Förtroende · Efterlevnad
Förtroende, i detalj.
Denna sida listar varje regelverk vi följer, hur vi uppfyller det och vilka underliggande leverantörer som utför de revisioner vi förlitar oss på. Allt här är egenintygat — vi listar vad vi ärligt kan stå bakom idag, och vi berättar vad vi inte kan.
Senast granskad — 2026-04-21
Ärlighetsklausul
Vi har inte genomfört en extern SOC 2- eller ISO 27001-revision av våra egna system. Vi kommer inte att visa dessa märken för oss själva. Där vi förlitar oss på leverantörer som har dessa revisioner — Clerk, Convex, Vercel, Dodo — listar vi deras certifieringar i infrastrukturen nedan, eftersom dessa certifieringar gäller för den hosting- och identitetslager vi sitter ovanpå, inte för vår egen kodbas. Vi föredrar att vara ett litet företag som säger sanningen än ett litet företag som lånar andras märken.
— Undertecknat, zlabz.io-teamet
01 — Integritetsramverk
Integritetsramverk vi följer
Varje punkt stöds av en konkret kontroll vi levererar — inte ett löfte på en presentation. Klicka på valfri punkt för att se bevisen den baseras på.
- 01
GDPR · EU-förordning 2016/679
EgenintygatLaglig grund (samtycke + avtal), transparent integritetsmeddelande, dataminimering, 13-månaders lagringsgräns, fullständiga rättigheter för registrerade (åtkomst, rättelse, radering, portabilitet, invändning, begränsning), namngivna underbiträden, EU-vänliga överföringar och dokumenterade säkerhetsåtgärder.
Hur vi uppfyller det/privacy · detaljerat cookie-samtycke · /api/user/export · kontoradering i /settings · /subprocessors
- 02
UK GDPR · 2021
EgenintygatEfter Brexit specifik GDPR-reglering för Storbritannien. Vi tillämpar samma kontroller som EU GDPR — den brittiska versionen är i stort sett identisk på operativ nivå, så efterlevnad sker genom samma mekanismer.
Hur vi uppfyller detSamma kontroller som EU GDPR · ICO-anpassat integritetsmeddelande
- 03
CCPA / CPRA · Kalifornien, USA
EgenintygatIngen försäljning eller delning av personlig information, tydligt meddelande vid insamling, rätt att veta / få tillgång / radera / korrigera, rätt att begränsa användningen av känslig information, ingen diskriminering för att utöva rättigheter. Vi behandlar alla CA-användare med maximal rättighetsansats.
Hur vi uppfyller det/privacy · 'Sälj eller dela inte' är en icke-fråga eftersom vi inte gör det · /api/user/export · kontoradering
- 04
LGPD · Brasilien Lei 13.709/2018
EgenintygatBrasiliansk integritetslag baserad på GDPR. Vi förlitar oss på samtycke och legitim avtalsgrund, respekterar alla rättigheter för registrerade och flaggar LGPD uttryckligen i vår cookie-banner så att brasilianska användare känner igen ramverket.
Hur vi uppfyller detCookie-banner LGPD-flagga · /privacy · /api/user/export
- 05
ePrivacy · EU-direktiv 2002/58 (cookielag)
EgenintygatInga icke-nödvändiga cookies aktiveras innan uttryckligt samtycke. 'Acceptera alla' och 'Avvisa valfria' har lika framträdande. Inga förkryssade rutor, inget 'X' som tyst accepterar. Samtycke är versionerat och löper automatiskt ut efter 13 månader så att materiella förändringar kräver nytt samtycke.
Hur vi uppfyller detFörhandsblockering av skript i cookie-consent.tsx · versionerat samtycke i use-cookie-consent.ts
- 06
COPPA · USA · Barn under 13
EgenintygatVår tjänst är inte riktad till barn under 13. Vi samlar inte medvetet in personlig information från minderåriga, och vi förklarar detta på ett enkelt sätt i vår integritetspolicy. Om vi får veta att en minderårig har registrerat sig, raderar vi kontot vid meddelande.
Hur vi uppfyller det'Barn' sektion i /privacy · inga funktioner som riktar sig till minderåriga
- 07
PCI DSS · SAQ-A omfattning
EgenintygatKortdata rör aldrig våra servrar. Alla betalningar omdirigeras till Dodo Payments (PCI DSS Level 1-certifierad leverantör). Det placerar oss tydligt inom SAQ-A omfattning — den lättaste formen av PCI-efterlevnad och det enda ärliga påståendet för en handlare som aldrig hanterar PANs.
Hur vi uppfyller detDodo-hanterad kassa · ingen PAN-lagring · ingen CVV-insamling
02 — Säkerhetsställning
Säkerhetsställning
De tekniska kontrollerna bakom efterlevnadspåståendena ovan. Det mesta av detta är resultatet av att noggrant välja leverantörer snarare än att utveckla egna lösningar.
- Hosting · Vercel + Coolify
- Primära webb- och API-arbeten körs på Vercel (SOC 2 Typ II, ISO 27001). Render- och söktjänster körs på en Coolify-hanterad EU VPS med fail2ban, UFW-brandvägg och en icke-root deploy-användare. TLS är genomgående.
- Databas · Convex (krypterad i vila)
- All användardata finns i Convex, som krypterar data i vila som standard och är SOC 2 Typ II-certifierad. Vi frågar den med strikt per-användaravgränsning via Clerk-identitet — inga åtkomstvägar mellan hyresgäster.
- Identitet · Clerk (vi rör aldrig lösenord)
- Clerk hanterar inloggning, lösenordslagring, MFA, sessionsrotation och OAuth. Vi ser eller lagrar aldrig lösenord. Sessioner är JWT-baserade och verifieras per förfrågan mot Clerk's JWKS.
- Betalningar · Dodo (PCI Level 1)
- Kassan omdirigerar till Dodo Payments. Kortnummer, CVVs och fullständiga PANs överförs aldrig till zlabz.io eller lagras i vår databas — endast planstatus, prenumerations-ID och faktureringsmetadata.
- Transport · Endast HTTPS, modern TLS
- Alla ändpunkter upprätthåller HTTPS via HSTS. Vi ställer in strikta COOP/COEP-rubriker på redigeringsvägarna för SharedArrayBuffer-säkerhet, och appen körs i ett CORS-kredensialfritt sammanhang.
- Retention · 13-månaders gräns
- Kontodata behålls medan ditt konto är aktivt. Vid radering raderas en Convex-kaskadjobb profil, prenumeration, krediter, projekt och supporthistorik. Faktureringsregister behålls enligt skatterättsliga minimikrav (vanligtvis 7 år) som krävs.
03 — Dina rättigheter
Dina rättigheter
Varje rättighet nedan är en knapp du kan klicka på idag — inte en process som tar 30 dagar av e-postpingpong.
Åtkomst + portabilitet
Ladda ner en JSON-översikt över allt vi lagrar om dig, när som helst. Täcker profil, prenumeration, krediter, supportärenden, feedback och projekt.
Exportera mina dataRadering
Radera ditt konto med ett klick. Vi kaskadraderar dina rader från Convex. Faktureringsregister som hålls för skatteefterlevnad behålls enligt lagens minimikrav.
Radera mitt kontoÅterkalla samtycke
Ändra dina cookie-inställningar när som helst. Återkallande är lika enkelt som att ge — klicka bara på 'Cookie-inställningar' var som helst i sidfoten.
Hantera cookies04 — Infrastruktur
Underliggande infrastruktur (vilka leverantörer utför revisionerna)
Vi visar inte leverantörsmärken som om de vore våra egna — men certifieringarna nedan gäller för de plattformar vi sitter på, vilket direkt påverkar vår säkerhetsställning. Detta är den ärliga versionen av 'byggd på SOC 2-infrastruktur'.
Identitet · sessioner · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Databas · realtidssynkronisering
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Webb + API-hosting · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Kassa · kortbehandling
PCI DSS Level 1 · SOC 2 · GDPR
AI-paragrafgenerering
GDPR · SOC 2 Type II · EU-hosted
Aggregerad analys (självhostad)
GDPR · ePrivacy · No PII
Vad vi INTE påstår
Vi har inte genomfört SOC 2 Typ I eller Typ II, ISO 27001, ISO 27701, HIPAA, FedRAMP eller någon annan tredjepartsrevision av våra egna system. Om företagsupphandling kräver den nivån av säkerhet från oss specifikt, kontakta oss — vi kan dela leverantörsrapporter och ett säkerhetsfrågeformulär, men vi kommer inte att uppfinna märken vi inte har.
05 — Relaterade dokument
Relaterade dokument
Frågor
Har du fortfarande frågor?
Om ditt upphandlingsteam behöver ett undertecknat DPA, ett säkerhetsfrågeformulär eller djupare dokumentation, kontakta oss så svarar vi inom två arbetsdagar.
Kontakta support