ट्रस्ट · अनुपालन
विश्वास, स्पष्ट रूप से।
यह पृष्ठ हर उस नियम को सूचीबद्ध करता है जिसका हम पालन करते हैं, हम इसे कैसे पूरा करते हैं, और किन अंतर्निहित विक्रेताओं ने उन ऑडिट्स को किया है जिन पर हम निर्भर हैं। यहां सब कुछ स्व-प्रमाणित है — हम वही सूचीबद्ध करते हैं जिसका हम आज ईमानदारी से समर्थन कर सकते हैं, और हम आपको बताते हैं कि हम क्या नहीं कर सकते।
अंतिम समीक्षा — 2026-04-21
ईमानदारी की धारा
हमने अपनी प्रणालियों का बाहरी SOC 2 या ISO 27001 ऑडिट पूरा नहीं किया है। हम अपने लिए उन बैजों को प्रदर्शित नहीं करेंगे। जहां हम उन विक्रेताओं पर निर्भर करते हैं जिनके पास ये ऑडिट हैं — Clerk, Convex, Vercel, Dodo — हम उनके प्रमाणपत्रों को नीचे अवसंरचना अनुभाग में सूचीबद्ध करते हैं, क्योंकि ये प्रमाणपत्र उस होस्टिंग और पहचान परत पर लागू होते हैं जिस पर हम आधारित हैं, न कि हमारे अपने कोडबेस पर। हम एक छोटी कंपनी बनना पसंद करेंगे जो सच बताती है बजाय इसके कि एक छोटी कंपनी जो दूसरों के बैज उधार लेती है।
— हस्ताक्षरित, zlabz.io टीम
01 — गोपनीयता ढांचे
गोपनीयता ढांचे जिनका हम पालन करते हैं
प्रत्येक आइटम एक ठोस नियंत्रण द्वारा समर्थित है जो हम भेजते हैं — एक स्लाइड पर एक वादा नहीं। जिस आइटम पर यह आधारित है, उसे देखने के लिए किसी भी आइटम पर क्लिक करें।
- 01
GDPR · EU विनियमन 2016/679
स्व-प्रमाणितवैध आधार (सहमति + अनुबंध), पारदर्शी गोपनीयता नोटिस, डेटा न्यूनतमकरण, 13-महीने की प्रतिधारण सीमा, पूर्ण विषय अधिकार (पहुँच, सुधार, मिटाना, पोर्टेबिलिटी, आपत्ति, प्रतिबंध), नामित उपप्रक्रियाकर्ता, EU-अनुकूल स्थानांतरण, और दस्तावेज़ित सुरक्षा उपाय।
हम इसे कैसे पूरा करते हैं/privacy · विस्तृत कुकी सहमति · /api/user/export · खाता हटाना /settings में · /subprocessors
- 02
UK GDPR · 2021
स्व-प्रमाणितब्रेक्सिट के बाद यूके-विशिष्ट GDPR विनियमन। हम EU GDPR के समान नियंत्रण लागू करते हैं — यूके संस्करण परिचालन स्तर पर सार्थक रूप से समान है, इसलिए अनुपालन समान तंत्र के माध्यम से किया जाता है।
हम इसे कैसे पूरा करते हैंEU GDPR के समान नियंत्रण · ICO-संरेखित गोपनीयता नोटिस
- 03
CCPA / CPRA · कैलिफ़ोर्निया, यूएसए
स्व-प्रमाणितव्यक्तिगत जानकारी की बिक्री या साझा नहीं, संग्रह पर स्पष्ट नोटिस, जानने / पहुँच / हटाने / सही करने का अधिकार, संवेदनशील जानकारी के उपयोग को सीमित करने का अधिकार, अधिकारों का प्रयोग करने के लिए गैर-भेदभाव। हम सभी CA उपयोगकर्ताओं के साथ अधिकतम-अधिकार दृष्टिकोण के साथ व्यवहार करते हैं।
हम इसे कैसे पूरा करते हैं/privacy · 'बेचें या साझा न करें' एक गैर-मुद्दा है क्योंकि हम नहीं करते · /api/user/export · खाता हटाना
- 04
LGPD · ब्राज़ील Lei 13.709/2018
स्व-प्रमाणितGDPR पर आधारित ब्राज़ीलियाई गोपनीयता कानून। हम सहमति और वैध अनुबंधीय आधार पर निर्भर करते हैं, सभी डेटा-विषय अधिकारों का सम्मान करते हैं, और हमारे कुकी बैनर में LGPD को स्पष्ट रूप से चिह्नित करते हैं ताकि ब्राज़ीलियाई उपयोगकर्ता ढांचे को पहचान सकें।
हम इसे कैसे पूरा करते हैंकुकी बैनर LGPD चिह्न · /privacy · /api/user/export
- 05
ePrivacy · EU निर्देश 2002/58 (कुकी कानून)
स्व-प्रमाणितकोई गैर-आवश्यक कुकीज़ स्पष्ट सहमति से पहले सक्रिय नहीं होती हैं। 'सभी स्वीकार करें' और 'वैकल्पिक अस्वीकार करें' की समान प्रमुखता है। कोई पूर्व-चयनित बॉक्स नहीं, कोई 'X' नहीं जो चुपचाप स्वीकार करता है। सहमति संस्करणित है और 13 महीनों में स्वचालित रूप से समाप्त हो जाती है ताकि सामग्री में बदलाव के लिए फिर से अनुरोध किया जा सके।
हम इसे कैसे पूरा करते हैंकुकी-सहमति.tsx में पूर्व-सहमति स्क्रिप्ट ब्लॉकिंग · उपयोग-कुकी-सहमति.ts में संस्करणित सहमति
- 06
COPPA · यूएसए · 13 वर्ष से कम आयु के बच्चे
स्व-प्रमाणितहमारी सेवा 13 वर्ष से कम आयु के बच्चों के लिए निर्देशित नहीं है। हम जानबूझकर नाबालिगों से व्यक्तिगत जानकारी एकत्र नहीं करते हैं, और हम इसे अपनी गोपनीयता नीति में सरल भाषा में समझाते हैं। यदि हमें पता चलता है कि किसी नाबालिग ने पंजीकरण किया है, तो हम सूचना पर खाता हटा देते हैं।
हम इसे कैसे पूरा करते हैं'बच्चे' अनुभाग /privacy में · नाबालिगों को लक्षित करने वाली कोई विशेषताएं नहीं
- 07
PCI DSS · SAQ-A दायरा
स्व-प्रमाणितकार्ड डेटा कभी भी हमारे सर्वर को नहीं छूता। सभी भुगतान Dodo Payments (PCI DSS स्तर 1 प्रमाणित प्रदाता) पर पुनर्निर्देशित होते हैं। यह हमें SAQ-A दायरे में मजबूती से रखता है — PCI अनुपालन का सबसे हल्का रूप, और एक व्यापारी के लिए एकमात्र ईमानदार दावा जो कभी भी PANs को संभालता नहीं है।
हम इसे कैसे पूरा करते हैंDodo-होस्टेड चेकआउट · कोई PAN भंडारण नहीं · कोई CVV कैप्चर नहीं
02 — सुरक्षा स्थिति
सुरक्षा स्थिति
ऊपर दिए गए अनुपालन दावों के पीछे के तकनीकी नियंत्रण। इसका अधिकांश हिस्सा अपने स्वयं के रोलिंग के बजाय विक्रेताओं को सावधानीपूर्वक चुनने का परिणाम है।
- होस्टिंग · Vercel + Coolify
- प्राथमिक वेब और API वर्कलोड Vercel (SOC 2 प्रकार II, ISO 27001) पर चलते हैं। रेंडर और खोज सेवाएं Coolify-प्रबंधित EU VPS पर चलती हैं जिसमें fail2ban, UFW फ़ायरवॉल, और एक गैर-रूट परिनियोजन उपयोगकर्ता है। TLS अंत-से-अंत लागू है।
- डेटाबेस · Convex (आराम पर एन्क्रिप्टेड)
- सभी उपयोगकर्ता डेटा Convex में रहता है, जो डिफ़ॉल्ट रूप से आराम पर डेटा को एन्क्रिप्ट करता है और SOC 2 प्रकार II प्रमाणित है। हम Clerk पहचान के माध्यम से सख्त प्रति-उपयोगकर्ता स्कोपिंग के साथ इसे क्वेरी करते हैं — कोई क्रॉस-टेनेंट एक्सेस पथ नहीं।
- पहचान · Clerk (हम कभी पासवर्ड नहीं छूते)
- Clerk साइन-इन, पासवर्ड भंडारण, MFA, सत्र रोटेशन, और OAuth को संभालता है। हम कभी पासवर्ड नहीं देखते या स्टोर करते हैं। सत्र JWT-आधारित होते हैं और Clerk के JWKS के खिलाफ प्रति-प्रश्न सत्यापित होते हैं।
- भुगतान · Dodo (PCI स्तर 1)
- चेकआउट Dodo Payments पर पुनर्निर्देशित होता है। कार्ड नंबर, CVVs, और पूर्ण PANs कभी भी zlabz.io को प्रेषित नहीं किए जाते हैं या हमारे डेटाबेस में संग्रहीत नहीं होते हैं — केवल योजना की स्थिति, सदस्यता ID, और बिलिंग मेटाडेटा।
- परिवहन · केवल HTTPS, आधुनिक TLS
- सभी एंडपॉइंट्स HSTS के माध्यम से HTTPS लागू करते हैं। हम SharedArrayBuffer सुरक्षा के लिए संपादक मार्गों पर सख्त COOP/COEP हेडर सेट करते हैं, और ऐप एक CORS-क्रेडेंशियललेस संदर्भ में चलता है।
- प्रतिधारण · 13-महीने की सीमा
- जब तक आपका खाता सक्रिय है, खाता डेटा बनाए रखा जाता है। हटाने पर, एक Convex कैस्केड जॉब प्रोफ़ाइल, सदस्यता, क्रेडिट, परियोजनाएं, और समर्थन इतिहास मिटा देता है। कर-कानून न्यूनतमों (आमतौर पर 7 वर्ष) के अनुसार बिलिंग रिकॉर्ड बनाए रखे जाते हैं।
03 — आपके अधिकार
आपके अधिकार
नीचे दिया गया प्रत्येक अधिकार एक बटन है जिसे आप आज क्लिक कर सकते हैं — एक प्रक्रिया नहीं जो 30 दिनों के ईमेल पिंग-पोंग लेती है।
पहुँच + पोर्टेबिलिटी
किसी भी समय आपके बारे में हम जो कुछ भी संग्रहीत करते हैं उसका एक JSON स्नैपशॉट डाउनलोड करें। प्रोफ़ाइल, सदस्यता, क्रेडिट, समर्थन टिकट, प्रतिक्रिया, और परियोजनाओं को कवर करता है।
मेरे डेटा का निर्यात करेंमिटाना
एक क्लिक में अपना खाता हटाएं। हम Convex से आपकी पंक्तियों को कैस्केड-वाइप करते हैं। कर अनुपालन के लिए रखे गए बिलिंग रिकॉर्ड कानून द्वारा आवश्यक न्यूनतमों के अनुसार बनाए रखे जाते हैं।
मेरा खाता हटाएंसहमति वापस लेना
किसी भी समय अपनी कुकी प्राथमिकताएं बदलें। वापसी उतनी ही आसान है जितनी कि अनुदान — बस 'कुकी प्राथमिकताएं' पर कहीं भी क्लिक करें।
कुकीज़ प्रबंधित करें04 — अवसंरचना
अंतर्निहित अवसंरचना (कौन से विक्रेता ऑडिट करते हैं)
हम विक्रेता बैज को अपने जैसे प्रदर्शित नहीं करते — लेकिन नीचे दिए गए प्रमाणपत्र उन प्लेटफार्मों पर लागू होते हैं जिन पर हम आधारित हैं, जो सीधे हमारी सुरक्षा स्थिति को प्रभावित करते हैं। यह 'SOC 2 अवसंरचना पर निर्मित' का ईमानदार संस्करण है।
पहचान · सत्र · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
डेटाबेस · वास्तविक समय सिंक
SOC 2 Type II · GDPR · CCPA · HIPAA ready
वेब + API होस्टिंग · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
चेकआउट · कार्ड हैंडलिंग
PCI DSS Level 1 · SOC 2 · GDPR
AI अनुच्छेद निर्माण
GDPR · SOC 2 Type II · EU-hosted
संकलित विश्लेषिकी (स्व-होस्टेड)
GDPR · ePrivacy · No PII
हम क्या दावा नहीं करते
हमने अपनी प्रणालियों का SOC 2 प्रकार I या प्रकार II, ISO 27001, ISO 27701, HIPAA, FedRAMP, या किसी अन्य तृतीय-पक्ष ऑडिट पूरा नहीं किया है। यदि उद्यम खरीदारी को हमसे विशेष रूप से उस स्तर की आश्वासन की आवश्यकता है, तो हमसे संपर्क करें — हम विक्रेता रिपोर्ट और एक सुरक्षा प्रश्नावली साझा कर सकते हैं, लेकिन हम बैज नहीं बनाएंगे जो हमारे पास नहीं हैं।
05 — संबंधित दस्तावेज़
संबंधित दस्तावेज़
प्रश्न
अभी भी प्रश्न हैं?
यदि आपकी खरीदारी टीम को एक हस्ताक्षरित DPA, एक सुरक्षा प्रश्नावली, या गहरी दस्तावेज़ीकरण की आवश्यकता है, तो संपर्क करें और हम दो कार्यदिवसों के भीतर उत्तर देंगे।
सहायता से संपर्क करें