ความเชื่อมั่น · การปฏิบัติตามข้อกำหนด
ความเชื่อมั่นที่ชัดเจน
หน้านี้แสดงรายการกฎระเบียบที่เราปฏิบัติตาม วิธีที่เราปฏิบัติตาม และผู้ให้บริการที่ดำเนินการตรวจสอบที่เราพึ่งพา ทุกอย่างที่นี่ได้รับการรับรองด้วยตนเอง — เราระบุสิ่งที่เราสามารถยืนหยัดได้อย่างซื่อสัตย์ในวันนี้ และบอกคุณว่าสิ่งที่เราไม่สามารถทำได้
ตรวจสอบล่าสุด — 2026-04-21
ข้อกำหนดความซื่อสัตย์
เรายังไม่ได้ดำเนินการตรวจสอบ SOC 2 หรือ ISO 27001 ภายนอกสำหรับระบบของเราเอง เราจะไม่แสดงตราสัญลักษณ์เหล่านั้นสำหรับตัวเราเอง ที่เราพึ่งพาผู้ให้บริการที่มีการตรวจสอบเหล่านั้น — Clerk, Convex, Vercel, Dodo — เราระบุการรับรองของพวกเขาในส่วนโครงสร้างพื้นฐานด้านล่าง เพราะการรับรองเหล่านั้นใช้กับการโฮสต์และชั้นข้อมูลประจำตัวที่เรานั่งอยู่ด้านบน ไม่ใช่กับฐานรหัสของเราเอง เราต้องการเป็นบริษัทเล็ก ๆ ที่บอกความจริงมากกว่าบริษัทเล็ก ๆ ที่ยืมตราสัญลักษณ์ของคนอื่น
— ลงนาม, ทีม zlabz.io
01 — กรอบความเป็นส่วนตัว
กรอบความเป็นส่วนตัวที่เราปฏิบัติตาม
แต่ละรายการได้รับการสนับสนุนโดยการควบคุมที่เป็นรูปธรรมที่เราจัดส่ง — ไม่ใช่คำสัญญาในสไลด์ คลิกที่รายการใด ๆ เพื่อดูหลักฐานที่อิงตาม
- 01
GDPR · EU Regulation 2016/679
รับรองด้วยตนเองพื้นฐานทางกฎหมาย (ความยินยอม + สัญญา) ประกาศความเป็นส่วนตัวที่โปร่งใส การลดข้อมูล การเก็บรักษาไม่เกิน 13 เดือน สิทธิ์เต็มรูปแบบของผู้ใช้ (การเข้าถึง การแก้ไข การลบ การพกพา การคัดค้าน การจำกัด) ผู้ประมวลผลย่อยที่ระบุ การโอนย้ายที่เป็นมิตรกับสหภาพยุโรป และมาตรการรักษาความปลอดภัยที่บันทึกไว้
วิธีที่เราปฏิบัติตาม/privacy · ความยินยอมคุกกี้ที่ละเอียด · /api/user/export · การลบบัญชีใน /settings · /subprocessors
- 02
UK GDPR · 2021
รับรองด้วยตนเองกฎระเบียบ GDPR เฉพาะของสหราชอาณาจักรหลัง Brexit เราใช้การควบคุมเดียวกันกับ EU GDPR — เวอร์ชันของสหราชอาณาจักรมีความเหมือนกันอย่างมากในระดับการปฏิบัติการ ดังนั้นการปฏิบัติตามจึงดำเนินการผ่านกลไกเดียวกัน
วิธีที่เราปฏิบัติตามการควบคุมเดียวกันกับ EU GDPR · ประกาศความเป็นส่วนตัวที่สอดคล้องกับ ICO
- 03
CCPA / CPRA · แคลิฟอร์เนีย, สหรัฐอเมริกา
รับรองด้วยตนเองไม่มีการขายหรือแบ่งปันข้อมูลส่วนบุคคล ประกาศที่ชัดเจนในการเก็บรวบรวม สิทธิ์ในการรู้ / เข้าถึง / ลบ / แก้ไข สิทธิ์ในการจำกัดการใช้ข้อมูลที่ละเอียดอ่อน ไม่มีการเลือกปฏิบัติสำหรับการใช้สิทธิ์ เราปฏิบัติต่อผู้ใช้ CA ทั้งหมดด้วยวิธีการที่ให้สิทธิ์สูงสุด
วิธีที่เราปฏิบัติตาม/privacy · 'Do Not Sell or Share' ไม่ใช่ปัญหาเพราะเราไม่ทำ · /api/user/export · การลบบัญชี
- 04
LGPD · บราซิล Lei 13.709/2018
รับรองด้วยตนเองกฎหมายความเป็นส่วนตัวของบราซิลที่มีแบบอย่างจาก GDPR เราพึ่งพาความยินยอมและพื้นฐานสัญญาที่ชอบธรรม ให้เกียรติสิทธิ์ของผู้ใช้ข้อมูลทั้งหมด และระบุ LGPD อย่างชัดเจนในแบนเนอร์คุกกี้ของเราเพื่อให้ผู้ใช้ชาวบราซิลรู้จักกรอบนี้
วิธีที่เราปฏิบัติตามแบนเนอร์คุกกี้ LGPD · /privacy · /api/user/export
- 05
ePrivacy · EU Directive 2002/58 (กฎหมายคุกกี้)
รับรองด้วยตนเองไม่มีคุกกี้ที่ไม่จำเป็นถูกใช้งานก่อนที่จะได้รับความยินยอม 'ยอมรับทั้งหมด' และ 'ปฏิเสธตัวเลือก' มีความเด่นเท่ากัน ไม่มีช่องที่ถูกเลือกไว้ล่วงหน้า ไม่มี 'X' ที่ยอมรับอย่างเงียบ ๆ ความยินยอมมีการเวอร์ชันและหมดอายุอัตโนมัติใน 13 เดือนเพื่อให้มีการขอใหม่เมื่อมีการเปลี่ยนแปลงที่สำคัญ
วิธีที่เราปฏิบัติตามการบล็อกสคริปต์ก่อนยินยอมใน cookie-consent.tsx · ความยินยอมที่มีการเวอร์ชันใน use-cookie-consent.ts
- 06
COPPA · สหรัฐอเมริกา · เด็กอายุต่ำกว่า 13 ปี
รับรองด้วยตนเองบริการของเราไม่ได้มุ่งเน้นไปที่เด็กอายุต่ำกว่า 13 ปี เราไม่เก็บรวบรวมข้อมูลส่วนบุคคลจากผู้เยาว์โดยรู้ตัว และเราอธิบายเรื่องนี้ในภาษาที่เข้าใจง่ายในนโยบายความเป็นส่วนตัวของเรา หากเราทราบว่าผู้เยาว์ได้ลงทะเบียน เราจะลบบัญชีเมื่อได้รับแจ้ง
วิธีที่เราปฏิบัติตามส่วน 'เด็ก' ใน /privacy · ไม่มีฟีเจอร์ที่มุ่งเป้าไปที่ผู้เยาว์
- 07
PCI DSS · ขอบเขต SAQ-A
รับรองด้วยตนเองข้อมูลบัตรไม่เคยสัมผัสเซิร์ฟเวอร์ของเรา การชำระเงินทั้งหมดถูกเปลี่ยนเส้นทางไปยัง Dodo Payments (ผู้ให้บริการที่ได้รับการรับรอง PCI DSS ระดับ 1) ซึ่งทำให้เราอยู่ในขอบเขต SAQ-A อย่างชัดเจน — รูปแบบที่เบาที่สุดของการปฏิบัติตาม PCI และการอ้างสิทธิ์ที่ซื่อสัตย์เพียงอย่างเดียวสำหรับผู้ค้าที่ไม่เคยจัดการ PANs
วิธีที่เราปฏิบัติตามการชำระเงินที่โฮสต์โดย Dodo · ไม่มีการเก็บ PAN · ไม่มีการจับ CVV
02 — ท่าทีความปลอดภัย
ท่าทีความปลอดภัย
การควบคุมทางเทคนิคที่อยู่เบื้องหลังการอ้างสิทธิ์การปฏิบัติตามข้อกำหนดข้างต้น ส่วนใหญ่เป็นผลจากการเลือกผู้ให้บริการอย่างระมัดระวังแทนที่จะพัฒนาของเราเอง
- โฮสติ้ง · Vercel + Coolify
- งานเว็บและ API หลักทำงานบน Vercel (SOC 2 Type II, ISO 27001) บริการการเรนเดอร์และการค้นหาทำงานบน VPS ใน EU ที่จัดการโดย Coolify พร้อม fail2ban ไฟร์วอลล์ UFW และผู้ใช้ที่ไม่ใช่ root TLS ถูกบังคับใช้อย่างครบถ้วน
- ฐานข้อมูล · Convex (เข้ารหัสขณะพัก)
- ข้อมูลผู้ใช้ทั้งหมดอยู่ใน Convex ซึ่งเข้ารหัสข้อมูลขณะพักโดยค่าเริ่มต้นและได้รับการรับรอง SOC 2 Type II เราสอบถามด้วยการกำหนดขอบเขตที่เข้มงวดต่อผู้ใช้ผ่าน Clerk identity — ไม่มีเส้นทางการเข้าถึงข้ามผู้เช่า
- ข้อมูลประจำตัว · Clerk (เราไม่เคยแตะต้องรหัสผ่าน)
- Clerk จัดการการลงชื่อเข้าใช้ การเก็บรหัสผ่าน MFA การหมุนเวียนเซสชัน และ OAuth เราไม่เคยเห็นหรือเก็บรหัสผ่าน เซสชันเป็นแบบ JWT และตรวจสอบต่อคำขอกับ JWKS ของ Clerk
- การชำระเงิน · Dodo (PCI ระดับ 1)
- การชำระเงินถูกเปลี่ยนเส้นทางไปยัง Dodo Payments หมายเลขบัตร CVV และ PAN เต็มไม่เคยถูกส่งไปยัง zlabz.io หรือเก็บในฐานข้อมูลของเรา — มีเพียงสถานะแผน ID การสมัครสมาชิก และข้อมูลการเรียกเก็บเงินเท่านั้น
- การขนส่ง · HTTPS เท่านั้น, TLS สมัยใหม่
- ทุกจุดสิ้นสุดบังคับใช้ HTTPS ผ่าน HSTS เราตั้งค่า COOP/COEP headers ที่เข้มงวดในเส้นทางของโปรแกรมแก้ไขเพื่อความปลอดภัยของ SharedArrayBuffer และแอปทำงานในบริบทที่ไม่มี CORS-credential
- การเก็บรักษา · ขีดจำกัด 13 เดือน
- ข้อมูลบัญชีถูกเก็บรักษาในขณะที่บัญชีของคุณยังใช้งานอยู่ เมื่อมีการลบ งาน Convex cascade จะลบโปรไฟล์ การสมัครสมาชิก เครดิต โครงการ และประวัติการสนับสนุน บันทึกการเรียกเก็บเงินถูกเก็บรักษาตามข้อกำหนดขั้นต่ำของกฎหมายภาษี (โดยทั่วไป 7 ปี) ตามที่กำหนด
03 — สิทธิ์ของคุณ
สิทธิ์ของคุณ
สิทธิ์แต่ละข้อด้านล่างเป็นปุ่มที่คุณสามารถคลิกได้วันนี้ — ไม่ใช่กระบวนการที่ใช้เวลา 30 วันในการส่งอีเมลไปมา
การเข้าถึง + การพกพา
ดาวน์โหลดสแน็ปช็อต JSON ของทุกสิ่งที่เราเก็บเกี่ยวคุณได้ตลอดเวลา ครอบคลุมโปรไฟล์ การสมัครสมาชิก เครดิต ตั๋วสนับสนุน ข้อเสนอแนะ และโครงการ
ส่งออกข้อมูลของฉันการลบ
ลบบัญชีของคุณด้วยการคลิกเพียงครั้งเดียว เราลบแถวของคุณออกจาก Convex บันทึกการเรียกเก็บเงินที่เก็บไว้เพื่อความสอดคล้องกับภาษีจะถูกเก็บรักษาตามขั้นต่ำที่กฎหมายกำหนด
ลบบัญชีของฉันถอนความยินยอม
เปลี่ยนการตั้งค่าคุกกี้ของคุณได้ตลอดเวลา การถอนง่ายเหมือนการให้ — เพียงคลิก 'การตั้งค่าคุกกี้' ที่ใดก็ได้ในส่วนท้าย
จัดการคุกกี้04 — โครงสร้างพื้นฐาน
โครงสร้างพื้นฐานพื้นฐาน (ผู้ให้บริการที่ดำเนินการตรวจสอบ)
เราไม่แสดงตราสัญลักษณ์ของผู้ให้บริการราวกับว่าเป็นของเราเอง — แต่การรับรองด้านล่างใช้กับแพลตฟอร์มที่เรานั่งอยู่ ซึ่งมีผลโดยตรงต่อท่าทีความปลอดภัยของเรา นี่คือเวอร์ชันที่ซื่อสัตย์ของ 'สร้างบนโครงสร้างพื้นฐาน SOC 2'
ข้อมูลประจำตัว · เซสชัน · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
ฐานข้อมูล · การซิงค์แบบเรียลไทม์
SOC 2 Type II · GDPR · CCPA · HIPAA ready
โฮสติ้งเว็บ + API · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
การชำระเงิน · การจัดการบัตร
PCI DSS Level 1 · SOC 2 · GDPR
การสร้างย่อหน้าด้วย AI
GDPR · SOC 2 Type II · EU-hosted
การวิเคราะห์แบบรวม (โฮสต์เอง)
GDPR · ePrivacy · No PII
สิ่งที่เราไม่อ้างสิทธิ์
เรายังไม่ได้ดำเนินการ SOC 2 Type I หรือ Type II, ISO 27001, ISO 27701, HIPAA, FedRAMP หรือการตรวจสอบจากบุคคลที่สามอื่น ๆ สำหรับระบบของเราเอง หากการจัดซื้อขององค์กรต้องการระดับการรับรองนั้นจากเราโดยเฉพาะ ติดต่อเรา — เราสามารถแบ่งปันรายงานของผู้ให้บริการและแบบสอบถามความปลอดภัย แต่เราจะไม่สร้างตราสัญลักษณ์ที่เราไม่มี
05 — เอกสารที่เกี่ยวข้อง
เอกสารที่เกี่ยวข้อง
คำถาม
ยังมีคำถามอยู่หรือไม่?
หากทีมจัดซื้อของคุณต้องการ DPA ที่ลงนามแล้ว แบบสอบถามความปลอดภัย หรือเอกสารที่ลึกซึ้งยิ่งขึ้น ติดต่อเราและเราจะตอบกลับภายในสองวันทำการ
ติดต่อฝ่ายสนับสนุน