신뢰 · 준수
신뢰, 명확히 설명합니다.
이 페이지는 우리가 준수하는 모든 규정, 이를 충족하는 방법, 우리가 의존하는 감사 수행 공급업체를 나열합니다. 여기 있는 모든 것은 자체 인증된 것이며 — 오늘날 우리가 정직하게 지지할 수 있는 것을 나열하고, 할 수 없는 것을 알려드립니다.
마지막 검토 — 2026-04-21
정직 조항
우리는 자체 시스템에 대한 외부 SOC 2 또는 ISO 27001 감사를 완료하지 않았습니다. 우리는 스스로에 대한 배지를 표시하지 않을 것입니다. Clerk, Convex, Vercel, Dodo와 같은 감사를 보유한 공급업체에 의존하는 경우, 해당 인증서를 아래 인프라 섹션에 나열합니다. 이는 우리가 상주하는 호스팅 및 식별 계층에 적용되며, 자체 코드베이스에는 적용되지 않습니다. 우리는 다른 사람의 배지를 빌리는 작은 회사보다는 진실을 말하는 작은 회사가 되고 싶습니다.
— 서명, zlabz.io 팀
01 — 개인정보 보호 프레임워크
우리가 준수하는 개인정보 보호 프레임워크
각 항목은 슬라이드의 약속이 아닌, 우리가 제공하는 구체적인 통제에 의해 뒷받침됩니다. 항목을 클릭하면 근거를 볼 수 있습니다.
- 01
GDPR · EU 규정 2016/679
자체 인증됨합법적 근거(동의 + 계약), 투명한 개인정보 보호 공지, 데이터 최소화, 13개월 보존 한도, 전체 주체 권리(접근, 수정, 삭제, 이동, 반대, 제한), 명시된 하위 처리자, EU 친화적 전송 및 문서화된 보안 조치.
우리가 충족하는 방법/privacy · 세분화된 쿠키 동의 · /api/user/export · /settings에서 계정 삭제 · /subprocessors
- 02
UK GDPR · 2021
자체 인증됨브렉시트 이후 영국 전용 GDPR 규정. 우리는 EU GDPR과 동일한 통제를 적용합니다 — 영국 버전은 운영 수준에서 실질적으로 동일하므로 동일한 메커니즘을 통해 준수됩니다.
우리가 충족하는 방법EU GDPR과 동일한 통제 · ICO에 맞춘 개인정보 보호 공지
- 03
CCPA / CPRA · 캘리포니아, 미국
자체 인증됨개인정보 판매 또는 공유 금지, 수집 시 명확한 공지, 알 권리 / 접근 / 삭제 / 수정 권리, 민감 정보 사용 제한 권리, 권리 행사에 대한 차별 금지. 우리는 모든 CA 사용자를 최대 권리 접근 방식으로 대합니다.
우리가 충족하는 방법/privacy · '판매 또는 공유하지 않음'은 비문제입니다 · /api/user/export · 계정 삭제
- 04
LGPD · 브라질 법률 13.709/2018
자체 인증됨GDPR을 모델로 한 브라질 개인정보 보호법. 우리는 동의와 정당한 계약적 근거에 의존하며, 모든 데이터 주체 권리를 존중하고, 브라질 사용자가 프레임워크를 인식할 수 있도록 쿠키 배너에 LGPD를 명시합니다.
우리가 충족하는 방법쿠키 배너 LGPD 플래그 · /privacy · /api/user/export
- 05
ePrivacy · EU 지침 2002/58 (쿠키 법)
자체 인증됨명시적 동의 전에는 비필수 쿠키가 작동하지 않습니다. '모두 수락'과 '선택적 거부'는 동등한 중요성을 가집니다. 미리 선택된 상자 없음, 조용히 수락하는 'X' 없음. 동의는 버전 관리되며 13개월 후 자동 만료되어 실질적인 변경 시 재요청됩니다.
우리가 충족하는 방법cookie-consent.tsx의 사전 동의 스크립트 차단 · use-cookie-consent.ts의 버전 관리된 동의
- 06
COPPA · 미국 · 13세 미만 아동
자체 인증됨우리 서비스는 13세 미만 아동을 대상으로 하지 않습니다. 우리는 미성년자로부터 개인 정보를 의도적으로 수집하지 않으며, 이를 명확한 언어로 개인정보 보호 정책에 설명합니다. 미성년자가 등록한 사실을 알게 되면, 통지 시 계정을 삭제합니다.
우리가 충족하는 방법/privacy의 '아동' 섹션 · 미성년자를 대상으로 하는 기능 없음
- 07
PCI DSS · SAQ-A 범위
자체 인증됨카드 데이터는 절대 우리 서버에 닿지 않습니다. 모든 결제는 Dodo Payments(PCI DSS 레벨 1 인증 제공업체)로 리디렉션됩니다. 이는 우리를 SAQ-A 범위에 정확히 위치시킵니다 — PCI 준수의 가장 가벼운 형태이며, PAN을 처리하지 않는 상인이 주장할 수 있는 유일한 정직한 주장입니다.
우리가 충족하는 방법Dodo 호스팅 결제 · PAN 저장 없음 · CVV 캡처 없음
02 — 보안 태세
보안 태세
위의 준수 주장 뒤에 있는 기술적 통제. 대부분은 자체적으로 구현하기보다는 공급업체를 신중히 선택한 결과입니다.
- 호스팅 · Vercel + Coolify
- 주요 웹 및 API 작업은 Vercel(SOC 2 Type II, ISO 27001)에서 실행됩니다. 렌더링 및 검색 서비스는 fail2ban, UFW 방화벽 및 비루트 배포 사용자가 있는 Coolify 관리 EU VPS에서 실행됩니다. TLS는 끝에서 끝까지 적용됩니다.
- 데이터베이스 · Convex (휴지 상태에서 암호화됨)
- 모든 사용자 데이터는 Convex에 저장되며, 기본적으로 휴지 상태에서 암호화되고 SOC 2 Type II 인증을 받았습니다. 우리는 Clerk 식별을 통해 엄격한 사용자별 범위로 쿼리하며, 교차 테넌트 접근 경로는 없습니다.
- 식별 · Clerk (우리는 비밀번호를 절대 만지지 않습니다)
- Clerk는 로그인, 비밀번호 저장, MFA, 세션 회전 및 OAuth를 처리합니다. 우리는 비밀번호를 보거나 저장하지 않습니다. 세션은 JWT 기반이며 Clerk의 JWKS에 대해 요청별로 검증됩니다.
- 결제 · Dodo (PCI 레벨 1)
- 결제는 Dodo Payments로 리디렉션됩니다. 카드 번호, CVV 및 전체 PAN은 zlabz.io로 전송되거나 우리 데이터베이스에 저장되지 않습니다 — 플랜 상태, 구독 ID 및 청구 메타데이터만 저장됩니다.
- 전송 · HTTPS 전용, 최신 TLS
- 모든 엔드포인트는 HSTS를 통해 HTTPS를 강제합니다. 우리는 SharedArrayBuffer 안전을 위해 편집기 경로에 엄격한 COOP/COEP 헤더를 설정하고, 앱은 CORS-자격 없는 컨텍스트에서 실행됩니다.
- 보존 · 13개월 한도
- 계정 데이터는 계정이 활성 상태인 동안 보존됩니다. 삭제 시, Convex 캐스케이드 작업이 프로필, 구독, 크레딧, 프로젝트 및 지원 기록을 삭제합니다. 청구 기록은 세법 최소 요구 사항(일반적으로 7년)에 따라 보존됩니다.
03 — 귀하의 권리
귀하의 권리
아래의 모든 권리는 오늘 클릭할 수 있는 버튼입니다 — 30일간의 이메일 핑퐁이 필요한 프로세스가 아닙니다.
접근 + 이동성
우리가 귀하에 대해 저장하는 모든 것의 JSON 스냅샷을 언제든지 다운로드하십시오. 프로필, 구독, 크레딧, 지원 티켓, 피드백 및 프로젝트를 포함합니다.
내 데이터 내보내기삭제
한 번의 클릭으로 계정을 삭제하십시오. 우리는 Convex에서 귀하의 행을 삭제합니다. 세금 준수를 위해 보유된 청구 기록은 법률이 요구하는 최소한으로 보존됩니다.
내 계정 삭제04 — 인프라
기본 인프라 (감사를 수행하는 공급업체)
우리는 공급업체 배지를 우리 것처럼 표시하지 않습니다 — 그러나 아래 인증서는 우리가 상주하는 플랫폼에 적용되며, 이는 우리의 보안 태세에 직접적인 영향을 미칩니다. 이것이 'SOC 2 인프라에 구축됨'의 정직한 버전입니다.
식별 · 세션 · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
데이터베이스 · 실시간 동기화
SOC 2 Type II · GDPR · CCPA · HIPAA ready
웹 + API 호스팅 · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
결제 · 카드 처리
PCI DSS Level 1 · SOC 2 · GDPR
AI 문단 생성
GDPR · SOC 2 Type II · EU-hosted
집계 분석 (자체 호스팅)
GDPR · ePrivacy · No PII
우리가 주장하지 않는 것
우리는 자체 시스템에 대한 SOC 2 Type I 또는 Type II, ISO 27001, ISO 27701, HIPAA, FedRAMP 또는 기타 제3자 감사를 완료하지 않았습니다. 기업 조달이 우리에게서 그 수준의 보증을 요구한다면, 연락하십시오 — 우리는 공급업체 보고서와 보안 설문지를 공유할 수 있지만, 우리가 보유하지 않은 배지를 발명하지는 않을 것입니다.
05 — 관련 문서