Kepercayaan · Kepatuhan
Kepercayaan, dijelaskan.
Halaman ini mencantumkan setiap peraturan yang kami patuhi, bagaimana kami memenuhinya, dan vendor dasar mana yang melakukan audit yang kami andalkan. Semua yang ada di sini dinyatakan sendiri — kami mencantumkan apa yang bisa kami dukung dengan jujur hari ini, dan kami memberi tahu Anda apa yang tidak bisa.
Terakhir ditinjau — 2026-04-21
Klausul kejujuran
Kami belum menyelesaikan audit SOC 2 atau ISO 27001 eksternal dari sistem kami sendiri. Kami tidak akan menampilkan lencana tersebut untuk diri kami sendiri. Di mana kami mengandalkan vendor yang memiliki audit tersebut — Clerk, Convex, Vercel, Dodo — kami mencantumkan sertifikasi mereka di bagian infrastruktur di bawah ini, karena sertifikasi tersebut berlaku untuk lapisan hosting dan identitas yang kami gunakan, bukan untuk kode dasar kami sendiri. Kami lebih suka menjadi perusahaan kecil yang jujur daripada perusahaan kecil yang meminjam lencana orang lain.
— Ditandatangani, tim zlabz.io
01 — Kerangka privasi
Kerangka privasi yang kami patuhi
Setiap item didukung oleh kontrol konkret yang kami kirimkan — bukan janji di slide. Klik item apa saja untuk melihat bukti yang mendasarinya.
- 01
GDPR · Peraturan UE 2016/679
Dinyatakan sendiriDasar hukum (persetujuan + kontrak), pemberitahuan privasi yang transparan, minimisasi data, batas retensi 13 bulan, hak subjek penuh (akses, perbaikan, penghapusan, portabilitas, keberatan, pembatasan), subprosesor yang disebutkan, transfer ramah-UE, dan langkah-langkah keamanan yang didokumentasikan.
Bagaimana kami memenuhinya/privacy · persetujuan cookie yang rinci · /api/user/export · penghapusan akun di /settings · /subprocessors
- 02
UK GDPR · 2021
Dinyatakan sendiriPeraturan GDPR khusus Inggris pasca-Brexit. Kami menerapkan kontrol yang sama seperti GDPR UE — versi Inggris secara substansial identik pada tingkat operasional, sehingga kepatuhan dilakukan melalui mekanisme yang sama.
Bagaimana kami memenuhinyaKontrol yang sama dengan GDPR UE · pemberitahuan privasi yang selaras dengan ICO
- 03
CCPA / CPRA · California, AS
Dinyatakan sendiriTidak ada penjualan atau berbagi informasi pribadi, pemberitahuan yang jelas saat pengumpulan, hak untuk mengetahui / mengakses / menghapus / memperbaiki, hak untuk membatasi penggunaan info sensitif, non-diskriminasi untuk menjalankan hak. Kami memperlakukan semua pengguna CA dengan pendekatan hak maksimum.
Bagaimana kami memenuhinya/privacy · 'Do Not Sell or Share' bukan masalah karena kami tidak melakukannya · /api/user/export · penghapusan akun
- 04
LGPD · Brasil Lei 13.709/2018
Dinyatakan sendiriUndang-undang privasi Brasil yang dimodelkan pada GDPR. Kami mengandalkan persetujuan dan dasar kontrak yang sah, menghormati semua hak subjek data, dan menandai LGPD secara eksplisit di banner cookie kami sehingga pengguna Brasil mengenali kerangka kerja tersebut.
Bagaimana kami memenuhinyaPenanda LGPD di banner cookie · /privacy · /api/user/export
- 05
ePrivacy · EU Directive 2002/58 (hukum cookie)
Dinyatakan sendiriTidak ada cookie non-esensial yang aktif sebelum persetujuan eksplisit. 'Terima semua' dan 'Tolak opsional' memiliki penekanan yang sama. Tidak ada kotak yang sudah dicentang, tidak ada 'X' yang diam-diam menerima. Persetujuan versi dan otomatis kedaluwarsa dalam 13 bulan sehingga perubahan material memerlukan persetujuan ulang.
Bagaimana kami memenuhinyaPemblokiran skrip pra-persetujuan di cookie-consent.tsx · persetujuan versi di use-cookie-consent.ts
- 06
COPPA · AS · Anak di bawah 13 tahun
Dinyatakan sendiriLayanan kami tidak ditujukan untuk anak di bawah 13 tahun. Kami tidak dengan sengaja mengumpulkan informasi pribadi dari anak di bawah umur, dan kami menjelaskan ini dalam bahasa yang sederhana dalam kebijakan privasi kami. Jika kami mengetahui ada anak di bawah umur yang mendaftar, kami akan menghapus akun tersebut setelah diberitahukan.
Bagaimana kami memenuhinyaBagian 'Anak-anak' di /privacy · tidak ada fitur yang menargetkan anak di bawah umur
- 07
PCI DSS · Lingkup SAQ-A
Dinyatakan sendiriData kartu tidak pernah menyentuh server kami. Semua pembayaran dialihkan ke Dodo Payments (penyedia bersertifikat PCI DSS Level 1). Itu menempatkan kami tepat dalam lingkup SAQ-A — bentuk kepatuhan PCI yang paling ringan, dan satu-satunya klaim jujur untuk pedagang yang tidak pernah menangani PAN.
Bagaimana kami memenuhinyaCheckout yang dihosting Dodo · tidak ada penyimpanan PAN · tidak ada penangkapan CVV
02 — Sikap keamanan
Sikap keamanan
Kontrol teknis di balik klaim kepatuhan di atas. Sebagian besar hasil ini adalah hasil dari memilih vendor dengan hati-hati daripada membuat sendiri.
- Hosting · Vercel + Coolify
- Beban kerja web dan API utama berjalan di Vercel (SOC 2 Tipe II, ISO 27001). Layanan render dan pencarian berjalan di VPS UE yang dikelola Coolify dengan fail2ban, firewall UFW, dan pengguna deploy non-root. TLS ditegakkan secara end-to-end.
- Database · Convex (terenkripsi saat diam)
- Semua data pengguna berada di Convex, yang mengenkripsi data saat diam secara default dan bersertifikat SOC 2 Tipe II. Kami mengkuerinya dengan penentuan cakupan per pengguna yang ketat melalui identitas Clerk — tidak ada jalur akses antar-penyewa.
- Identitas · Clerk (kami tidak pernah menyentuh kata sandi)
- Clerk menangani masuk, penyimpanan kata sandi, MFA, rotasi sesi, dan OAuth. Kami tidak pernah melihat atau menyimpan kata sandi. Sesi berbasis JWT dan diverifikasi per permintaan terhadap JWKS Clerk.
- Pembayaran · Dodo (PCI Level 1)
- Checkout dialihkan ke Dodo Payments. Nomor kartu, CVV, dan PAN penuh tidak pernah dikirimkan ke zlabz.io atau disimpan dalam database kami — hanya status paket, ID langganan, dan metadata penagihan.
- Transportasi · Hanya HTTPS, TLS modern
- Semua titik akhir menegakkan HTTPS melalui HSTS. Kami menetapkan header COOP/COEP yang ketat pada rute editor untuk keamanan SharedArrayBuffer, dan aplikasi berjalan dalam konteks tanpa kredensial CORS.
- Retensi · Batas 13 bulan
- Data akun disimpan selama akun Anda aktif. Pada penghapusan, pekerjaan kaskade Convex menghapus profil, langganan, kredit, proyek, dan riwayat dukungan. Catatan penagihan disimpan sesuai dengan minimum hukum pajak (biasanya 7 tahun) sebagaimana diwajibkan.
03 — Hak Anda
Hak Anda
Setiap hak di bawah ini adalah tombol yang dapat Anda klik hari ini — bukan proses yang memakan waktu 30 hari email bolak-balik.
Akses + portabilitas
Unduh snapshot JSON dari semua yang kami simpan tentang Anda, kapan saja. Mencakup profil, langganan, kredit, tiket dukungan, umpan balik, dan proyek.
Ekspor data sayaPenghapusan
Hapus akun Anda dengan satu klik. Kami menghapus baris Anda dari Convex. Catatan penagihan yang disimpan untuk kepatuhan pajak disimpan sesuai dengan minimum yang diwajibkan oleh hukum.
Hapus akun sayaTarik persetujuan
Ubah preferensi cookie Anda kapan saja. Penarikan semudah memberikan — cukup klik 'Preferensi cookie' di mana saja di footer.
Kelola cookie04 — Infrastruktur
Infrastruktur dasar (vendor mana yang melakukan audit)
Kami tidak menampilkan lencana vendor seolah-olah milik kami sendiri — tetapi sertifikasi di bawah ini berlaku untuk platform yang kami gunakan, yang secara langsung mempengaruhi sikap keamanan kami. Ini adalah versi jujur dari 'dibangun di atas infrastruktur SOC 2'.
Identitas · sesi · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Database · sinkronisasi waktu nyata
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Hosting Web + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Checkout · penanganan kartu
PCI DSS Level 1 · SOC 2 · GDPR
Pembuatan paragraf AI
GDPR · SOC 2 Type II · EU-hosted
Analitik teragregasi (dihosting sendiri)
GDPR · ePrivacy · No PII
Apa yang TIDAK kami klaim
Kami belum menyelesaikan SOC 2 Tipe I atau Tipe II, ISO 27001, ISO 27701, HIPAA, FedRAMP, atau audit pihak ketiga lainnya dari sistem kami sendiri. Jika pengadaan perusahaan memerlukan tingkat jaminan tersebut dari kami secara khusus, hubungi kami — kami dapat berbagi laporan vendor dan kuesioner keamanan, tetapi kami tidak akan menciptakan lencana yang tidak kami miliki.
05 — Dokumen terkait
Dokumen terkait
Pertanyaan
Masih ada pertanyaan?
Jika tim pengadaan Anda memerlukan DPA yang ditandatangani, kuesioner keamanan, atau dokumentasi lebih mendalam, hubungi kami dan kami akan merespons dalam dua hari kerja.
Hubungi dukungan