Vertrauen · Compliance
Vertrauen, buchstabiert.
Diese Seite listet jede Regelung auf, der wir entsprechen, wie wir sie erfüllen und welche zugrunde liegenden Anbieter die Audits durchführen, auf die wir uns stützen. Alles hier ist selbstbescheinigt – wir listen auf, was wir heute ehrlich vertreten können, und sagen Ihnen, was wir nicht können.
Zuletzt überprüft — 2026-04-21
Ehrlichkeitsklausel
Wir haben kein externes SOC 2- oder ISO 27001-Audit unserer eigenen Systeme abgeschlossen. Wir werden diese Abzeichen nicht für uns selbst anzeigen. Wo wir uns auf Anbieter verlassen, die diese Audits durchführen – Clerk, Convex, Vercel, Dodo – listen wir ihre Zertifizierungen im Infrastrukturabschnitt unten auf, da diese Zertifizierungen für die Hosting- und Identitätsschicht gelten, auf der wir aufbauen, nicht für unseren eigenen Code. Wir wären lieber ein kleines Unternehmen, das die Wahrheit sagt, als ein kleines Unternehmen, das die Abzeichen anderer leiht.
— Unterzeichnet, das zlabz.io Team
01 — Datenschutzrahmen
Datenschutzrahmen, denen wir entsprechen
Jeder Punkt wird durch eine konkrete Kontrolle unterstützt, die wir bereitstellen – kein Versprechen auf einer Folie. Klicken Sie auf einen beliebigen Punkt, um die Beweise zu sehen, auf denen er basiert.
- 01
DSGVO · EU-Verordnung 2016/679
SelbstbescheinigtRechtsgrundlage (Einwilligung + Vertrag), transparente Datenschutzerklärung, Datenminimierung, 13-monatige Aufbewahrungsgrenze, vollständige Betroffenenrechte (Zugang, Berichtigung, Löschung, Übertragbarkeit, Widerspruch, Einschränkung), benannte Unterauftragsverarbeiter, EU-freundliche Übertragungen und dokumentierte Sicherheitsmaßnahmen.
Wie wir es erfüllen/privacy · granulare Cookie-Einwilligung · /api/user/export · Kontolöschung in /settings · /subprocessors
- 02
UK DSGVO · 2021
SelbstbescheinigtPost-Brexit UK-spezifische DSGVO-Regelung. Wir wenden die gleichen Kontrollen wie die EU-DSGVO an – die UK-Version ist auf operativer Ebene im Wesentlichen identisch, sodass die Compliance durch die gleichen Mechanismen erfolgt.
Wie wir es erfüllenGleiche Kontrollen wie EU-DSGVO · ICO-konforme Datenschutzerklärung
- 03
CCPA / CPRA · Kalifornien, USA
SelbstbescheinigtKein Verkauf oder Teilen von persönlichen Informationen, klare Mitteilung bei der Erhebung, Recht auf Wissen / Zugang / Löschung / Korrektur, Recht auf Einschränkung der Nutzung sensibler Informationen, keine Diskriminierung bei der Ausübung von Rechten. Wir behandeln alle CA-Nutzer mit dem Ansatz maximaler Rechte.
Wie wir es erfüllen/privacy · 'Nicht verkaufen oder teilen' ist kein Thema, da wir es nicht tun · /api/user/export · Kontolöschung
- 04
LGPD · Brasilien Gesetz 13.709/2018
SelbstbescheinigtBrasilianisches Datenschutzgesetz, das auf der DSGVO basiert. Wir stützen uns auf Einwilligung und legitime vertragliche Grundlage, respektieren alle Betroffenenrechte und kennzeichnen LGPD ausdrücklich in unserem Cookie-Banner, damit brasilianische Nutzer das Rahmenwerk erkennen.
Wie wir es erfüllenCookie-Banner LGPD-Kennzeichnung · /privacy · /api/user/export
- 05
ePrivacy · EU-Richtlinie 2002/58 (Cookie-Gesetz)
SelbstbescheinigtKeine nicht wesentlichen Cookies werden vor ausdrücklicher Einwilligung aktiviert. 'Alle akzeptieren' und 'Optionale ablehnen' haben gleiche Prominenz. Keine vorab angekreuzten Kästchen, kein 'X', das stillschweigend akzeptiert. Die Einwilligung ist versioniert und läuft nach 13 Monaten automatisch ab, sodass wesentliche Änderungen erneut abgefragt werden.
Wie wir es erfüllenSkriptblockierung vor Einwilligung in cookie-consent.tsx · versionierte Einwilligung in use-cookie-consent.ts
- 06
COPPA · USA · Kinder unter 13
SelbstbescheinigtUnser Dienst richtet sich nicht an Kinder unter 13 Jahren. Wir sammeln wissentlich keine persönlichen Informationen von Minderjährigen und erklären dies in einfacher Sprache in unserer Datenschutzerklärung. Wenn wir erfahren, dass sich ein Minderjähriger registriert hat, löschen wir das Konto nach Benachrichtigung.
Wie wir es erfüllen'Kinder'-Abschnitt in /privacy · keine Funktionen, die sich an Minderjährige richten
- 07
PCI DSS · SAQ-A Bereich
SelbstbescheinigtKartendaten berühren niemals unsere Server. Alle Zahlungen werden zu Dodo Payments umgeleitet (PCI DSS Level 1 zertifizierter Anbieter). Das platziert uns eindeutig im SAQ-A Bereich – die leichteste Form der PCI-Compliance und der einzige ehrliche Anspruch für einen Händler, der niemals PANs verarbeitet.
Wie wir es erfüllenDodo-gehosteter Checkout · keine PAN-Speicherung · keine CVV-Erfassung
02 — Sicherheitsstatus
Sicherheitsstatus
Die technischen Kontrollen hinter den oben genannten Compliance-Ansprüchen. Das meiste davon ist das Ergebnis sorgfältiger Auswahl von Anbietern anstelle eigener Entwicklungen.
- Hosting · Vercel + Coolify
- Primäre Web- und API-Workloads laufen auf Vercel (SOC 2 Typ II, ISO 27001). Render- und Suchdienste laufen auf einem von Coolify verwalteten EU-VPS mit fail2ban, UFW-Firewall und einem nicht-root Deploy-Benutzer. TLS wird durchgehend erzwungen.
- Datenbank · Convex (verschlüsselt im Ruhezustand)
- Alle Benutzerdaten befinden sich in Convex, das Daten standardmäßig im Ruhezustand verschlüsselt und SOC 2 Typ II zertifiziert ist. Wir fragen es mit strikter Benutzerzuordnung über Clerk-Identität ab – keine mandantenübergreifenden Zugriffspfade.
- Identität · Clerk (wir berühren niemals Passwörter)
- Clerk verwaltet Anmeldung, Passwortspeicherung, MFA, Sitzungsrotation und OAuth. Wir sehen oder speichern niemals Passwörter. Sitzungen basieren auf JWT und werden pro Anfrage gegen Clerks JWKS verifiziert.
- Zahlungen · Dodo (PCI Level 1)
- Checkout wird zu Dodo Payments umgeleitet. Kartennummern, CVVs und vollständige PANs werden niemals an zlabz.io übertragen oder in unserer Datenbank gespeichert – nur der Planstatus, die Abonnement-ID und die Abrechnungsmetadaten.
- Transport · Nur HTTPS, modernes TLS
- Alle Endpunkte erzwingen HTTPS über HSTS. Wir setzen strikte COOP/COEP-Header auf den Editor-Routen für die Sicherheit von SharedArrayBuffer, und die App läuft in einem CORS-credentialless Kontext.
- Aufbewahrung · 13-monatige Grenze
- Kontodaten werden gespeichert, solange Ihr Konto aktiv ist. Bei Löschung löscht ein Convex-Kaskadenauftrag Profil, Abonnement, Guthaben, Projekte und Support-Historie. Abrechnungsunterlagen werden gemäß den gesetzlichen Mindestanforderungen (typischerweise 7 Jahre) aufbewahrt.
03 — Ihre Rechte
Ihre Rechte
Jedes unten stehende Recht ist ein Button, den Sie heute anklicken können – kein Prozess, der 30 Tage E-Mail-Pingpong erfordert.
Zugang + Übertragbarkeit
Laden Sie jederzeit einen JSON-Schnappschuss von allem herunter, was wir über Sie speichern. Beinhaltet Profil, Abonnement, Guthaben, Support-Tickets, Feedback und Projekte.
Meine Daten exportierenLöschung
Löschen Sie Ihr Konto mit einem Klick. Wir löschen Ihre Zeilen aus Convex. Abrechnungsunterlagen, die für die Steuerkonformität erforderlich sind, werden gemäß den gesetzlichen Mindestanforderungen aufbewahrt.
Mein Konto löschenEinwilligung widerrufen
Ändern Sie Ihre Cookie-Einstellungen jederzeit. Der Widerruf ist so einfach wie die Erteilung – klicken Sie einfach auf 'Cookie-Einstellungen' irgendwo im Footer.
Cookies verwalten04 — Infrastruktur
Zugrunde liegende Infrastruktur (welche Anbieter die Audits durchführen)
Wir zeigen keine Anbieterabzeichen, als wären sie unsere eigenen – aber die untenstehenden Zertifizierungen gelten für die Plattformen, auf denen wir aufbauen, was sich direkt auf unseren Sicherheitsstatus auswirkt. Dies ist die ehrliche Version von 'auf SOC 2-Infrastruktur aufgebaut'.
Identität · Sitzungen · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Datenbank · Echtzeit-Synchronisation
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Web- + API-Hosting · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Checkout · Kartenverarbeitung
PCI DSS Level 1 · SOC 2 · GDPR
KI-Absatzgenerierung
GDPR · SOC 2 Type II · EU-hosted
Aggregierte Analysen (selbst gehostet)
GDPR · ePrivacy · No PII
Was wir NICHT behaupten
Wir haben keine SOC 2 Typ I oder Typ II, ISO 27001, ISO 27701, HIPAA, FedRAMP oder andere Drittanbieter-Audits unserer eigenen Systeme abgeschlossen. Wenn die Beschaffung durch Unternehmen dieses Maß an Sicherheit speziell von uns erfordert, kontaktieren Sie uns – wir können Anbieterberichte und einen Sicherheitsfragebogen teilen, aber wir werden keine Abzeichen erfinden, die wir nicht haben.
05 — Verwandte Dokumente
Verwandte Dokumente
Fragen
Haben Sie noch Fragen?
Wenn Ihr Beschaffungsteam eine unterzeichnete DPA, einen Sicherheitsfragebogen oder tiefere Dokumentation benötigt, kontaktieren Sie uns und wir antworten innerhalb von zwei Werktagen.
Support kontaktieren