Încredere · Conformitate
Încredere, explicată.
Această pagină listează fiecare reglementare cu care ne conformăm, cum o respectăm și care sunt furnizorii de bază care efectuează auditurile pe care ne bazăm. Tot ce este aici este auto-certificat — listăm ceea ce putem susține sincer astăzi și îți spunem ce nu putem.
Ultima revizuire — 2026-04-21
Clauza de onestitate
Nu am finalizat un audit extern SOC 2 sau ISO 27001 al propriilor noastre sisteme. Nu vom afișa acele insigne pentru noi înșine. Unde ne bazăm pe furnizori care dețin aceste audituri — Clerk, Convex, Vercel, Dodo — listăm certificările lor în secțiunea de infrastructură de mai jos, deoarece acele certificări se aplică stratului de găzduire și identitate pe care ne aflăm, nu codului nostru propriu. Preferăm să fim o companie mică care spune adevărul decât una care împrumută insignele altora.
— Semnat, echipa zlabz.io
01 — Cadre de confidențialitate
Cadre de confidențialitate cu care ne conformăm
Fiecare element este susținut de un control concret pe care îl livrăm — nu o promisiune pe o prezentare. Fă clic pe orice element pentru a vedea dovezile pe care se bazează.
- 01
GDPR · Regulamentul UE 2016/679
Auto-certificatBază legală (consimțământ + contract), notificare de confidențialitate transparentă, minimizarea datelor, limită de retenție de 13 luni, drepturi complete ale subiectului (acces, rectificare, ștergere, portabilitate, obiecție, restricție), subprocesatori numiți, transferuri prietenoase cu UE și măsuri de securitate documentate.
Cum ne conformăm/privacy · consimțământ granular pentru cookie-uri · /api/user/export · ștergerea contului în /settings · /subprocessors
- 02
UK GDPR · 2021
Auto-certificatReglementare specifică GDPR post-Brexit pentru Regatul Unit. Aplicăm aceleași controale ca GDPR-ul UE — versiunea din UK este substanțial identică la nivel operațional, astfel încât conformitatea este realizată prin aceleași mecanisme.
Cum ne conformămAceleași controale ca GDPR-ul UE · notificare de confidențialitate aliniată ICO
- 03
CCPA / CPRA · California, SUA
Auto-certificatNu vindem sau împărtășim informații personale, notificare clară la colectare, dreptul de a cunoaște / accesa / șterge / corecta, dreptul de a limita utilizarea informațiilor sensibile, nediscriminare pentru exercitarea drepturilor. Tratăm toți utilizatorii din CA cu abordarea maximă a drepturilor.
Cum ne conformăm/privacy · 'Nu Vinde sau Împărtăși' nu este o problemă pentru că nu o facem · /api/user/export · ștergerea contului
- 04
LGPD · Brazilia Lei 13.709/2018
Auto-certificatLegea braziliană de confidențialitate modelată pe GDPR. Ne bazăm pe consimțământ și bază contractuală legitimă, respectăm toate drepturile subiecților de date și semnalăm explicit LGPD în bannerul nostru de cookie-uri, astfel încât utilizatorii brazilieni să recunoască cadrul.
Cum ne conformămBanner de cookie-uri cu semnalizare LGPD · /privacy · /api/user/export
- 05
ePrivacy · Directiva UE 2002/58 (legea cookie-urilor)
Auto-certificatNiciun cookie neesențial nu este activat înainte de consimțământul explicit. 'Acceptă toate' și 'Respinge opționalele' au aceeași proeminență. Fără căsuțe pre-bifate, fără 'X' care acceptă în tăcere. Consimțământul este versiune și expiră automat la 13 luni, astfel încât schimbările materiale să fie re-promptate.
Cum ne conformămBlocare script pre-consimțământ în cookie-consent.tsx · consimțământ versiune în use-cookie-consent.ts
- 06
COPPA · SUA · Copii sub 13 ani
Auto-certificatServiciul nostru nu este destinat copiilor sub 13 ani. Nu colectăm în mod conștient informații personale de la minori și explicăm acest lucru în limbaj clar în politica noastră de confidențialitate. Dacă aflăm că un minor s-a înregistrat, ștergem contul la notificare.
Cum ne conformămSecțiunea 'Copii' în /privacy · fără funcții care vizează minorii
- 07
PCI DSS · Domeniul SAQ-A
Auto-certificatDatele cardului nu ating niciodată serverele noastre. Toate plățile sunt redirecționate către Dodo Payments (furnizor certificat PCI DSS Nivel 1). Acest lucru ne plasează clar în domeniul SAQ-A — cea mai ușoară formă de conformitate PCI și singura afirmație onestă pentru un comerciant care nu gestionează niciodată PAN-uri.
Cum ne conformămCheckout găzduit de Dodo · fără stocare PAN · fără captură CVV
02 — Poziția de securitate
Poziția de securitate
Controalele tehnice din spatele afirmațiilor de conformitate de mai sus. Majoritatea acestora sunt rezultatul alegerii atente a furnizorilor, mai degrabă decât dezvoltarea proprie.
- Găzduire · Vercel + Coolify
- Sarcinile principale web și API rulează pe Vercel (SOC 2 Tip II, ISO 27001). Serviciile de randare și căutare rulează pe un VPS gestionat de Coolify în UE cu fail2ban, firewall UFW și un utilizator de implementare fără drepturi de root. TLS este aplicat de la un capăt la altul.
- Bază de date · Convex (criptată în repaus)
- Toate datele utilizatorilor sunt stocate în Convex, care criptează datele în repaus în mod implicit și este certificat SOC 2 Tip II. Le interogăm cu o delimitare strictă per utilizator prin identitatea Clerk — fără căi de acces între chiriași.
- Identitate · Clerk (nu atingem niciodată parolele)
- Clerk gestionează autentificarea, stocarea parolelor, MFA, rotația sesiunilor și OAuth. Nu vedem sau stocăm niciodată parole. Sesiunile sunt bazate pe JWT și verificate per cerere împotriva JWKS-ului Clerk.
- Plăți · Dodo (PCI Nivel 1)
- Checkout-ul redirecționează către Dodo Payments. Numerele de card, CVV-urile și PAN-urile complete nu sunt niciodată transmise către zlabz.io sau stocate în baza noastră de date — doar statutul planului, ID-ul abonamentului și metadatele de facturare.
- Transport · Doar HTTPS, TLS modern
- Toate punctele finale aplică HTTPS prin HSTS. Setăm antete stricte COOP/COEP pe rutele editorului pentru siguranța SharedArrayBuffer, iar aplicația rulează într-un context fără credențiale CORS.
- Retenție · Limită de 13 luni
- Datele contului sunt păstrate cât timp contul tău este activ. La ștergere, un job de cascadare Convex șterge profilul, abonamentul, creditele, proiectele și istoricul de suport. Înregistrările de facturare sunt păstrate conform minimelor legale fiscale (de obicei 7 ani) după cum este necesar.
03 — Drepturile tale
Drepturile tale
Fiecare drept de mai jos este un buton pe care îl poți apăsa astăzi — nu un proces care durează 30 de zile de ping-pong prin e-mail.
Acces + portabilitate
Descarcă un instantaneu JSON cu tot ce stocăm despre tine, oricând. Acoperă profilul, abonamentul, creditele, tichetele de suport, feedback-ul și proiectele.
Exportă datele meleȘtergere
Șterge-ți contul cu un singur clic. Ștergem în cascadă rândurile tale din Convex. Înregistrările de facturare păstrate pentru conformitatea fiscală sunt păstrate conform minimelor cerute de lege.
Șterge contul meuRetragerea consimțământului
Schimbă-ți preferințele de cookie-uri în orice moment. Retragerea este la fel de ușoară ca acordarea — doar apasă 'Preferințe cookie' oriunde în subsol.
Gestionează cookie-urile04 — Infrastructură
Infrastructura de bază (ce furnizori efectuează auditurile)
Nu afișăm insignele furnizorilor ca și cum ar fi ale noastre — dar certificările de mai jos se aplică platformelor pe care ne aflăm, ceea ce afectează direct poziția noastră de securitate. Aceasta este versiunea onestă a 'construit pe infrastructură SOC 2'.
Identitate · sesiuni · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Bază de date · sincronizare în timp real
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Găzduire web + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Checkout · gestionarea cardurilor
PCI DSS Level 1 · SOC 2 · GDPR
Generarea de paragrafe AI
GDPR · SOC 2 Type II · EU-hosted
Analitice agregate (auto-găzduite)
GDPR · ePrivacy · No PII
Ce NU pretindem
Nu am finalizat SOC 2 Tip I sau Tip II, ISO 27001, ISO 27701, HIPAA, FedRAMP sau orice alt audit terț al propriilor noastre sisteme. Dacă achiziția de întreprindere necesită acel nivel de asigurare de la noi în mod specific, contactează-ne — putem împărtăși rapoarte ale furnizorilor și un chestionar de securitate, dar nu vom inventa insigne pe care nu le deținem.
05 — Documente conexe
Documente conexe
Întrebări
Mai ai întrebări?
Dacă echipa ta de achiziții are nevoie de un DPA semnat, un chestionar de securitate sau documentație mai detaliată, contactează-ne și vom răspunde în două zile lucrătoare.
Contactează suportul