الثقة · الامتثال
الثقة، موضحة.
تسرد هذه الصفحة كل لائحة نلتزم بها، وكيف نلتزم بها، وأي البائعين الأساسيين يحملون التدقيقات التي نعتمد عليها. كل شيء هنا معتمد ذاتيًا — ندرج ما يمكننا الدفاع عنه بصدق اليوم، ونخبرك بما لا يمكننا.
آخر مراجعة — 2026-04-21
بند الصدق
لم نكمل تدقيق SOC 2 أو ISO 27001 خارجي لأنظمتنا الخاصة. لن نعرض تلك الشارات لأنفسنا. حيث نعتمد على البائعين الذين يحملون تلك التدقيقات — Clerk، Convex، Vercel، Dodo — ندرج شهاداتهم في قسم البنية التحتية أدناه، لأن تلك الشهادات تنطبق على طبقة الاستضافة والهوية التي نعتمد عليها، وليس على قاعدة الشيفرة الخاصة بنا. نفضل أن نكون شركة صغيرة تقول الحقيقة بدلاً من شركة صغيرة تستعير شارات الآخرين.
— بتوقيع، فريق zlabz.io
01 — إطارات الخصوصية
إطارات الخصوصية التي نلتزم بها
كل عنصر مدعوم بتحكم ملموس نقدمه — وليس بوعد على شريحة. انقر على أي عنصر لرؤية الأدلة التي يستند إليها.
- 01
GDPR · لائحة الاتحاد الأوروبي 2016/679
معتمد ذاتيًاأساس قانوني (الموافقة + العقد)، إشعار خصوصية شفاف، تقليل البيانات، حد احتفاظ 13 شهرًا، حقوق كاملة للموضوع (الوصول، التصحيح، المحو، النقل، الاعتراض، التقييد)، المعالجات الفرعية المسماة، التحويلات الصديقة للاتحاد الأوروبي، وتدابير الأمان الموثقة.
كيف نلتزم بها/privacy · موافقة مفصلة على الكوكيز · /api/user/export · حذف الحساب في /settings · /subprocessors
- 02
UK GDPR · 2021
معتمد ذاتيًالائحة GDPR خاصة بالمملكة المتحدة بعد خروج بريطانيا من الاتحاد الأوروبي. نطبق نفس الضوابط مثل GDPR الاتحاد الأوروبي — النسخة البريطانية متطابقة جوهريًا على المستوى التشغيلي، لذا يتم الامتثال من خلال نفس الآليات.
كيف نلتزم بهانفس الضوابط مثل GDPR الاتحاد الأوروبي · إشعار الخصوصية المتوافق مع ICO
- 03
CCPA / CPRA · كاليفورنيا، الولايات المتحدة الأمريكية
معتمد ذاتيًالا بيع أو مشاركة للمعلومات الشخصية، إشعار واضح عند الجمع، الحق في المعرفة / الوصول / الحذف / التصحيح، الحق في تقييد استخدام المعلومات الحساسة، عدم التمييز لممارسة الحقوق. نتعامل مع جميع مستخدمي كاليفورنيا بأقصى نهج للحقوق.
كيف نلتزم بها/privacy · 'عدم البيع أو المشاركة' ليست قضية لأننا لا نفعل · /api/user/export · حذف الحساب
- 04
LGPD · البرازيل Lei 13.709/2018
معتمد ذاتيًاقانون الخصوصية البرازيلي مستوحى من GDPR. نعتمد على الموافقة والأساس التعاقدي المشروع، ونحترم جميع حقوق موضوع البيانات، ونشير إلى LGPD بوضوح في شريط الكوكيز لدينا حتى يتعرف المستخدمون البرازيليون على الإطار.
كيف نلتزم بهاإشارة LGPD في شريط الكوكيز · /privacy · /api/user/export
- 05
ePrivacy · توجيه الاتحاد الأوروبي 2002/58 (قانون الكوكيز)
معتمد ذاتيًالا يتم تشغيل الكوكيز غير الضرورية قبل الموافقة الصريحة. 'قبول الكل' و'رفض الاختياري' لهما نفس الأهمية. لا توجد مربعات محددة مسبقًا، ولا 'X' يقبل بصمت. يتم إصدار الموافقة تلقائيًا وتنتهي صلاحيتها بعد 13 شهرًا حتى يتم إعادة المطالبة بالتغييرات المادية.
كيف نلتزم بهاحجب النصوص قبل الموافقة في cookie-consent.tsx · الموافقة المصدرة في use-cookie-consent.ts
- 06
COPPA · الولايات المتحدة الأمريكية · الأطفال دون 13 عامًا
معتمد ذاتيًاخدمتنا ليست موجهة للأطفال دون 13 عامًا. لا نجمع معلومات شخصية عن عمد من القاصرين، ونشرح ذلك بلغة بسيطة في سياسة الخصوصية لدينا. إذا علمنا أن قاصرًا قد سجل، نقوم بحذف الحساب عند الإشعار.
كيف نلتزم بهاقسم 'الأطفال' في /privacy · لا ميزات تستهدف القاصرين
- 07
PCI DSS · نطاق SAQ-A
معتمد ذاتيًالا تصل بيانات البطاقات إلى خوادمنا أبدًا. جميع المدفوعات يتم إعادة توجيهها إلى Dodo Payments (مزود معتمد PCI DSS المستوى 1). هذا يضعنا بوضوح في نطاق SAQ-A — الشكل الأخف من الامتثال PCI، والادعاء الوحيد الصادق لتاجر لا يتعامل أبدًا مع PANs.
كيف نلتزم بهاالدفع المستضاف من Dodo · لا تخزين PAN · لا التقاط CVV
02 — وضع الأمان
وضع الأمان
الضوابط التقنية وراء ادعاءات الامتثال أعلاه. معظم هذا هو نتيجة اختيار البائعين بعناية بدلاً من تطوير أنظمتنا الخاصة.
- الاستضافة · Vercel + Coolify
- تشغيل الأعمال الأساسية للويب وAPI على Vercel (SOC 2 النوع الثاني، ISO 27001). خدمات العرض والبحث تعمل على VPS مدار من Coolify في الاتحاد الأوروبي مع fail2ban، جدار حماية UFW، ومستخدم نشر غير جذري. يتم فرض TLS من النهاية إلى النهاية.
- قاعدة البيانات · Convex (مشفرة عند الراحة)
- تعيش جميع بيانات المستخدم في Convex، التي تشفر البيانات عند الراحة افتراضيًا ومعتمدة SOC 2 النوع الثاني. نقوم بالاستعلام عنها بنطاق صارم لكل مستخدم عبر هوية Clerk — لا مسارات وصول عبر المستأجرين.
- الهوية · Clerk (لا نتعامل مع كلمات المرور)
- يتولى Clerk تسجيل الدخول، تخزين كلمات المرور، MFA، تدوير الجلسات، وOAuth. لا نرى أو نخزن كلمات المرور. الجلسات تعتمد على JWT ويتم التحقق منها لكل طلب مقابل JWKS الخاص بـ Clerk.
- المدفوعات · Dodo (PCI المستوى 1)
- إعادة توجيه الدفع إلى Dodo Payments. لا يتم نقل أرقام البطاقات، CVVs، وPANs الكاملة إلى zlabz.io أو تخزينها في قاعدة بياناتنا — فقط حالة الخطة، معرف الاشتراك، وبيانات الفوترة.
- النقل · HTTPS فقط، TLS حديث
- تفرض جميع النقاط النهائية HTTPS عبر HSTS. نضع رؤوس COOP/COEP صارمة على مسارات المحرر لأمان SharedArrayBuffer، والتطبيق يعمل في سياق بدون بيانات اعتماد CORS.
- الاحتفاظ · حد 13 شهرًا
- يتم الاحتفاظ ببيانات الحساب بينما يكون حسابك نشطًا. عند الحذف، يقوم عمل Convex بمسح الملف الشخصي، الاشتراك، الاعتمادات، المشاريع، وتاريخ الدعم. يتم الاحتفاظ بسجلات الفوترة وفقًا للحد الأدنى لقوانين الضرائب (عادة 7 سنوات) حسب الحاجة.
03 — حقوقك
حقوقك
كل حق أدناه هو زر يمكنك النقر عليه اليوم — وليس عملية تستغرق 30 يومًا من تبادل البريد الإلكتروني.
الوصول + النقل
قم بتنزيل لقطة JSON لكل ما نخزنه عنك، في أي وقت. يغطي الملف الشخصي، الاشتراك، الاعتمادات، تذاكر الدعم، الملاحظات، والمشاريع.
تصدير بياناتيالمحو
احذف حسابك بنقرة واحدة. نقوم بمسح الصفوف الخاصة بك من Convex. يتم الاحتفاظ بسجلات الفوترة للامتثال الضريبي وفقًا للحد الأدنى المطلوب بموجب القانون.
احذف حسابيسحب الموافقة
غيّر تفضيلات الكوكيز الخاصة بك في أي وقت. السحب سهل مثل المنح — فقط انقر على 'تفضيلات الكوكيز' في أي مكان في التذييل.
إدارة الكوكيز04 — البنية التحتية
البنية التحتية الأساسية (ما البائعين الذين يحملون التدقيقات)
لا نعرض شارات البائعين كما لو كانت تخصنا — لكن الشهادات أدناه تنطبق على المنصات التي نعتمد عليها، مما يؤثر بشكل مباشر على وضع الأمان لدينا. هذا هو الإصدار الصادق من 'مبني على بنية تحتية SOC 2'.
الهوية · الجلسات · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
قاعدة البيانات · المزامنة في الوقت الحقيقي
SOC 2 Type II · GDPR · CCPA · HIPAA ready
استضافة الويب + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
الدفع · معالجة البطاقات
PCI DSS Level 1 · SOC 2 · GDPR
توليد الفقرات بالذكاء الاصطناعي
GDPR · SOC 2 Type II · EU-hosted
تحليلات مجمعة (مستضافة ذاتيًا)
GDPR · ePrivacy · No PII
ما لا ندعيه
لم نكمل SOC 2 النوع الأول أو الثاني، ISO 27001، ISO 27701، HIPAA، FedRAMP، أو أي تدقيق طرف ثالث آخر لأنظمتنا الخاصة. إذا كان شراء المؤسسات يتطلب ذلك المستوى من الضمان منا تحديدًا، فاتصل بنا — يمكننا مشاركة تقارير البائعين واستبيان الأمان، ولكن لن نخترع شارات لا نحملها.
05 — الوثائق ذات الصلة
الوثائق ذات الصلة
أسئلة
هل لا تزال لديك أسئلة؟
إذا كان فريق المشتريات الخاص بك يحتاج إلى DPA موقع، استبيان أمان، أو وثائق أعمق، تواصل معنا وسنرد خلال يومي عمل.
اتصل بالدعم