Kepercayaan · Pematuhan
Kepercayaan, dijelaskan.
Halaman ini menyenaraikan setiap peraturan yang kami patuhi, bagaimana kami memenuhinya, dan vendor asas mana yang menjalankan audit yang kami bergantung. Segala-galanya di sini diakui sendiri — kami menyenaraikan apa yang kami boleh sokong dengan jujur hari ini, dan kami memberitahu anda apa yang kami tidak boleh.
Terakhir disemak — 2026-04-21
Klausa kejujuran
Kami belum menyelesaikan audit SOC 2 atau ISO 27001 luaran bagi sistem kami sendiri. Kami tidak akan memaparkan lencana tersebut untuk diri kami sendiri. Di mana kami bergantung kepada vendor yang memegang audit tersebut — Clerk, Convex, Vercel, Dodo — kami menyenaraikan pensijilan mereka dalam bahagian infrastruktur di bawah, kerana pensijilan tersebut terpakai kepada lapisan hosting dan identiti yang kami duduki, bukan kepada kod asas kami sendiri. Kami lebih suka menjadi syarikat kecil yang berkata benar daripada syarikat kecil yang meminjam lencana orang lain.
— Ditandatangani, pasukan zlabz.io
01 — Kerangka privasi
Kerangka privasi yang kami patuhi
Setiap item disokong oleh kawalan konkrit yang kami hantar — bukan janji di slaid. Klik mana-mana item untuk melihat bukti yang menjadi asasnya.
- 01
GDPR · Peraturan EU 2016/679
Diakui sendiriAsas yang sah (persetujuan + kontrak), notis privasi yang telus, pengurangan data, had pengekalan 13 bulan, hak subjek penuh (akses, pembetulan, pemadaman, kebolehgunaan, bantahan, sekatan), subprosesor yang dinamakan, pemindahan mesra EU, dan langkah keselamatan yang didokumentasikan.
Bagaimana kami memenuhinya/privacy · persetujuan kuki terperinci · /api/user/export · pemadaman akaun dalam /settings · /subprocessors
- 02
UK GDPR · 2021
Diakui sendiriPeraturan GDPR khusus UK selepas Brexit. Kami menggunakan kawalan yang sama seperti GDPR EU — versi UK adalah secara substansial sama di peringkat operasi, jadi pematuhan dijalankan melalui mekanisme yang sama.
Bagaimana kami memenuhinyaKawalan yang sama seperti GDPR EU · notis privasi yang selaras dengan ICO
- 03
CCPA / CPRA · California, USA
Diakui sendiriTiada penjualan atau perkongsian maklumat peribadi, notis jelas semasa pengumpulan, hak untuk tahu / akses / hapus / betulkan, hak untuk mengehadkan penggunaan maklumat sensitif, tiada diskriminasi untuk melaksanakan hak. Kami melayan semua pengguna CA dengan pendekatan hak maksimum.
Bagaimana kami memenuhinya/privacy · 'Do Not Sell or Share' bukan isu kerana kami tidak · /api/user/export · pemadaman akaun
- 04
LGPD · Brazil Lei 13.709/2018
Diakui sendiriUndang-undang privasi Brazil yang dimodelkan pada GDPR. Kami bergantung pada persetujuan dan asas kontrak yang sah, menghormati semua hak subjek data, dan menandakan LGPD secara eksplisit dalam banner kuki kami supaya pengguna Brazil mengenali kerangka tersebut.
Bagaimana kami memenuhinyaPenanda LGPD dalam banner kuki · /privacy · /api/user/export
- 05
ePrivacy · Arahan EU 2002/58 (undang-undang kuki)
Diakui sendiriTiada kuki tidak penting yang diaktifkan sebelum persetujuan eksplisit. 'Terima semua' dan 'Tolak pilihan' mempunyai keutamaan yang sama. Tiada kotak yang telah ditandai, tiada 'X' yang secara senyap menerima. Persetujuan adalah versi dan tamat secara automatik pada 13 bulan supaya perubahan material meminta semula.
Bagaimana kami memenuhinyaPenyekatan skrip sebelum persetujuan dalam cookie-consent.tsx · persetujuan versi dalam use-cookie-consent.ts
- 06
COPPA · USA · Kanak-kanak di bawah 13 tahun
Diakui sendiriPerkhidmatan kami tidak ditujukan kepada kanak-kanak di bawah 13 tahun. Kami tidak secara sedar mengumpul maklumat peribadi daripada kanak-kanak, dan kami menjelaskan ini dalam bahasa yang mudah dalam dasar privasi kami. Jika kami mengetahui seorang kanak-kanak telah mendaftar, kami akan memadamkan akaun tersebut setelah diberitahu.
Bagaimana kami memenuhinyaBahagian 'Kanak-kanak' dalam /privacy · tiada ciri yang menyasarkan kanak-kanak
- 07
PCI DSS · Skop SAQ-A
Diakui sendiriData kad tidak pernah menyentuh pelayan kami. Semua pembayaran dialihkan ke Dodo Payments (penyedia yang disahkan PCI DSS Tahap 1). Itu meletakkan kami dengan jelas dalam skop SAQ-A — bentuk pematuhan PCI yang paling ringan, dan satu-satunya dakwaan jujur untuk pedagang yang tidak pernah mengendalikan PAN.
Bagaimana kami memenuhinyaPembayaran dihoskan oleh Dodo · tiada penyimpanan PAN · tiada tangkapan CVV
02 — Kedudukan keselamatan
Kedudukan keselamatan
Kawalan teknikal di sebalik dakwaan pematuhan di atas. Kebanyakan ini adalah hasil daripada memilih vendor dengan teliti daripada membina sendiri.
- Hosting · Vercel + Coolify
- Beban kerja web dan API utama dijalankan di Vercel (SOC 2 Type II, ISO 27001). Perkhidmatan render dan carian dijalankan pada VPS EU yang diuruskan oleh Coolify dengan fail2ban, firewall UFW, dan pengguna deploy bukan root. TLS dikuatkuasakan dari hujung ke hujung.
- Pangkalan data · Convex (disulitkan ketika rehat)
- Semua data pengguna disimpan dalam Convex, yang menyulitkan data ketika rehat secara lalai dan disahkan SOC 2 Type II. Kami membuat pertanyaan dengan skop per pengguna yang ketat melalui identiti Clerk — tiada laluan akses rentas penyewa.
- Identiti · Clerk (kami tidak pernah menyentuh kata laluan)
- Clerk mengendalikan log masuk, penyimpanan kata laluan, MFA, putaran sesi, dan OAuth. Kami tidak pernah melihat atau menyimpan kata laluan. Sesi adalah berasaskan JWT dan disahkan per permintaan terhadap JWKS Clerk.
- Pembayaran · Dodo (PCI Tahap 1)
- Pembayaran dialihkan ke Dodo Payments. Nombor kad, CVV, dan PAN penuh tidak pernah dihantar ke zlabz.io atau disimpan dalam pangkalan data kami — hanya status pelan, ID langganan, dan metadata pengebilan.
- Pengangkutan · HTTPS sahaja, TLS moden
- Semua titik akhir menguatkuasakan HTTPS melalui HSTS. Kami menetapkan header COOP/COEP yang ketat pada laluan editor untuk keselamatan SharedArrayBuffer, dan aplikasi berjalan dalam konteks tanpa kelayakan CORS.
- Pengekalan · Had 13 bulan
- Data akaun disimpan semasa akaun anda aktif. Pada pemadaman, tugas kaskade Convex menghapuskan profil, langganan, kredit, projek, dan sejarah sokongan. Rekod pengebilan disimpan mengikut minimum undang-undang cukai (biasanya 7 tahun) seperti yang diperlukan.
03 — Hak anda
Hak anda
Setiap hak di bawah adalah butang yang boleh anda klik hari ini — bukan proses yang mengambil masa 30 hari e-mel berulang-alik.
Akses + kebolehgunaan
Muat turun snapshot JSON segala yang kami simpan tentang anda, bila-bila masa. Meliputi profil, langganan, kredit, tiket sokongan, maklum balas, dan projek.
Eksport data sayaPemadaman
Padamkan akaun anda dengan satu klik. Kami menghapuskan baris anda dari Convex. Rekod pengebilan yang disimpan untuk pematuhan cukai disimpan mengikut minimum yang diperlukan oleh undang-undang.
Padamkan akaun sayaTarik balik persetujuan
Tukar pilihan kuki anda pada bila-bila masa. Penarikan balik adalah semudah pemberian — hanya klik 'Pilihan kuki' di mana-mana dalam footer.
Urus kuki04 — Infrastruktur
Infrastruktur asas (vendor mana yang menjalankan audit)
Kami tidak memaparkan lencana vendor seolah-olah ia milik kami sendiri — tetapi pensijilan di bawah terpakai kepada platform yang kami duduki, yang secara langsung mempengaruhi kedudukan keselamatan kami. Ini adalah versi jujur 'dibina di atas infrastruktur SOC 2'.
Identiti · sesi · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Pangkalan data · penyegerakan masa nyata
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Hosting Web + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Pembayaran · pengendalian kad
PCI DSS Level 1 · SOC 2 · GDPR
Penjanaan perenggan AI
GDPR · SOC 2 Type II · EU-hosted
Analitik agregat (dihoskan sendiri)
GDPR · ePrivacy · No PII
Apa yang kami TIDAK dakwa
Kami belum menyelesaikan SOC 2 Type I atau Type II, ISO 27001, ISO 27701, HIPAA, FedRAMP, atau mana-mana audit pihak ketiga lain bagi sistem kami sendiri. Jika pemerolehan perusahaan memerlukan tahap jaminan tersebut daripada kami secara khusus, hubungi kami — kami boleh berkongsi laporan vendor dan soal selidik keselamatan, tetapi kami tidak akan mencipta lencana yang kami tidak pegang.
05 — Dokumen berkaitan
Dokumen berkaitan
Soalan
Masih ada soalan?
Jika pasukan pemerolehan anda memerlukan DPA yang ditandatangani, soal selidik keselamatan, atau dokumentasi yang lebih mendalam, hubungi kami dan kami akan membalas dalam masa dua hari bekerja.
Hubungi sokongan