Доверие, изложенное словами.

Клаузула честности

Мы не завершили внешний аудит SOC 2 или ISO 27001 наших собственных систем. Мы не будем отображать эти значки для себя. Там, где мы полагаемся на поставщиков, которые проводят эти аудиты — Clerk, Convex, Vercel, Dodo — мы перечисляем их сертификаты в разделе инфраструктуры ниже, потому что эти сертификаты применяются к хостингу и уровню идентификации, на которых мы находимся, а не к нашему собственному коду. Мы предпочли бы быть небольшой компанией, которая говорит правду, чем небольшой компанией, которая заимствует чужие значки.

— С уважением, команда zlabz.io

1. 01

   GDPR · Регламент ЕС 2016/679

   Самооценено

   Законное основание (согласие + контракт), прозрачное уведомление о конфиденциальности, минимизация данных, ограничение хранения на 13 месяцев, полные права субъекта (доступ, исправление, удаление, переносимость, возражение, ограничение), названные субподрядчики, дружественные к ЕС передачи и документированные меры безопасности.

   Как мы это выполняем/privacy · подробное согласие на использование файлов cookie · /api/user/export · удаление аккаунта в /settings · /subprocessors

2. 02

   UK GDPR · 2021

   Самооценено

   Регламент GDPR, специфичный для Великобритании после Brexit. Мы применяем те же меры, что и в ЕС GDPR — версия для Великобритании по существу идентична на операционном уровне, поэтому соответствие осуществляется через те же механизмы.

   Как мы это выполняемТе же меры, что и в ЕС GDPR · уведомление о конфиденциальности, соответствующее ICO

3. 03

   CCPA / CPRA · Калифорния, США

   Самооценено

   Нет продажи или обмена личной информацией, четкое уведомление при сборе, право знать / доступ / удаление / исправление, право ограничить использование конфиденциальной информации, отсутствие дискриминации за осуществление прав. Мы обрабатываем всех пользователей из Калифорнии с максимальными правами.

   Как мы это выполняем/privacy · 'Не продавать или делиться' не проблема, потому что мы этого не делаем · /api/user/export · удаление аккаунта

4. 04

   LGPD · Бразилия Закон 13.709/2018

   Самооценено

   Бразильский закон о конфиденциальности, смоделированный на GDPR. Мы полагаемся на согласие и законное договорное основание, соблюдаем все права субъектов данных и явно указываем LGPD в нашем баннере файлов cookie, чтобы бразильские пользователи распознали рамки.

   Как мы это выполняемФлаг LGPD в баннере файлов cookie · /privacy · /api/user/export

5. 05

   ePrivacy · Директива ЕС 2002/58 (закон о файлах cookie)

   Самооценено

   Никакие несущественные файлы cookie не активируются до явного согласия. 'Принять все' и 'Отклонить необязательные' имеют равное значение. Нет заранее отмеченных полей, нет 'X', который молча принимает. Согласие версионируется и автоматически истекает через 13 месяцев, чтобы при значительных изменениях запрашивать повторное согласие.

   Как мы это выполняемБлокировка скриптов до согласия в cookie-consent.tsx · версионированное согласие в use-cookie-consent.ts

6. 06

   COPPA · США · Дети до 13 лет

   Самооценено

   Наш сервис не предназначен для детей младше 13 лет. Мы не собираем сознательно личную информацию от несовершеннолетних и объясняем это простым языком в нашей политике конфиденциальности. Если мы узнаем, что несовершеннолетний зарегистрировался, мы удаляем аккаунт по уведомлению.

   Как мы это выполняемРаздел 'Дети' в /privacy · нет функций, нацеленных на несовершеннолетних

7. 07

   PCI DSS · Область SAQ-A

   Самооценено

   Данные карт никогда не касаются наших серверов. Все платежи перенаправляются на Dodo Payments (сертифицированный провайдер уровня PCI DSS Level 1). Это помещает нас в область SAQ-A — самую легкую форму соответствия PCI, и единственное честное утверждение для продавца, который никогда не обрабатывает PAN.

   Как мы это выполняемОформление заказа, размещенное на Dodo · нет хранения PAN · нет захвата CVV

01

Хостинг · Vercel + Coolify

Основные веб- и API-нагрузки работают на Vercel (SOC 2 Type II, ISO 27001). Услуги рендеринга и поиска работают на управляемом Coolify VPS в ЕС с fail2ban, UFW firewall и пользователем без прав root. TLS обеспечивается от начала до конца.

02

База данных · Convex (шифрование на диске)

Все пользовательские данные хранятся в Convex, который по умолчанию шифрует данные на диске и сертифицирован по SOC 2 Type II. Мы запрашиваем его с строгой привязкой к пользователю через Clerk identity — нет путей доступа между арендаторами.

03

Идентификация · Clerk (мы никогда не касаемся паролей)

Clerk обрабатывает вход, хранение паролей, MFA, ротацию сессий и OAuth. Мы никогда не видим и не храним пароли. Сессии основаны на JWT и проверяются по каждому запросу с использованием JWKS от Clerk.

04

Платежи · Dodo (PCI Level 1)

Оформление заказа перенаправляется на Dodo Payments. Номера карт, CVV и полные PAN никогда не передаются на zlabz.io или хранятся в нашей базе данных — только статус плана, ID подписки и метаданные биллинга.

05

Транспорт · Только HTTPS, современный TLS

Все конечные точки обеспечивают HTTPS через HSTS. Мы устанавливаем строгие заголовки COOP/COEP на маршрутах редактора для безопасности SharedArrayBuffer, и приложение работает в контексте без учетных данных CORS.

06

Хранение · Ограничение на 13 месяцев

Данные аккаунта хранятся, пока ваш аккаунт активен. При удалении задание каскадного удаления в Convex очищает профиль, подписку, кредиты, проекты и историю поддержки. Бухгалтерские записи хранятся в соответствии с минимальными требованиями налогового законодательства (обычно 7 лет).

• Политика конфиденциальности—>
• Условия обслуживания—>
• Список субподрядчиков—>
• Соглашение о обработке данных (DPA)—>