Zaufanie · Zgodność
Zaufanie, wyjaśnione.
Ta strona wymienia wszystkie przepisy, z którymi się zgadzamy, jak je spełniamy i które zewnętrzne firmy przeprowadzają audyty, na których polegamy. Wszystko tutaj jest samodzielnie poświadczone — wymieniamy to, co możemy uczciwie poprzeć dzisiaj, i mówimy Ci, czego nie możemy.
Ostatnio sprawdzone — 2026-04-21
Klauzula uczciwości
Nie ukończyliśmy zewnętrznego audytu SOC 2 ani ISO 27001 naszych własnych systemów. Nie będziemy wyświetlać tych odznak dla siebie. Gdzie polegamy na dostawcach, którzy posiadają te audyty — Clerk, Convex, Vercel, Dodo — wymieniamy ich certyfikaty w sekcji infrastruktury poniżej, ponieważ te certyfikaty dotyczą warstwy hostingu i tożsamości, na której się opieramy, a nie naszego własnego kodu. Wolimy być małą firmą, która mówi prawdę, niż małą firmą, która pożycza odznaki innych.
— Podpisano, zespół zlabz.io
01 — Ramki prywatności
Ramki prywatności, z którymi się zgadzamy
Każdy element jest poparty konkretną kontrolą, którą dostarczamy — nie obietnicą na slajdzie. Kliknij dowolny element, aby zobaczyć dowody, na których się opiera.
- 01
RODO · Rozporządzenie UE 2016/679
Samodzielnie poświadczonePodstawa prawna (zgoda + umowa), przejrzysta polityka prywatności, minimalizacja danych, limit przechowywania 13 miesięcy, pełne prawa podmiotów danych (dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw, ograniczenie), nazwani podprocesorzy, transfery przyjazne dla UE i udokumentowane środki bezpieczeństwa.
Jak to spełniamy/privacy · szczegółowa zgoda na pliki cookie · /api/user/export · usuwanie konta w /settings · /subprocessors
- 02
UK RODO · 2021
Samodzielnie poświadczoneRegulacja RODO specyficzna dla Wielkiej Brytanii po Brexicie. Stosujemy te same kontrole, co w przypadku RODO UE — wersja brytyjska jest zasadniczo identyczna na poziomie operacyjnym, więc zgodność jest realizowana przez te same mechanizmy.
Jak to spełniamyTe same kontrole, co w przypadku RODO UE · polityka prywatności zgodna z ICO
- 03
CCPA / CPRA · Kalifornia, USA
Samodzielnie poświadczoneBrak sprzedaży lub udostępniania danych osobowych, jasne powiadomienie przy zbieraniu, prawo do wiedzy / dostępu / usunięcia / poprawienia, prawo do ograniczenia użycia informacji wrażliwych, brak dyskryminacji za korzystanie z praw. Traktujemy wszystkich użytkowników z Kalifornii z podejściem maksymalnych praw.
Jak to spełniamy/privacy · 'Nie sprzedawaj ani nie udostępniaj' nie jest problemem, ponieważ tego nie robimy · /api/user/export · usuwanie konta
- 04
LGPD · Brazylia Lei 13.709/2018
Samodzielnie poświadczoneBrazylijskie prawo prywatności wzorowane na RODO. Polegamy na zgodzie i uzasadnionej podstawie umownej, honorujemy wszystkie prawa podmiotów danych i wyraźnie oznaczamy LGPD w naszym banerze cookie, aby brazylijscy użytkownicy rozpoznali ramy.
Jak to spełniamyBaner cookie z oznaczeniem LGPD · /privacy · /api/user/export
- 05
ePrivacy · Dyrektywa UE 2002/58 (prawo dotyczące plików cookie)
Samodzielnie poświadczoneŻadne nieistotne pliki cookie nie są uruchamiane przed wyrażeniem wyraźnej zgody. 'Akceptuj wszystkie' i 'Odrzuć opcjonalne' mają równą widoczność. Brak wstępnie zaznaczonych pól, brak 'X', który cicho akceptuje. Zgoda jest wersjonowana i automatycznie wygasa po 13 miesiącach, aby istotne zmiany wymagały ponownego wyrażenia zgody.
Jak to spełniamyBlokowanie skryptów przed zgodą w cookie-consent.tsx · wersjonowana zgoda w use-cookie-consent.ts
- 06
COPPA · USA · Dzieci poniżej 13 roku życia
Samodzielnie poświadczoneNasza usługa nie jest skierowana do dzieci poniżej 13 roku życia. Nie zbieramy świadomie danych osobowych od nieletnich i wyjaśniamy to w prostym języku w naszej polityce prywatności. Jeśli dowiemy się, że nieletni zarejestrował się, usuwamy konto po powiadomieniu.
Jak to spełniamySekcja 'Dzieci' w /privacy · brak funkcji skierowanych do nieletnich
- 07
PCI DSS · Zakres SAQ-A
Samodzielnie poświadczoneDane kart nigdy nie trafiają na nasze serwery. Wszystkie płatności są przekierowywane do Dodo Payments (dostawca certyfikowany na poziomie PCI DSS Level 1). To umieszcza nas w zakresie SAQ-A — najlżejszej formie zgodności PCI, i jedynym uczciwym twierdzeniu dla sprzedawcy, który nigdy nie obsługuje PAN.
Jak to spełniamyDodo-hosted checkout · brak przechowywania PAN · brak przechwytywania CVV
02 — Postawa bezpieczeństwa
Postawa bezpieczeństwa
Techniczne kontrole stojące za powyższymi twierdzeniami o zgodności. Większość z nich to wynik starannego wyboru dostawców, a nie tworzenia własnych rozwiązań.
- Hosting · Vercel + Coolify
- Główne obciążenia webowe i API działają na Vercel (SOC 2 Typ II, ISO 27001). Usługi renderowania i wyszukiwania działają na zarządzanym przez Coolify VPS w UE z fail2ban, zaporą UFW i użytkownikiem bez uprawnień root. TLS jest wymuszany od końca do końca.
- Baza danych · Convex (szyfrowana w spoczynku)
- Wszystkie dane użytkowników znajdują się w Convex, który domyślnie szyfruje dane w spoczynku i jest certyfikowany zgodnie z SOC 2 Typ II. Zapytania są wykonywane z rygorystycznym zakresem dla każdego użytkownika za pośrednictwem tożsamości Clerk — brak ścieżek dostępu między najemcami.
- Tożsamość · Clerk (nigdy nie dotykamy haseł)
- Clerk obsługuje logowanie, przechowywanie haseł, MFA, rotację sesji i OAuth. Nigdy nie widzimy ani nie przechowujemy haseł. Sesje są oparte na JWT i weryfikowane przy każdym żądaniu w porównaniu z JWKS Clerk.
- Płatności · Dodo (PCI Level 1)
- Proces realizacji zakupu przekierowuje do Dodo Payments. Numery kart, CVV i pełne PAN nigdy nie są przesyłane do zlabz.io ani przechowywane w naszej bazie danych — tylko status planu, identyfikator subskrypcji i metadane rozliczeniowe.
- Transport · Tylko HTTPS, nowoczesny TLS
- Wszystkie punkty końcowe wymuszają HTTPS za pomocą HSTS. Ustawiamy rygorystyczne nagłówki COOP/COEP na trasach edytora dla bezpieczeństwa SharedArrayBuffer, a aplikacja działa w kontekście bez poświadczeń CORS.
- Przechowywanie · Limit 13 miesięcy
- Dane konta są przechowywane, gdy Twoje konto jest aktywne. Po usunięciu, zadanie kaskadowe Convex usuwa profil, subskrypcję, kredyty, projekty i historię wsparcia. Zapisy rozliczeniowe są przechowywane zgodnie z minimalnymi wymaganiami prawa podatkowego (zwykle 7 lat).
03 — Twoje prawa
Twoje prawa
Każde poniższe prawo to przycisk, który możesz kliknąć już dziś — nie proces, który trwa 30 dni wymiany e-maili.
Dostęp + przenoszenie
Pobierz migawkę JSON wszystkiego, co o Tobie przechowujemy, w dowolnym momencie. Obejmuje profil, subskrypcję, kredyty, zgłoszenia wsparcia, opinie i projekty.
Eksportuj moje daneUsunięcie
Usuń swoje konto jednym kliknięciem. Usuwamy Twoje wiersze z Convex. Zapisy rozliczeniowe przechowywane dla zgodności z prawem podatkowym są przechowywane zgodnie z minimalnymi wymaganiami prawa.
Usuń moje kontoWycofanie zgody
Zmień swoje preferencje dotyczące plików cookie w dowolnym momencie. Wycofanie jest tak samo proste jak udzielenie — wystarczy kliknąć 'Preferencje dotyczące plików cookie' w dowolnym miejscu w stopce.
Zarządzaj plikami cookie04 — Infrastruktura
Podstawowa infrastruktura (jakie firmy przeprowadzają audyty)
Nie wyświetlamy odznak dostawców, jakby były nasze własne — ale poniższe certyfikaty dotyczą platform, na których się opieramy, co bezpośrednio wpływa na naszą postawę bezpieczeństwa. To jest uczciwa wersja 'zbudowane na infrastrukturze SOC 2'.
Tożsamość · sesje · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Baza danych · synchronizacja w czasie rzeczywistym
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Hosting webowy + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Realizacja zakupu · obsługa kart
PCI DSS Level 1 · SOC 2 · GDPR
Generowanie akapitów AI
GDPR · SOC 2 Type II · EU-hosted
Zagregowane analizy (hostowane samodzielnie)
GDPR · ePrivacy · No PII
Czego NIE twierdzimy
Nie ukończyliśmy SOC 2 Typ I ani Typ II, ISO 27001, ISO 27701, HIPAA, FedRAMP ani żadnego innego audytu zewnętrznego naszych własnych systemów. Jeśli zakup przedsiębiorstwa wymaga od nas takiego poziomu pewności, skontaktuj się z nami — możemy udostępnić raporty dostawców i kwestionariusz bezpieczeństwa, ale nie będziemy wymyślać odznak, których nie posiadamy.
05 — Powiązane dokumenty
Powiązane dokumenty
Pytania
Masz jeszcze pytania?
Jeśli Twój zespół zakupowy potrzebuje podpisanej DPA, kwestionariusza bezpieczeństwa lub głębszej dokumentacji, skontaktuj się z nami, a odpowiemy w ciągu dwóch dni roboczych.
Skontaktuj się z pomocą techniczną