信頼 · コンプライアンス
信頼、明記。
このページには、私たちが遵守するすべての規制、その達成方法、そして私たちが依存する監査を行う基盤ベンダーが記載されています。ここにあるすべては自己認証です — 今日誠実に裏付けできることをリストし、できないことをお伝えします。
最終レビュー — 2026-04-21
誠実条項
私たちは独自のシステムに対する外部のSOC 2またはISO 27001監査を完了していません。これらのバッジを自分たちのために表示することはありません。Clerk、Convex、Vercel、Dodoなどの監査を持つベンダーに依存している場合、これらの認証はインフラストラクチャセクションに記載しています。これらの認証は、私たちが上に位置するホスティングとアイデンティティレイヤーに適用され、私たち自身のコードベースには適用されません。他人のバッジを借りる小さな会社よりも、真実を語る小さな会社でありたいと考えています。
— 署名、zlabz.ioチーム
01 — プライバシーフレームワーク
遵守しているプライバシーフレームワーク
各項目は、スライド上の約束ではなく、具体的な管理によって裏付けられています。どの項目でもクリックすると、その根拠となる証拠を確認できます。
- 01
GDPR · EU規則2016/679
自己認証合法的な根拠(同意 + 契約)、透明なプライバシー通知、データ最小化、13か月の保持上限、完全な主体権利(アクセス、訂正、消去、移植性、異議、制限)、名指しのサブプロセッサ、EU向けの転送、文書化されたセキュリティ対策。
達成方法/privacy · 詳細なクッキー同意 · /api/user/export · アカウント削除 /settings · /subprocessors
- 02
UK GDPR · 2021
自己認証ブレグジット後の英国特有のGDPR規制。EU GDPRと同じ管理を適用しています — 英国版は運用レベルで実質的に同一であるため、同じメカニズムでコンプライアンスが維持されます。
達成方法EU GDPRと同じ管理 · ICOに準拠したプライバシー通知
- 03
CCPA / CPRA · カリフォルニア、米国
自己認証個人情報の販売または共有なし、収集時の明確な通知、知る権利 / アクセス / 削除 / 修正の権利、機密情報の使用制限の権利、権利行使に対する差別なし。カリフォルニアのすべてのユーザーに最大限の権利アプローチを適用しています。
達成方法/privacy · '販売または共有しない' は問題外です · /api/user/export · アカウント削除
- 04
LGPD · ブラジル法13.709/2018
自己認証GDPRに基づいたブラジルのプライバシー法。私たちは同意と正当な契約上の根拠に依存し、すべてのデータ主体の権利を尊重し、ブラジルのユーザーがフレームワークを認識できるようにクッキーバナーにLGPDを明示的に表示します。
達成方法クッキーバナーLGPDフラグ · /privacy · /api/user/export
- 05
ePrivacy · EU指令2002/58(クッキー法)
自己認証明示的な同意があるまで非必須クッキーは発動しません。「すべて受け入れる」と「オプションを拒否する」は同等の重要性を持っています。事前にチェックされたボックスや、静かに受け入れる「X」はありません。同意はバージョン管理され、13か月で自動的に期限切れとなり、重要な変更が再度プロンプトされます。
達成方法cookie-consent.tsxでの事前同意スクリプトブロッキング · use-cookie-consent.tsでのバージョン管理された同意
- 06
COPPA · 米国 · 13歳未満の子供
自己認証私たちのサービスは13歳未満の子供を対象としていません。未成年者から個人情報を意図的に収集することはなく、プライバシーポリシーで平易な言葉で説明しています。未成年者が登録したことが判明した場合、通知を受け次第アカウントを削除します。
達成方法/privacyの「子供」セクション · 未成年者を対象とした機能なし
- 07
PCI DSS · SAQ-A範囲
自己認証カードデータは私たちのサーバーに触れることはありません。すべての支払いはDodo Payments(PCI DSSレベル1認定プロバイダー)にリダイレクトされます。これにより、私たちはSAQ-A範囲に明確に位置します — PCIコンプライアンスの最も軽量な形態であり、PANを扱わない商人にとって唯一の誠実な主張です。
達成方法Dodoホストのチェックアウト · PANの保存なし · CVVのキャプチャなし
02 — セキュリティ姿勢
セキュリティ姿勢
上記のコンプライアンス主張の背後にある技術的管理。ほとんどは独自に開発するのではなく、慎重にベンダーを選択した結果です。
- ホスティング · Vercel + Coolify
- 主要なWebおよびAPIワークロードはVercel(SOC 2 Type II、ISO 27001)で実行されます。レンダーおよび検索サービスは、fail2ban、UFWファイアウォール、非rootデプロイユーザーを備えたCoolify管理のEU VPSで実行されます。TLSはエンドツーエンドで強制されます。
- データベース · Convex(静止時に暗号化)
- すべてのユーザーデータはConvexに保存され、デフォルトで静止時に暗号化され、SOC 2 Type II認定を受けています。Clerkアイデンティティを介して厳格なユーザーごとのスコープでクエリされ、テナント間のアクセスパスはありません。
- アイデンティティ · Clerk(パスワードには触れません)
- Clerkはサインイン、パスワードの保存、MFA、セッションのローテーション、およびOAuthを処理します。私たちはパスワードを見たり保存したりしません。セッションはJWTベースで、ClerkのJWKSに対してリクエストごとに検証されます。
- 支払い · Dodo(PCIレベル1)
- チェックアウトはDodo Paymentsにリダイレクトされます。カード番号、CVV、および完全なPANはzlabz.ioに送信されることも、データベースに保存されることもありません — 保存されるのはプランのステータス、サブスクリプションID、および請求メタデータのみです。
- トランスポート · HTTPSのみ、最新のTLS
- すべてのエンドポイントはHSTSを介してHTTPSを強制します。SharedArrayBufferの安全性のためにエディタールートに厳格なCOOP/COEPヘッダーを設定し、アプリはCORSクレデンシャルレスコンテキストで実行されます。
- 保持 · 13か月の上限
- アカウントデータはアカウントがアクティブな間保持されます。削除時には、Convexカスケードジョブがプロファイル、サブスクリプション、クレジット、プロジェクト、およびサポート履歴を消去します。請求記録は税法の最低要件(通常7年)に従って保持されます。
03 — あなたの権利
あなたの権利
以下のすべての権利は、今日クリックできるボタンです — 30日間のメールのやり取りを必要とするプロセスではありません。
アクセス + ポータビリティ
私たちがあなたについて保存しているすべての情報のJSONスナップショットをいつでもダウンロードできます。プロファイル、サブスクリプション、クレジット、サポートチケット、フィードバック、プロジェクトをカバーします。
私のデータをエクスポート消去
ワンクリックでアカウントを削除します。Convexからあなたの行をカスケード消去します。税務コンプライアンスのために保持される請求記録は、法律で要求される最低限の期間保持されます。
私のアカウントを削除04 — インフラストラクチャ
基盤インフラストラクチャ(監査を行うベンダー)
ベンダーバッジを自分たちのものとして表示することはありませんが、以下の認証は私たちが依存するプラットフォームに適用され、私たちのセキュリティ姿勢に直接影響します。これは「SOC 2インフラストラクチャ上に構築された」の誠実なバージョンです。
アイデンティティ · セッション · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
データベース · リアルタイム同期
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Web + APIホスティング · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
チェックアウト · カード処理
PCI DSS Level 1 · SOC 2 · GDPR
AIパラグラフ生成
GDPR · SOC 2 Type II · EU-hosted
集計分析(セルフホスト)
GDPR · ePrivacy · No PII
私たちが主張しないこと
私たちは独自のシステムに対するSOC 2 Type IまたはType II、ISO 27001、ISO 27701、HIPAA、FedRAMP、またはその他の第三者監査を完了していません。企業調達が特に私たちからそのレベルの保証を必要とする場合は、連絡してください — ベンダーレポートとセキュリティ質問票を共有できますが、持っていないバッジを作り出すことはありません。
05 — 関連文書