Confiance · Conformité
Confiance, expliquée.
Cette page répertorie chaque règlement auquel nous nous conformons, comment nous le respectons et quels fournisseurs sous-jacents effectuent les audits sur lesquels nous nous appuyons. Tout ici est auto-attesté — nous listons ce que nous pouvons honnêtement soutenir aujourd'hui, et nous vous disons ce que nous ne pouvons pas.
Dernière révision — 2026-04-21
Clause d'honnêteté
Nous n'avons pas terminé un audit externe SOC 2 ou ISO 27001 de nos propres systèmes. Nous n'afficherons pas ces badges pour nous-mêmes. Là où nous nous appuyons sur des fournisseurs qui détiennent ces audits — Clerk, Convex, Vercel, Dodo — nous listons leurs certifications dans la section infrastructure ci-dessous, car ces certifications s'appliquent à la couche d'hébergement et d'identité sur laquelle nous nous appuyons, pas à notre propre code. Nous préférons être une petite entreprise qui dit la vérité plutôt qu'une petite entreprise qui emprunte les badges des autres.
— Signé, l'équipe de zlabz.io
01 — Cadres de confidentialité
Cadres de confidentialité auxquels nous nous conformons
Chaque élément est soutenu par un contrôle concret que nous livrons — pas une promesse sur une diapositive. Cliquez sur n'importe quel élément pour voir les preuves sur lesquelles il est basé.
- 01
RGPD · Règlement UE 2016/679
Auto-attestéBase légale (consentement + contrat), avis de confidentialité transparent, minimisation des données, limite de rétention de 13 mois, droits complets des sujets (accès, rectification, effacement, portabilité, opposition, restriction), sous-traitants nommés, transferts favorables à l'UE et mesures de sécurité documentées.
Comment nous le respectons/privacy · consentement granulaire aux cookies · /api/user/export · suppression de compte dans /settings · /subprocessors
- 02
UK GDPR · 2021
Auto-attestéRèglement RGPD spécifique au Royaume-Uni post-Brexit. Nous appliquons les mêmes contrôles que le RGPD de l'UE — la version britannique est substantiellement identique au niveau opérationnel, donc la conformité est assurée par les mêmes mécanismes.
Comment nous le respectonsMêmes contrôles que le RGPD de l'UE · Avis de confidentialité aligné sur l'ICO
- 03
CCPA / CPRA · Californie, USA
Auto-attestéPas de vente ou de partage d'informations personnelles, avis clair lors de la collecte, droit de savoir / accéder / supprimer / corriger, droit de limiter l'utilisation des informations sensibles, non-discrimination pour l'exercice des droits. Nous traitons tous les utilisateurs de Californie avec l'approche des droits maximaux.
Comment nous le respectons/privacy · 'Ne pas vendre ou partager' n'est pas un problème car nous ne le faisons pas · /api/user/export · suppression de compte
- 04
LGPD · Brésil Loi 13.709/2018
Auto-attestéLoi brésilienne sur la confidentialité inspirée du RGPD. Nous nous appuyons sur le consentement et la base contractuelle légitime, respectons tous les droits des sujets de données et signalons explicitement le LGPD dans notre bannière de cookies pour que les utilisateurs brésiliens reconnaissent le cadre.
Comment nous le respectonsBannière de cookies avec signalisation LGPD · /privacy · /api/user/export
- 05
ePrivacy · Directive UE 2002/58 (loi sur les cookies)
Auto-attestéAucun cookie non essentiel ne se déclenche avant un consentement explicite. 'Tout accepter' et 'Rejeter les options' ont une importance égale. Pas de cases pré-cochées, pas de 'X' qui accepte silencieusement. Le consentement est versionné et expire automatiquement au bout de 13 mois, de sorte que les changements matériels nécessitent un nouveau consentement.
Comment nous le respectonsBlocage de script avant consentement dans cookie-consent.tsx · consentement versionné dans use-cookie-consent.ts
- 06
COPPA · USA · Enfants de moins de 13 ans
Auto-attestéNotre service n'est pas destiné aux enfants de moins de 13 ans. Nous ne collectons pas sciemment d'informations personnelles auprès de mineurs, et nous l'expliquons en termes simples dans notre politique de confidentialité. Si nous apprenons qu'un mineur s'est inscrit, nous supprimons le compte sur notification.
Comment nous le respectonsSection 'Enfants' dans /privacy · aucune fonctionnalité ciblant les mineurs
- 07
PCI DSS · Portée SAQ-A
Auto-attestéLes données de carte ne touchent jamais nos serveurs. Tous les paiements sont redirigés vers Dodo Payments (fournisseur certifié PCI DSS Niveau 1). Cela nous place clairement dans la portée SAQ-A — la forme la plus légère de conformité PCI, et la seule revendication honnête pour un marchand qui ne gère jamais les PAN.
Comment nous le respectonsPaiement hébergé par Dodo · pas de stockage de PAN · pas de capture de CVV
02 — Posture de sécurité
Posture de sécurité
Les contrôles techniques derrière les revendications de conformité ci-dessus. La plupart de cela résulte du choix minutieux des fournisseurs plutôt que de développer nos propres solutions.
- Hébergement · Vercel + Coolify
- Les charges de travail principales du web et de l'API fonctionnent sur Vercel (SOC 2 Type II, ISO 27001). Les services de rendu et de recherche fonctionnent sur un VPS géré par Coolify dans l'UE avec fail2ban, pare-feu UFW et un utilisateur de déploiement sans droits root. TLS est appliqué de bout en bout.
- Base de données · Convex (chiffrée au repos)
- Toutes les données utilisateur résident dans Convex, qui chiffre les données au repos par défaut et est certifié SOC 2 Type II. Nous les interrogeons avec une portée stricte par utilisateur via l'identité Clerk — pas de chemins d'accès inter-locataires.
- Identité · Clerk (nous ne touchons jamais aux mots de passe)
- Clerk gère la connexion, le stockage des mots de passe, l'AMF, la rotation des sessions et OAuth. Nous ne voyons ni ne stockons jamais les mots de passe. Les sessions sont basées sur JWT et vérifiées par requête contre le JWKS de Clerk.
- Paiements · Dodo (Niveau PCI 1)
- Le paiement est redirigé vers Dodo Payments. Les numéros de carte, CVV et PAN complets ne sont jamais transmis à zlabz.io ni stockés dans notre base de données — seulement le statut du plan, l'ID d'abonnement et les métadonnées de facturation.
- Transport · HTTPS uniquement, TLS moderne
- Tous les points de terminaison appliquent HTTPS via HSTS. Nous définissons des en-têtes COOP/COEP stricts sur les routes de l'éditeur pour la sécurité SharedArrayBuffer, et l'application fonctionne dans un contexte sans crédentialité CORS.
- Rétention · Limite de 13 mois
- Les données de compte sont conservées tant que votre compte est actif. En cas de suppression, un travail en cascade Convex efface le profil, l'abonnement, les crédits, les projets et l'historique de support. Les dossiers de facturation sont conservés selon les minimums légaux fiscaux (généralement 7 ans) comme requis.
03 — Vos droits
Vos droits
Chaque droit ci-dessous est un bouton sur lequel vous pouvez cliquer aujourd'hui — pas un processus qui prend 30 jours d'échanges par email.
Accès + portabilité
Téléchargez un instantané JSON de tout ce que nous stockons sur vous, à tout moment. Couvre le profil, l'abonnement, les crédits, les tickets de support, les retours et les projets.
Exporter mes donnéesEffacement
Supprimez votre compte en un clic. Nous effaçons en cascade vos lignes de Convex. Les dossiers de facturation conservés pour la conformité fiscale sont retenus selon les minimums requis par la loi.
Supprimer mon compteRetirer le consentement
Changez vos préférences de cookies à tout moment. Le retrait est aussi simple que l'octroi — il suffit de cliquer sur 'Préférences de cookies' n'importe où dans le pied de page.
Gérer les cookies04 — Infrastructure
Infrastructure sous-jacente (quels fournisseurs effectuent les audits)
Nous n'affichons pas les badges des fournisseurs comme s'ils étaient les nôtres — mais les certifications ci-dessous s'appliquent aux plateformes sur lesquelles nous nous appuyons, ce qui affecte directement notre posture de sécurité. C'est la version honnête de 'construit sur une infrastructure SOC 2'.
Identité · sessions · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Base de données · synchronisation en temps réel
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Hébergement Web + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Paiement · gestion des cartes
PCI DSS Level 1 · SOC 2 · GDPR
Génération de paragraphes par IA
GDPR · SOC 2 Type II · EU-hosted
Analytique agrégée (auto-hébergée)
GDPR · ePrivacy · No PII
Ce que nous ne revendiquons PAS
Nous n'avons pas complété SOC 2 Type I ou Type II, ISO 27001, ISO 27701, HIPAA, FedRAMP, ou tout autre audit tiers de nos propres systèmes. Si l'approvisionnement d'entreprise nécessite ce niveau d'assurance de notre part spécifiquement, contactez-nous — nous pouvons partager des rapports de fournisseurs et un questionnaire de sécurité, mais nous n'inventerons pas de badges que nous ne détenons pas.
05 — Documents liés
Documents liés
Questions
Vous avez encore des questions ?
Si votre équipe d'approvisionnement a besoin d'un DPA signé, d'un questionnaire de sécurité ou de documents plus approfondis, contactez-nous et nous répondrons dans les deux jours ouvrables.
Contacter le support