אמון · עמידה בתקנים
אמון, כתוב במפורש.
דף זה מפרט כל תקנה שאנו עומדים בה, איך אנו עומדים בה, ואילו ספקים בסיסיים מבצעים את הביקורות שאנו מסתמכים עליהן. כל מה שכאן הוא בהצהרה עצמית — אנו מפרטים מה אנו יכולים לעמוד מאחוריו בכנות היום, ואומרים לך מה לא.
נבדק לאחרונה — 2026-04-21
סעיף כנות
לא השלמנו ביקורת חיצונית SOC 2 או ISO 27001 על המערכות שלנו. לא נציג את התגים הללו עבור עצמנו. כאשר אנו מסתמכים על ספקים שמחזיקים בביקורות אלו — Clerk, Convex, Vercel, Dodo — אנו מפרטים את האישורים שלהם בסעיף התשתית למטה, כי האישורים הללו חלים על שכבת האירוח והזהות שאנו יושבים עליה, ולא על בסיס הקוד שלנו. אנו מעדיפים להיות חברה קטנה שמספרת את האמת מאשר חברה קטנה שמשתמשת בתגים של אחרים.
— בברכה, צוות zlabz.io
01 — מסגרות פרטיות
מסגרות פרטיות שאנו עומדים בהן
כל פריט מגובה בבקרה קונקרטית שאנו מספקים — לא הבטחה על שקף. לחץ על כל פריט כדי לראות את הראיות שהוא מבוסס עליהן.
- 01
GDPR · תקנה 2016/679 של האיחוד האירופי
בהצהרה עצמיתבסיס חוקי (הסכמה + חוזה), הודעת פרטיות שקופה, מזעור נתונים, מגבלת שמירה של 13 חודשים, זכויות נושא מלאות (גישה, תיקון, מחיקה, ניידות, התנגדות, הגבלה), תת-מעבדים בשם, העברות ידידותיות לאיחוד האירופי, ואמצעי אבטחה מתועדים.
איך אנו עומדים בזה/privacy · הסכמה מפורטת לעוגיות · /api/user/export · מחיקת חשבון ב-/settings · /subprocessors
- 02
UK GDPR · 2021
בהצהרה עצמיתתקנת GDPR ספציפית לבריטניה לאחר הברקזיט. אנו מיישמים את אותן בקרות כמו ב-GDPR של האיחוד האירופי — הגרסה הבריטית זהה במהותה ברמה התפעולית, כך שהעמידה מתבצעת באותם מנגנונים.
איך אנו עומדים בזהאותן בקרות כמו GDPR של האיחוד האירופי · הודעת פרטיות מותאמת ל-ICO
- 03
CCPA / CPRA · קליפורניה, ארה"ב
בהצהרה עצמיתאין מכירה או שיתוף של מידע אישי, הודעה ברורה בעת איסוף, זכות לדעת / לגשת / למחוק / לתקן, זכות להגביל שימוש במידע רגיש, אי אפליה על מימוש זכויות. אנו מתייחסים לכל המשתמשים בקליפורניה בגישה של זכויות מקסימליות.
איך אנו עומדים בזה/privacy · 'אל תמכור או שתף' הוא לא נושא כי אנחנו לא עושים זאת · /api/user/export · מחיקת חשבון
- 04
LGPD · ברזיל Lei 13.709/2018
בהצהרה עצמיתחוק פרטיות ברזילאי המבוסס על GDPR. אנו מסתמכים על הסכמה ובסיס חוזי לגיטימי, מכבדים את כל זכויות נושא הנתונים, ומסמנים את LGPD במפורש בבאנר העוגיות שלנו כך שמשתמשים ברזילאים יזהו את המסגרת.
איך אנו עומדים בזהסימון LGPD בבאנר עוגיות · /privacy · /api/user/export
- 05
ePrivacy · דירקטיבה 2002/58 של האיחוד האירופי (חוק העוגיות)
בהצהרה עצמיתאין עוגיות לא חיוניות מופעלות לפני הסכמה מפורשת. 'קבל הכל' ו'דחה אופציונלי' מקבלים בולטות שווה. אין תיבות מסומנות מראש, אין 'X' שמקבל בשקט. ההסכמה מתועדת ופג תוקף אוטומטית לאחר 13 חודשים כך ששינויים מהותיים ידרשו הסכמה מחדש.
איך אנו עומדים בזהחסימת סקריפטים לפני הסכמה ב-cookie-consent.tsx · הסכמה מתועדת ב-use-cookie-consent.ts
- 06
COPPA · ארה"ב · ילדים מתחת לגיל 13
בהצהרה עצמיתהשירות שלנו אינו מכוון לילדים מתחת לגיל 13. אנו לא אוספים ביודעין מידע אישי מקטינים, ואנו מסבירים זאת בשפה פשוטה במדיניות הפרטיות שלנו. אם נגלה שקטין נרשם, נמחק את החשבון בהודעה.
איך אנו עומדים בזהסעיף 'ילדים' ב-/privacy · אין תכונות המיועדות לקטינים
- 07
PCI DSS · תחום SAQ-A
בהצהרה עצמיתנתוני כרטיסים לעולם לא נוגעים בשרתים שלנו. כל התשלומים מנותבים מחדש ל-Dodo Payments (ספק מוסמך PCI DSS רמה 1). זה מציב אותנו במדויק בתחום SAQ-A — הצורה הקלה ביותר של עמידה ב-PCI, וההצהרה הכנה היחידה עבור סוחר שלעולם לא מטפל ב-PANs.
איך אנו עומדים בזהתשלום מאוחסן ב-Dodo · אין אחסון PAN · אין לכידת CVV
02 — עמדת אבטחה
עמדת אבטחה
הבקרות הטכניות מאחורי טענות העמידה בתקנים לעיל. רוב זה הוא תוצאה של בחירת ספקים בקפידה במקום לפתח בעצמנו.
- אירוח · Vercel + Coolify
- עומסי עבודה ראשיים של רשת ו-API פועלים על Vercel (SOC 2 סוג II, ISO 27001). שירותי רינדור וחיפוש פועלים על VPS מנוהל על ידי Coolify באיחוד האירופי עם fail2ban, חומת אש UFW, ומשתמש פריסה שאינו root. TLS נאכף מקצה לקצה.
- בסיס נתונים · Convex (מוצפן במנוחה)
- כל נתוני המשתמשים נמצאים ב-Convex, שמצפין נתונים במנוחה כברירת מחדל ומוסמך SOC 2 סוג II. אנו מבצעים שאילתות עם תחום קפדני לכל משתמש דרך Clerk identity — אין נתיבי גישה בין דיירים.
- זהות · Clerk (אנו לעולם לא נוגעים בסיסמאות)
- Clerk מטפל בכניסה, אחסון סיסמאות, MFA, סיבוב מושבים, ו-OAuth. אנו לעולם לא רואים או מאחסנים סיסמאות. מושבים מבוססי JWT ומאומתים לכל בקשה מול JWKS של Clerk.
- תשלומים · Dodo (רמה 1 של PCI)
- תהליך התשלום מנותב מחדש ל-Dodo Payments. מספרי כרטיסים, CVVs, ו-PANs מלאים לעולם לא מועברים ל-zlabz.io או מאוחסנים בבסיס הנתונים שלנו — רק מצב תוכנית, מזהה מנוי, ומטא-נתונים של חיוב.
- תחבורה · HTTPS בלבד, TLS מודרני
- כל נקודות הקצה אוכפות HTTPS דרך HSTS. אנו מגדירים כותרות COOP/COEP מחמירות על מסלולי העורך לבטיחות SharedArrayBuffer, והאפליקציה פועלת בהקשר ללא אישורי CORS.
- שמירה · מגבלת 13 חודשים
- נתוני חשבון נשמרים כל עוד החשבון שלך פעיל. בעת מחיקה, משימת cascade של Convex מוחקת פרופיל, מנוי, קרדיטים, פרויקטים, והיסטוריית תמיכה. רשומות חיוב נשמרות לפי מינימום חוקי מס (בדרך כלל 7 שנים) כנדרש.
03 — הזכויות שלך
הזכויות שלך
כל זכות למטה היא כפתור שאתה יכול ללחוץ עליו היום — לא תהליך שלוקח 30 ימים של התכתבות במייל.
גישה + ניידות
הורד תמונת מצב JSON של כל מה שאנו מאחסנים עליך, בכל עת. מכסה פרופיל, מנוי, קרדיטים, כרטיסי תמיכה, משוב, ופרויקטים.
ייצא את הנתונים שלימחיקה
מחק את החשבון שלך בלחיצה אחת. אנו מוחקים את השורות שלך מ-Convex. רשומות חיוב שנשמרות לצורך עמידה במיסוי נשמרות לפי המינימום הנדרש בחוק.
מחק את החשבון שלימשוך הסכמה
שנה את העדפות העוגיות שלך בכל עת. משיכת הסכמה היא קלה כמו הענקה — פשוט לחץ על 'העדפות עוגיות' בכל מקום בכותרת התחתונה.
נהל עוגיות04 — תשתית
תשתית בסיסית (אילו ספקים מבצעים את הביקורות)
אנו לא מציגים תגים של ספקים כאילו היו שלנו — אבל האישורים למטה חלים על הפלטפורמות שאנו יושבים עליהן, מה שמשפיע ישירות על עמדת האבטחה שלנו. זו הגרסה הכנה של 'נבנה על תשתית SOC 2'.
זהות · מושבים · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
בסיס נתונים · סנכרון בזמן אמת
SOC 2 Type II · GDPR · CCPA · HIPAA ready
אירוח רשת + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
תהליך תשלום · טיפול בכרטיסים
PCI DSS Level 1 · SOC 2 · GDPR
יצירת פסקאות AI
GDPR · SOC 2 Type II · EU-hosted
אנליטיקות מצטברות (מאוחסן בעצמנו)
GDPR · ePrivacy · No PII
מה שאנו לא טוענים
לא השלמנו SOC 2 סוג I או סוג II, ISO 27001, ISO 27701, HIPAA, FedRAMP, או כל ביקורת צד שלישי אחרת על המערכות שלנו. אם רכישת ארגונים דורשת רמת הבטחה זו מאיתנו ספציפית, צור קשר — אנו יכולים לשתף דוחות ספקים ושאלון אבטחה, אבל לא ניצור תגים שאין לנו.
05 — מסמכים קשורים
מסמכים קשורים
שאלות
עדיין יש לך שאלות?
אם צוות הרכש שלך צריך DPA חתום, שאלון אבטחה, או תיעוד מעמיק יותר, צור קשר ונענה תוך שני ימי עסקים.
צור קשר עם התמיכה