Confianza, detallada.

Cláusula de honestidad

No hemos completado una auditoría externa SOC 2 o ISO 27001 de nuestros propios sistemas. No mostraremos esas insignias para nosotros mismos. Donde confiamos en proveedores que sí tienen esas auditorías — Clerk, Convex, Vercel, Dodo — enumeramos sus certificaciones en la sección de infraestructura a continuación, porque esas certificaciones se aplican a la capa de alojamiento e identidad en la que nos basamos, no a nuestra propia base de código. Preferimos ser una pequeña empresa que dice la verdad que una pequeña empresa que toma prestadas las insignias de otros.

— Firmado, el equipo de zlabz.io

1. 01

   GDPR · Reglamento de la UE 2016/679

   Auto-certificado

   Base legal (consentimiento + contrato), aviso de privacidad transparente, minimización de datos, límite de retención de 13 meses, derechos completos del sujeto (acceso, rectificación, eliminación, portabilidad, objeción, restricción), subprocesadores nombrados, transferencias amigables con la UE y medidas de seguridad documentadas.

   Cómo lo cumplimos/privacy · consentimiento granular de cookies · /api/user/export · eliminación de cuenta en /settings · /subprocessors

2. 02

   UK GDPR · 2021

   Auto-certificado

   Regulación específica del Reino Unido posterior al Brexit. Aplicamos los mismos controles que el GDPR de la UE — la versión del Reino Unido es sustancialmente idéntica a nivel operativo, por lo que el cumplimiento se lleva a cabo a través de los mismos mecanismos.

   Cómo lo cumplimosMismos controles que el GDPR de la UE · aviso de privacidad alineado con ICO

3. 03

   CCPA / CPRA · California, EE. UU.

   Auto-certificado

   No venta ni compartición de información personal, aviso claro en la recopilación, derecho a saber / acceder / eliminar / corregir, derecho a limitar el uso de información sensible, no discriminación por ejercer derechos. Tratamos a todos los usuarios de CA con el enfoque de máximos derechos.

   Cómo lo cumplimos/privacy · 'No Vender ni Compartir' no es un problema porque no lo hacemos · /api/user/export · eliminación de cuenta

4. 04

   LGPD · Brasil Lei 13.709/2018

   Auto-certificado

   Ley de privacidad brasileña modelada en el GDPR. Confiamos en el consentimiento y la base contractual legítima, respetamos todos los derechos de los sujetos de datos y señalamos explícitamente el LGPD en nuestro banner de cookies para que los usuarios brasileños reconozcan el marco.

   Cómo lo cumplimosBandera LGPD en el banner de cookies · /privacy · /api/user/export

5. 05

   ePrivacy · Directiva de la UE 2002/58 (ley de cookies)

   Auto-certificado

   No se activan cookies no esenciales antes del consentimiento explícito. 'Aceptar todo' y 'Rechazar opcional' tienen igual prominencia. No hay casillas pre-marcadas, no hay 'X' que acepte silenciosamente. El consentimiento está versionado y expira automáticamente a los 13 meses para que los cambios materiales vuelvan a solicitarse.

   Cómo lo cumplimosBloqueo de scripts antes del consentimiento en cookie-consent.tsx · consentimiento versionado en use-cookie-consent.ts

6. 06

   COPPA · EE. UU. · Niños menores de 13 años

   Auto-certificado

   Nuestro servicio no está dirigido a niños menores de 13 años. No recopilamos conscientemente información personal de menores y explicamos esto en lenguaje claro en nuestra política de privacidad. Si nos enteramos de que un menor se ha registrado, eliminamos la cuenta al ser notificados.

   Cómo lo cumplimosSección 'Niños' en /privacy · sin características dirigidas a menores

7. 07

   PCI DSS · Alcance SAQ-A

   Auto-certificado

   Los datos de la tarjeta nunca tocan nuestros servidores. Todos los pagos se redirigen a Dodo Payments (proveedor certificado PCI DSS Nivel 1). Eso nos coloca claramente en el alcance SAQ-A — la forma más ligera de cumplimiento PCI, y la única afirmación honesta para un comerciante que nunca maneja PANs.

   Cómo lo cumplimosPago alojado por Dodo · sin almacenamiento de PAN · sin captura de CVV

01

Alojamiento · Vercel + Coolify

Las cargas de trabajo web y API principales se ejecutan en Vercel (SOC 2 Tipo II, ISO 27001). Los servicios de renderizado y búsqueda se ejecutan en un VPS de la UE gestionado por Coolify con fail2ban, firewall UFW y un usuario de implementación sin privilegios de root. TLS se aplica de extremo a extremo.

02

Base de datos · Convex (encriptada en reposo)

Todos los datos de los usuarios residen en Convex, que encripta los datos en reposo por defecto y está certificado SOC 2 Tipo II. Lo consultamos con un alcance estricto por usuario a través de la identidad de Clerk — sin rutas de acceso entre inquilinos.

03

Identidad · Clerk (nunca tocamos contraseñas)

Clerk maneja el inicio de sesión, almacenamiento de contraseñas, MFA, rotación de sesiones y OAuth. Nunca vemos ni almacenamos contraseñas. Las sesiones se basan en JWT y se verifican por solicitud contra el JWKS de Clerk.

04

Pagos · Dodo (PCI Nivel 1)

El pago se redirige a Dodo Payments. Los números de tarjeta, CVV y PAN completos nunca se transmiten a zlabz.io ni se almacenan en nuestra base de datos — solo el estado del plan, el ID de suscripción y los metadatos de facturación.

05

Transporte · Solo HTTPS, TLS moderno

Todos los puntos finales aplican HTTPS a través de HSTS. Establecemos encabezados COOP/COEP estrictos en las rutas del editor para la seguridad de SharedArrayBuffer, y la aplicación se ejecuta en un contexto sin credenciales de CORS.

06

Retención · Límite de 13 meses

Los datos de la cuenta se retienen mientras su cuenta esté activa. Al eliminarla, un trabajo en cascada de Convex borra el perfil, suscripción, créditos, proyectos e historial de soporte. Los registros de facturación se retienen según los mínimos legales fiscales (generalmente 7 años) según lo requerido.

• Política de Privacidad—>
• Términos del Servicio—>
• Lista de Subprocesadores—>
• Acuerdo de Procesamiento de Datos (DPA)—>