Fiducia · Conformità
Fiducia, spiegata.
Questa pagina elenca ogni regolamento con cui siamo conformi, come lo rispettiamo e quali fornitori sottostanti effettuano gli audit su cui ci basiamo. Tutto qui è auto-attestato — elenchiamo ciò che possiamo sostenere onestamente oggi e ti diciamo cosa non possiamo.
Ultima revisione — 2026-04-21
Clausola di onestà
Non abbiamo completato un audit esterno SOC 2 o ISO 27001 dei nostri sistemi. Non mostreremo quei badge per noi stessi. Dove ci affidiamo a fornitori che detengono quegli audit — Clerk, Convex, Vercel, Dodo — elenchiamo le loro certificazioni nella sezione infrastruttura sottostante, perché quelle certificazioni si applicano al livello di hosting e identità su cui ci basiamo, non al nostro codice. Preferiamo essere una piccola azienda che dice la verità piuttosto che una piccola azienda che prende in prestito i badge di altri.
— Firmato, il team di zlabz.io
01 — Quadri di privacy
Quadri di privacy con cui siamo conformi
Ogni elemento è supportato da un controllo concreto che forniamo — non una promessa su una diapositiva. Clicca su qualsiasi elemento per vedere le prove su cui si basa.
- 01
GDPR · Regolamento UE 2016/679
Auto-attestatoBase legale (consenso + contratto), informativa sulla privacy trasparente, minimizzazione dei dati, limite di conservazione di 13 mesi, pieni diritti del soggetto (accesso, rettifica, cancellazione, portabilità, opposizione, limitazione), sub-processori nominati, trasferimenti favorevoli all'UE e misure di sicurezza documentate.
Come lo rispettiamo/privacy · consenso granulare ai cookie · /api/user/export · cancellazione account in /settings · /subprocessors
- 02
UK GDPR · 2021
Auto-attestatoRegolamento GDPR specifico per il Regno Unito post-Brexit. Applichiamo gli stessi controlli del GDPR UE — la versione del Regno Unito è sostanzialmente identica a livello operativo, quindi la conformità è garantita attraverso gli stessi meccanismi.
Come lo rispettiamoStessi controlli del GDPR UE · informativa sulla privacy allineata all'ICO
- 03
CCPA / CPRA · California, USA
Auto-attestatoNessuna vendita o condivisione di informazioni personali, chiara informativa alla raccolta, diritto di sapere / accedere / cancellare / correggere, diritto di limitare l'uso di informazioni sensibili, nessuna discriminazione per l'esercizio dei diritti. Trattiamo tutti gli utenti CA con l'approccio dei diritti massimi.
Come lo rispettiamo/privacy · 'Non vendere o condividere' non è un problema perché non lo facciamo · /api/user/export · cancellazione account
- 04
LGPD · Brasile Lei 13.709/2018
Auto-attestatoLegge sulla privacy brasiliana modellata sul GDPR. Ci basiamo sul consenso e su una base contrattuale legittima, rispettiamo tutti i diritti dei soggetti dei dati e segnaliamo esplicitamente LGPD nel nostro banner dei cookie affinché gli utenti brasiliani riconoscano il quadro.
Come lo rispettiamoBanner dei cookie con segnalazione LGPD · /privacy · /api/user/export
- 05
ePrivacy · Direttiva UE 2002/58 (legge sui cookie)
Auto-attestatoNessun cookie non essenziale viene attivato prima del consenso esplicito. 'Accetta tutto' e 'Rifiuta opzionali' hanno uguale rilevanza. Nessuna casella pre-selezionata, nessuna 'X' che accetta silenziosamente. Il consenso è versionato e scade automaticamente a 13 mesi, quindi i cambiamenti materiali richiedono un nuovo consenso.
Come lo rispettiamoBlocco script pre-consenso in cookie-consent.tsx · consenso versionato in use-cookie-consent.ts
- 06
COPPA · USA · Bambini sotto i 13 anni
Auto-attestatoIl nostro servizio non è rivolto a bambini sotto i 13 anni. Non raccogliamo consapevolmente informazioni personali da minori e lo spieghiamo in linguaggio semplice nella nostra informativa sulla privacy. Se veniamo a conoscenza che un minore si è registrato, cancelliamo l'account su notifica.
Come lo rispettiamoSezione 'Bambini' in /privacy · nessuna funzionalità rivolta ai minori
- 07
PCI DSS · Ambito SAQ-A
Auto-attestatoI dati delle carte non toccano mai i nostri server. Tutti i pagamenti vengono reindirizzati a Dodo Payments (fornitore certificato PCI DSS Livello 1). Questo ci colloca chiaramente nell'ambito SAQ-A — la forma più leggera di conformità PCI e l'unica affermazione onesta per un commerciante che non gestisce mai PAN.
Come lo rispettiamoCheckout ospitato da Dodo · nessuna memorizzazione PAN · nessuna acquisizione CVV
02 — Posizione di sicurezza
Posizione di sicurezza
I controlli tecnici dietro le affermazioni di conformità sopra. La maggior parte di questo è il risultato della scelta attenta dei fornitori piuttosto che della creazione interna.
- Hosting · Vercel + Coolify
- I carichi di lavoro principali web e API funzionano su Vercel (SOC 2 Tipo II, ISO 27001). I servizi di rendering e ricerca funzionano su un VPS gestito da Coolify nell'UE con fail2ban, firewall UFW e un utente di distribuzione non root. TLS è applicato end-to-end.
- Database · Convex (crittografato a riposo)
- Tutti i dati degli utenti risiedono in Convex, che crittografa i dati a riposo per impostazione predefinita ed è certificato SOC 2 Tipo II. Lo interroghiamo con un rigoroso ambito per utente tramite l'identità Clerk — nessun percorso di accesso tra tenant.
- Identità · Clerk (non tocchiamo mai le password)
- Clerk gestisce l'accesso, la memorizzazione delle password, MFA, la rotazione delle sessioni e OAuth. Non vediamo né memorizziamo mai le password. Le sessioni sono basate su JWT e verificate per richiesta contro il JWKS di Clerk.
- Pagamenti · Dodo (PCI Livello 1)
- Il checkout reindirizza a Dodo Payments. I numeri di carta, i CVV e i PAN completi non vengono mai trasmessi a zlabz.io né memorizzati nel nostro database — solo lo stato del piano, l'ID dell'abbonamento e i metadati di fatturazione.
- Trasporto · Solo HTTPS, TLS moderno
- Tutti gli endpoint applicano HTTPS tramite HSTS. Impostiamo intestazioni COOP/COEP rigorose sui percorsi dell'editor per la sicurezza SharedArrayBuffer, e l'app funziona in un contesto senza credenziali CORS.
- Conservazione · Limite di 13 mesi
- I dati dell'account vengono conservati mentre il tuo account è attivo. Alla cancellazione, un lavoro a cascata Convex cancella profilo, abbonamento, crediti, progetti e cronologia di supporto. I record di fatturazione sono conservati per i minimi di legge fiscale (tipicamente 7 anni) come richiesto.
03 — I tuoi diritti
I tuoi diritti
Ogni diritto qui sotto è un pulsante su cui puoi cliccare oggi — non un processo che richiede 30 giorni di scambi di email.
Accesso + portabilità
Scarica un'istantanea JSON di tutto ciò che conserviamo su di te, in qualsiasi momento. Copre profilo, abbonamento, crediti, ticket di supporto, feedback e progetti.
Esporta i miei datiCancellazione
Cancella il tuo account con un clic. Cancelliamo a cascata le tue righe da Convex. I record di fatturazione conservati per la conformità fiscale sono mantenuti per i minimi richiesti dalla legge.
Cancella il mio accountRevoca del consenso
Cambia le tue preferenze sui cookie in qualsiasi momento. La revoca è facile quanto la concessione — basta cliccare su 'Preferenze cookie' ovunque nel footer.
Gestisci i cookie04 — Infrastruttura
Infrastruttura sottostante (quali fornitori effettuano gli audit)
Non mostriamo i badge dei fornitori come se fossero nostri — ma le certificazioni sotto si applicano alle piattaforme su cui ci basiamo, il che influisce direttamente sulla nostra posizione di sicurezza. Questa è la versione onesta di 'costruito su infrastruttura SOC 2'.
Identità · sessioni · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Database · sincronizzazione in tempo reale
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Hosting Web + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Checkout · gestione delle carte
PCI DSS Level 1 · SOC 2 · GDPR
Generazione di paragrafi AI
GDPR · SOC 2 Type II · EU-hosted
Analisi aggregate (auto-ospitate)
GDPR · ePrivacy · No PII
Cosa NON affermiamo
Non abbiamo completato SOC 2 Tipo I o Tipo II, ISO 27001, ISO 27701, HIPAA, FedRAMP o qualsiasi altro audit di terze parti dei nostri sistemi. Se l'approvvigionamento aziendale richiede quel livello di garanzia da noi specificamente, contattaci — possiamo condividere i report dei fornitori e un questionario di sicurezza, ma non inventeremo badge che non possediamo.
05 — Documenti correlati
Documenti correlati
Domande
Hai ancora domande?
Se il tuo team di approvvigionamento ha bisogno di un DPA firmato, un questionario di sicurezza o documentazione più approfondita, contattaci e risponderemo entro due giorni lavorativi.
Contatta il supporto