних умов.

[email protected]

Готові, коли готовий procurement.

Передпідписана DPA, публічний список субпідрядників, аудит-лог на кожному тарифі. Почніть безкоштовно або поговоріть із sales - ми прискоримо security-опитувальник.

Подивитися ціниЗв'язатися з відділом продажів