Tiwala · Pagsunod
Tiwala, detalyado.
Ang pahinang ito ay naglilista ng bawat regulasyon na sinusunod namin, paano namin ito natutugunan, at aling mga vendor ang nagsasagawa ng mga audit na aming inaasahan. Lahat dito ay sariling pagsasaksi — inililista namin ang maaari naming tapat na suportahan ngayon, at sinasabi namin sa iyo kung ano ang hindi namin magagawa.
Huling sinuri — 2026-04-21
Klausula ng katapatan
Hindi pa namin natatapos ang isang panlabas na SOC 2 o ISO 27001 audit ng aming sariling mga sistema. Hindi namin ipapakita ang mga badge na iyon para sa aming sarili. Kung saan kami umaasa sa mga vendor na may hawak na mga audit na iyon — Clerk, Convex, Vercel, Dodo — inililista namin ang kanilang mga sertipikasyon sa seksyon ng imprastraktura sa ibaba, dahil ang mga sertipikasyong iyon ay nalalapat sa hosting at identity layer na aming kinatatayuan, hindi sa aming sariling codebase. Mas gusto naming maging isang maliit na kumpanya na nagsasabi ng totoo kaysa isang maliit na kumpanya na humihiram ng badge ng iba.
— Pinirmahan, ang zlabz.io team
01 — Mga framework ng privacy
Mga framework ng privacy na sinusunod namin
Ang bawat item ay sinusuportahan ng isang kongkretong kontrol na aming ipinapadala — hindi isang pangako sa isang slide. I-click ang anumang item upang makita ang ebidensyang batayan nito.
- 01
GDPR · EU Regulation 2016/679
Sariling pagsasaksiLegal na batayan (pahintulot + kontrata), transparent na abiso sa privacy, pag-minimize ng data, 13-buwan na limitasyon sa pagpapanatili, buong karapatan ng paksa (pag-access, pagwawasto, pagbura, portability, pagtutol, paghihigpit), pinangalanang mga subprocessors, EU-friendly na mga transfer, at dokumentadong mga hakbang sa seguridad.
Paano namin ito natutugunan/privacy · granular na pahintulot sa cookie · /api/user/export · pagbura ng account sa /settings · /subprocessors
- 02
UK GDPR · 2021
Sariling pagsasaksiPost-Brexit UK-specific na regulasyon ng GDPR. Inilalapat namin ang parehong mga kontrol tulad ng EU GDPR — ang bersyon ng UK ay substantibong magkapareho sa antas ng operasyon, kaya't ang pagsunod ay isinasagawa sa pamamagitan ng parehong mga mekanismo.
Paano namin ito natutugunanParehong mga kontrol tulad ng EU GDPR · Abiso sa privacy na nakahanay sa ICO
- 03
CCPA / CPRA · California, USA
Sariling pagsasaksiWalang pagbebenta o pagbabahagi ng personal na impormasyon, malinaw na abiso sa pagkolekta, karapatang malaman / mag-access / magbura / magwasto, karapatang limitahan ang paggamit ng sensitibong impormasyon, walang diskriminasyon para sa paggamit ng mga karapatan. Itinuturing namin ang lahat ng CA na gumagamit ng maximum-rights na diskarte.
Paano namin ito natutugunan/privacy · 'Do Not Sell or Share' ay hindi isyu dahil hindi namin ginagawa · /api/user/export · pagbura ng account
- 04
LGPD · Brazil Lei 13.709/2018
Sariling pagsasaksiBatas sa privacy ng Brazil na naka-modelo sa GDPR. Umaasa kami sa pahintulot at lehitimong batayan ng kontrata, iginagalang ang lahat ng mga karapatan ng data-subject, at tahasang nilalagyan ng flag ang LGPD sa aming banner ng cookie upang makilala ng mga gumagamit ng Brazil ang framework.
Paano namin ito natutugunanBanner ng cookie na may flag ng LGPD · /privacy · /api/user/export
- 05
ePrivacy · EU Directive 2002/58 (batas sa cookie)
Sariling pagsasaksiWalang hindi mahalagang cookies ang nag-aapoy bago ang tahasang pahintulot. Ang 'Accept all' at 'Reject optional' ay may pantay na prominence. Walang pre-ticked na mga kahon, walang 'X' na tahimik na tumatanggap. Ang pahintulot ay naka-version at awtomatikong nag-e-expire sa 13 buwan kaya't ang mga materyal na pagbabago ay muling nag-uudyok.
Paano namin ito natutugunanPre-consent script blocking sa cookie-consent.tsx · versioned consent sa use-cookie-consent.ts
- 06
COPPA · USA · Mga bata sa ilalim ng 13
Sariling pagsasaksiAng aming serbisyo ay hindi nakadirekta sa mga bata sa ilalim ng 13. Hindi namin sinasadyang kinokolekta ang personal na impormasyon mula sa mga menor de edad, at ipinaliwanag namin ito sa simpleng wika sa aming patakaran sa privacy. Kung malaman namin na ang isang menor de edad ay nagparehistro, binubura namin ang account sa abiso.
Paano namin ito natutugunan'Mga Bata' na seksyon sa /privacy · walang mga tampok na nagta-target sa mga menor de edad
- 07
PCI DSS · Saklaw ng SAQ-A
Sariling pagsasaksiAng data ng card ay hindi kailanman dumadaan sa aming mga server. Lahat ng pagbabayad ay na-redirect sa Dodo Payments (PCI DSS Level 1 certified provider). Iyon ay naglalagay sa amin sa saklaw ng SAQ-A — ang pinakamagaan na anyo ng pagsunod sa PCI, at ang tanging tapat na pag-angkin para sa isang merchant na hindi kailanman humahawak ng PANs.
Paano namin ito natutugunanDodo-hosted checkout · walang imbakan ng PAN · walang pagkuha ng CVV
02 — Kalagayan ng seguridad
Kalagayan ng seguridad
Ang mga teknikal na kontrol sa likod ng mga pag-angkin ng pagsunod sa itaas. Karamihan sa mga ito ay resulta ng maingat na pagpili ng mga vendor sa halip na gumawa ng sarili naming.
- Hosting · Vercel + Coolify
- Ang pangunahing web at API workloads ay tumatakbo sa Vercel (SOC 2 Type II, ISO 27001). Ang mga serbisyo ng render at search ay tumatakbo sa isang Coolify-managed EU VPS na may fail2ban, UFW firewall, at isang non-root deploy user. Ang TLS ay ipinapatupad mula dulo hanggang dulo.
- Database · Convex (encrypted at rest)
- Lahat ng data ng gumagamit ay nasa Convex, na nag-e-encrypt ng data sa pahinga bilang default at ay SOC 2 Type II certified. Kinukuwestiyon namin ito na may mahigpit na per-user scoping sa pamamagitan ng Clerk identity — walang cross-tenant access paths.
- Identity · Clerk (hindi namin hinahawakan ang mga password)
- Ang Clerk ang humahawak sa pag-sign-in, pag-iimbak ng password, MFA, pag-ikot ng session, at OAuth. Hindi namin nakikita o iniimbak ang mga password. Ang mga session ay batay sa JWT at nabe-verify per-request laban sa Clerk's JWKS.
- Payments · Dodo (PCI Level 1)
- Ang checkout ay na-redirect sa Dodo Payments. Ang mga numero ng card, CVVs, at buong PANs ay hindi kailanman ipinapadala sa zlabz.io o iniimbak sa aming database — tanging ang status ng plano, subscription ID, at billing metadata.
- Transport · HTTPS-only, modern TLS
- Lahat ng endpoints ay nagpapatupad ng HTTPS sa pamamagitan ng HSTS. Nag-set kami ng mahigpit na COOP/COEP headers sa mga ruta ng editor para sa kaligtasan ng SharedArrayBuffer, at ang app ay tumatakbo sa isang CORS-credentialless na konteksto.
- Retention · 13-buwan na limitasyon
- Ang data ng account ay pinapanatili habang aktibo ang iyong account. Sa pagbura, isang Convex cascade job ang nagbubura ng profile, subscription, credits, projects, at support history. Ang mga rekord ng billing ay pinapanatili ayon sa minimum na batas sa buwis (karaniwang 7 taon) ayon sa kinakailangan.
03 — Ang iyong mga karapatan
Ang iyong mga karapatan
Ang bawat karapatan sa ibaba ay isang button na maaari mong i-click ngayon — hindi isang proseso na tumatagal ng 30 araw ng email ping-pong.
Pag-access + portability
I-download ang isang JSON snapshot ng lahat ng aming iniimbak tungkol sa iyo, anumang oras. Sinasaklaw nito ang profile, subscription, credits, support tickets, feedback, at projects.
I-export ang aking dataPagbura
Burahin ang iyong account sa isang click. Kami ay nag-cascade-wipe ng iyong mga hilera mula sa Convex. Ang mga rekord ng billing na hawak para sa pagsunod sa buwis ay pinapanatili ayon sa minimum na kinakailangan ng batas.
Burahin ang aking accountBawiin ang pahintulot
Baguhin ang iyong mga kagustuhan sa cookie anumang oras. Ang pagbawi ay kasing dali ng pagbibigay — i-click lamang ang 'Cookie preferences' saanman sa footer.
Pamahalaan ang cookies04 — Imprastraktura
Pangunahing imprastraktura (kung aling mga vendor ang nagsasagawa ng mga audit)
Hindi namin ipinapakita ang mga badge ng vendor na parang sa amin — ngunit ang mga sertipikasyon sa ibaba ay nalalapat sa mga platform na aming kinatatayuan, na direktang nakakaapekto sa aming kalagayan ng seguridad. Ito ang tapat na bersyon ng 'built on SOC 2 infrastructure'.
Identity · sessions · MFA
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Database · real-time sync
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Web + API hosting · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
Checkout · card handling
PCI DSS Level 1 · SOC 2 · GDPR
AI paragraph generation
GDPR · SOC 2 Type II · EU-hosted
Aggregated analytics (self-hosted)
GDPR · ePrivacy · No PII
Ano ang HINDI namin inaangkin
Hindi pa namin natatapos ang SOC 2 Type I o Type II, ISO 27001, ISO 27701, HIPAA, FedRAMP, o anumang iba pang third-party audit ng aming sariling mga sistema. Kung ang enterprise procurement ay nangangailangan ng antas ng katiyakan mula sa amin partikular, makipag-ugnayan sa amin — maaari naming ibahagi ang mga ulat ng vendor at isang security questionnaire, ngunit hindi namin iimbento ang mga badge na wala kami.
05 — Kaugnay na mga dokumento
Kaugnay na mga dokumento
Mga tanong
May mga tanong pa?
Kung ang iyong procurement team ay nangangailangan ng isang signed DPA, isang security questionnaire, o mas malalim na dokumentasyon, makipag-ugnayan at tutugon kami sa loob ng dalawang araw ng negosyo.
Makipag-ugnayan sa suporta