Bizalom, részletezve.

Őszinteségi záradék

Nem végeztünk külső SOC 2 vagy ISO 27001 auditot saját rendszereinken. Nem fogjuk ezeket a jelvényeket magunknak megjeleníteni. Ahol olyan alvállalkozókra támaszkodunk, akik rendelkeznek ezekkel az auditokkal — Clerk, Convex, Vercel, Dodo — az ő tanúsítványaikat az alábbi infrastruktúra szakaszban soroljuk fel, mert ezek a tanúsítványok a tárhely és az azonosítási rétegre vonatkoznak, amelyen mi működünk, nem pedig a saját kódbázisunkra. Inkább lennénk egy kis cég, amely igazat mond, mint egy kis cég, amely mások jelvényeit kölcsönzi.

— Aláírva, a zlabz.io csapata

1. 01

   GDPR · EU Rendelet 2016/679

   Önbevallott

   Jogos alap (hozzájárulás + szerződés), átlátható adatvédelmi nyilatkozat, adatminimalizálás, 13 hónapos megőrzési korlát, teljes alanyi jogok (hozzáférés, helyesbítés, törlés, hordozhatóság, tiltakozás, korlátozás), megnevezett alvállalkozók, EU-barát átviteli lehetőségek és dokumentált biztonsági intézkedések.

   Hogyan teljesítjük/privacy · részletes süti hozzájárulás · /api/user/export · fiók törlése a /settings-ben · /subprocessors

2. 02

   UK GDPR · 2021

   Önbevallott

   A Brexit utáni, az Egyesült Királyságra vonatkozó GDPR szabályozás. Ugyanazokat az ellenőrzéseket alkalmazzuk, mint az EU GDPR esetében — az Egyesült Királyság verziója lényegében azonos az operatív szinten, így a megfelelőség ugyanazon mechanizmusokon keresztül valósul meg.

   Hogyan teljesítjükUgyanazok az ellenőrzések, mint az EU GDPR · ICO-val összehangolt adatvédelmi nyilatkozat

3. 03

   CCPA / CPRA · Kalifornia, USA

   Önbevallott

   Nincs személyes adatok eladása vagy megosztása, egyértelmű értesítés a gyűjtéskor, jog a megismeréshez / hozzáféréshez / törléshez / helyesbítéshez, jog az érzékeny információk felhasználásának korlátozására, nem diszkrimináció a jogok gyakorlása miatt. Minden kaliforniai felhasználót a maximális jogok megközelítésével kezelünk.

   Hogyan teljesítjük/privacy · 'Ne adja el vagy ossza meg' nem kérdés, mert nem tesszük · /api/user/export · fiók törlése

4. 04

   LGPD · Brazília Lei 13.709/2018

   Önbevallott

   A brazil adatvédelmi törvény a GDPR mintájára készült. Hozzájárulásra és jogos szerződéses alapra támaszkodunk, tiszteletben tartjuk az összes adat alany jogait, és kifejezetten megjelöljük az LGPD-t a süti bannerünkben, hogy a brazil felhasználók felismerjék a keretrendszert.

   Hogyan teljesítjükSüti banner LGPD jelzés · /privacy · /api/user/export

5. 05

   ePrivacy · EU Irányelv 2002/58 (süti törvény)

   Önbevallott

   Nem lépnek életbe nem alapvető sütik kifejezett hozzájárulás előtt. Az 'Összes elfogadása' és az 'Opcionális elutasítása' egyenlő hangsúlyt kap. Nincsenek előre bejelölt négyzetek, nincs 'X', amely csendben elfogadja. A hozzájárulás verziózott és automatikusan lejár 13 hónap után, így az anyagi változások újra kérik a hozzájárulást.

   Hogyan teljesítjükElőzetes hozzájárulás szkript blokkolása a cookie-consent.tsx-ben · verziózott hozzájárulás a use-cookie-consent.ts-ben

6. 06

   COPPA · USA · 13 év alatti gyermekek

   Önbevallott

   Szolgáltatásunk nem irányul 13 év alatti gyermekek felé. Nem gyűjtünk tudatosan személyes adatokat kiskorúaktól, és ezt közérthető nyelven magyarázzuk el adatvédelmi irányelveinkben. Ha megtudjuk, hogy egy kiskorú regisztrált, értesítésre töröljük a fiókot.

   Hogyan teljesítjük'Gyermekek' szakasz a /privacy-ben · nincsenek kiskorúakat célzó funkciók

7. 07

   PCI DSS · SAQ-A hatókör

   Önbevallott

   Kártyaadatok soha nem érintik a szervereinket. Minden fizetés átirányításra kerül a Dodo Payments-hez (PCI DSS 1. szintű tanúsítvánnyal rendelkező szolgáltató). Ez egyértelműen az SAQ-A hatókörbe helyez minket — a PCI megfelelőség legkönnyebb formájába, és az egyetlen őszinte állítás egy kereskedő számára, amely soha nem kezeli a PAN-okat.

   Hogyan teljesítjükDodo által hosztolt fizetés · nincs PAN tárolás · nincs CVV rögzítés

01

Tárhely · Vercel + Coolify

Elsődleges web- és API-munkaterhelések a Vercelen futnak (SOC 2 Type II, ISO 27001). Renderelési és keresési szolgáltatások egy Coolify által kezelt EU VPS-en futnak, fail2ban, UFW tűzfal és nem root telepítési felhasználóval. A TLS végponttól végpontig érvényesül.

02

Adatbázis · Convex (titkosítva nyugalmi állapotban)

Minden felhasználói adat a Convexben található, amely alapértelmezés szerint titkosítja az adatokat nyugalmi állapotban, és SOC 2 Type II tanúsítvánnyal rendelkezik. Szigorú felhasználói hatókörrel kérdezzük le Clerk azonosítón keresztül — nincs keresztbérlői hozzáférési útvonal.

03

Azonosítás · Clerk (soha nem érintjük a jelszavakat)

A Clerk kezeli a bejelentkezést, jelszó tárolást, MFA-t, munkamenet forgatást és OAuth-ot. Soha nem látjuk vagy tároljuk a jelszavakat. A munkamenetek JWT-alapúak és kérésenként ellenőrzésre kerülnek a Clerk JWKS ellen.

04

Fizetések · Dodo (PCI 1. szint)

A fizetés átirányításra kerül a Dodo Payments-hez. Kártyaszámok, CVV-k és teljes PAN-ok soha nem kerülnek továbbításra a zlabz.io-hoz vagy tárolásra az adatbázisunkban — csak a terv státusz, előfizetési azonosító és számlázási metaadatok.

05

Szállítás · Csak HTTPS, modern TLS

Minden végpont HTTPS-t kényszerít a HSTS-en keresztül. Szigorú COOP/COEP fejléceket állítunk be a szerkesztő útvonalakon a SharedArrayBuffer biztonság érdekében, és az alkalmazás CORS-hitelesítés nélküli környezetben fut.

06

Megőrzés · 13 hónapos korlát

A fiók adatai megmaradnak, amíg a fiókja aktív. Törléskor egy Convex kaszkád feladat törli a profilt, előfizetést, krediteket, projekteket és támogatási előzményeket. A számlázási nyilvántartások az adótörvények minimális követelményei szerint megmaradnak (általában 7 év), ahogy szükséges.

• Adatvédelmi irányelvek—>
• Szolgáltatási feltételek—>
• Alvállalkozói lista—>
• Adatfeldolgozási megállapodás (DPA)—>