Confiança, explicada.

Cláusula de honestidade

Não concluímos uma auditoria externa SOC 2 ou ISO 27001 de nossos próprios sistemas. Não exibiremos esses selos para nós mesmos. Onde confiamos em fornecedores que possuem essas auditorias — Clerk, Convex, Vercel, Dodo — listamos suas certificações na seção de infraestrutura abaixo, porque essas certificações se aplicam à camada de hospedagem e identidade sobre a qual estamos, não à nossa própria base de código. Preferimos ser uma pequena empresa que diz a verdade do que uma pequena empresa que empresta selos de outras pessoas.

— Assinado, a equipe zlabz.io

1. 01

   GDPR · Regulamento da UE 2016/679

   Auto-declarado

   Base legal (consentimento + contrato), aviso de privacidade transparente, minimização de dados, limite de retenção de 13 meses, direitos completos dos titulares (acesso, retificação, exclusão, portabilidade, objeção, restrição), sub-processadores nomeados, transferências amigáveis à UE e medidas de segurança documentadas.

   Como atendemos/privacy · consentimento granular de cookies · /api/user/export · exclusão de conta em /settings · /subprocessors

2. 02

   UK GDPR · 2021

   Auto-declarado

   Regulamento específico do Reino Unido pós-Brexit baseado no GDPR. Aplicamos os mesmos controles do GDPR da UE — a versão do Reino Unido é substancialmente idêntica no nível operacional, portanto, a conformidade é mantida pelos mesmos mecanismos.

   Como atendemosMesmos controles do GDPR da UE · aviso de privacidade alinhado ao ICO

3. 03

   CCPA / CPRA · Califórnia, EUA

   Auto-declarado

   Nenhuma venda ou compartilhamento de informações pessoais, aviso claro na coleta, direito de saber / acessar / excluir / corrigir, direito de limitar o uso de informações sensíveis, não discriminação por exercer direitos. Tratamos todos os usuários da CA com a abordagem de direitos máximos.

   Como atendemos/privacy · 'Não Vender ou Compartilhar' não é um problema porque não fazemos · /api/user/export · exclusão de conta

4. 04

   LGPD · Brasil Lei 13.709/2018

   Auto-declarado

   Lei de privacidade brasileira modelada no GDPR. Confiamos no consentimento e na base contratual legítima, honramos todos os direitos dos titulares de dados e sinalizamos a LGPD explicitamente em nosso banner de cookies para que os usuários brasileiros reconheçam a estrutura.

   Como atendemosSinalização de LGPD no banner de cookies · /privacy · /api/user/export

5. 05

   ePrivacy · Diretiva da UE 2002/58 (lei de cookies)

   Auto-declarado

   Nenhum cookie não essencial é ativado antes do consentimento explícito. 'Aceitar todos' e 'Rejeitar opcionais' têm igual destaque. Sem caixas pré-marcadas, sem 'X' que aceita silenciosamente. O consentimento é versionado e expira automaticamente em 13 meses para que mudanças materiais solicitem novamente.

   Como atendemosBloqueio de script pré-consentimento em cookie-consent.tsx · consentimento versionado em use-cookie-consent.ts

6. 06

   COPPA · EUA · Crianças menores de 13 anos

   Auto-declarado

   Nosso serviço não é direcionado a crianças menores de 13 anos. Não coletamos conscientemente informações pessoais de menores e explicamos isso em linguagem clara em nossa política de privacidade. Se soubermos que um menor se registrou, excluímos a conta mediante notificação.

   Como atendemosSeção 'Crianças' em /privacy · sem recursos direcionados a menores

7. 07

   PCI DSS · Escopo SAQ-A

   Auto-declarado

   Os dados do cartão nunca tocam nossos servidores. Todos os pagamentos são redirecionados para Dodo Payments (provedor certificado PCI DSS Nível 1). Isso nos coloca claramente no escopo SAQ-A — a forma mais leve de conformidade PCI, e a única afirmação honesta para um comerciante que nunca lida com PANs.

   Como atendemosCheckout hospedado por Dodo · sem armazenamento de PAN · sem captura de CVV

01

Hospedagem · Vercel + Coolify

As principais cargas de trabalho web e API são executadas na Vercel (SOC 2 Tipo II, ISO 27001). Os serviços de renderização e pesquisa são executados em um VPS gerenciado pela Coolify na UE com fail2ban, firewall UFW e um usuário de implantação sem privilégios de root. TLS é aplicado de ponta a ponta.

02

Banco de dados · Convex (criptografado em repouso)

Todos os dados dos usuários estão no Convex, que criptografa os dados em repouso por padrão e é certificado SOC 2 Tipo II. Consultamos com escopo estrito por usuário via identidade Clerk — sem caminhos de acesso entre locatários.

03

Identidade · Clerk (nunca tocamos em senhas)

Clerk lida com login, armazenamento de senhas, MFA, rotação de sessões e OAuth. Nunca vemos ou armazenamos senhas. As sessões são baseadas em JWT e verificadas por solicitação contra o JWKS do Clerk.

04

Pagamentos · Dodo (Nível 1 PCI)

O checkout é redirecionado para Dodo Payments. Números de cartão, CVVs e PANs completos nunca são transmitidos para zlabz.io ou armazenados em nosso banco de dados — apenas status do plano, ID de assinatura e metadados de cobrança.

05

Transporte · Apenas HTTPS, TLS moderno

Todos os endpoints aplicam HTTPS via HSTS. Definimos cabeçalhos COOP/COEP estritos nas rotas do editor para segurança do SharedArrayBuffer, e o aplicativo é executado em um contexto sem credenciais de CORS.

06

Retenção · Limite de 13 meses

Os dados da conta são retidos enquanto sua conta estiver ativa. Na exclusão, um trabalho em cascata do Convex apaga perfil, assinatura, créditos, projetos e histórico de suporte. Registros de cobrança são retidos conforme os mínimos exigidos por lei fiscal (geralmente 7 anos).

• Política de Privacidade—>
• Termos de Serviço—>
• Lista de sub-processadores—>
• Acordo de Processamento de Dados (DPA)—>