Довіра, викладена словами.

Клаузула чесності

Ми не завершили зовнішній аудит SOC 2 або ISO 27001 наших власних систем. Ми не будемо відображати ці значки для себе. Де ми покладаємося на постачальників, які мають ці аудити — Clerk, Convex, Vercel, Dodo — ми перераховуємо їхні сертифікації в розділі інфраструктури нижче, тому що ці сертифікації застосовуються до хостингу та шару ідентифікації, на якому ми знаходимося, а не до нашої власної кодової бази. Ми вважаємо за краще бути невеликою компанією, яка говорить правду, ніж невеликою компанією, яка позичає значки інших.

— З повагою, команда zlabz.io

1. 01

   GDPR · Регламент ЄС 2016/679

   Самозасвідчено

   Законна основа (згода + контракт), прозоре повідомлення про конфіденційність, мінімізація даних, обмеження зберігання на 13 місяців, повні права суб'єкта (доступ, виправлення, видалення, перенесення, заперечення, обмеження), названі субпроцесори, дружні до ЄС передачі та задокументовані заходи безпеки.

   Як ми це виконуємо/privacy · детальна згода на файли cookie · /api/user/export · видалення облікового запису в /settings · /subprocessors

2. 02

   UK GDPR · 2021

   Самозасвідчено

   Постбрекзитне специфічне регулювання GDPR для Великобританії. Ми застосовуємо ті ж самі контролі, що й GDPR ЄС — версія для Великобританії є суттєво ідентичною на операційному рівні, тому відповідність забезпечується через ті ж механізми.

   Як ми це виконуємоТі ж контролі, що й GDPR ЄС · повідомлення про конфіденційність, узгоджене з ICO

3. 03

   CCPA / CPRA · Каліфорнія, США

   Самозасвідчено

   Немає продажу або обміну особистою інформацією, чітке повідомлення при зборі, право знати / доступ / видалити / виправити, право обмежити використання чутливої інформації, недискримінація за реалізацію прав. Ми ставимося до всіх користувачів CA з підходом максимальних прав.

   Як ми це виконуємо/privacy · 'Не продавати або ділитися' не є проблемою, тому що ми цього не робимо · /api/user/export · видалення облікового запису

4. 04

   LGPD · Бразилія Закон 13.709/2018

   Самозасвідчено

   Бразильський закон про конфіденційність, змодельований на GDPR. Ми покладаємося на згоду та законну договірну основу, дотримуємося всіх прав суб'єктів даних і явно позначаємо LGPD у нашому банері cookie, щоб бразильські користувачі розпізнавали цю рамку.

   Як ми це виконуємоБанер cookie з позначкою LGPD · /privacy · /api/user/export

5. 05

   ePrivacy · Директива ЄС 2002/58 (закон про файли cookie)

   Самозасвідчено

   Жодні неістотні файли cookie не активуються до явної згоди. 'Прийняти всі' та 'Відхилити необов'язкові' мають однакову видимість. Немає попередньо відмічених полів, немає 'X', що мовчки приймає. Згода версіонується та автоматично закінчується через 13 місяців, щоб суттєві зміни перепитували.

   Як ми це виконуємоБлокування скриптів до згоди в cookie-consent.tsx · версіонована згода в use-cookie-consent.ts

6. 06

   COPPA · США · Діти до 13 років

   Самозасвідчено

   Наш сервіс не призначений для дітей до 13 років. Ми не збираємо особисту інформацію від неповнолітніх свідомо і пояснюємо це простою мовою в нашій політиці конфіденційності. Якщо ми дізнаємося, що неповнолітній зареєструвався, ми видаляємо обліковий запис після повідомлення.

   Як ми це виконуємоРозділ 'Діти' в /privacy · жодних функцій, спрямованих на неповнолітніх

7. 07

   PCI DSS · Обсяг SAQ-A

   Самозасвідчено

   Дані карток ніколи не потрапляють на наші сервери. Всі платежі перенаправляються на Dodo Payments (сертифікований провайдер рівня PCI DSS 1). Це чітко визначає нас у обсязі SAQ-A — найлегшій формі відповідності PCI, і єдиною чесною заявою для продавця, який ніколи не обробляє PAN.

   Як ми це виконуємоОформлення замовлення, розміщене на Dodo · жодного зберігання PAN · жодного захоплення CVV

01

Хостинг · Vercel + Coolify

Основні веб- та API-навантаження працюють на Vercel (SOC 2 Type II, ISO 27001). Послуги рендерингу та пошуку працюють на VPS, керованому Coolify в ЄС, з fail2ban, брандмауером UFW та користувачем без прав root. TLS забезпечується від кінця до кінця.

02

База даних · Convex (зашифровано в стані спокою)

Всі дані користувачів зберігаються в Convex, який за замовчуванням шифрує дані в стані спокою та сертифікований SOC 2 Type II. Ми запитуємо її з суворим обмеженням на кожного користувача через ідентифікацію Clerk — жодних шляхів доступу між орендарями.

03

Ідентифікація · Clerk (ми ніколи не торкаємося паролів)

Clerk обробляє вхід, зберігання паролів, MFA, ротацію сесій та OAuth. Ми ніколи не бачимо і не зберігаємо паролі. Сесії базуються на JWT і перевіряються на кожен запит проти JWKS Clerk.

04

Платежі · Dodo (рівень PCI 1)

Оформлення замовлення перенаправляється на Dodo Payments. Номери карток, CVV та повні PAN ніколи не передаються на zlabz.io або не зберігаються в нашій базі даних — лише статус плану, ID підписки та метадані виставлення рахунків.

05

Транспорт · Тільки HTTPS, сучасний TLS

Всі кінцеві точки забезпечують HTTPS через HSTS. Ми встановлюємо суворі заголовки COOP/COEP на маршрутах редактора для безпеки SharedArrayBuffer, і додаток працює в контексті без облікових даних CORS.

06

Зберігання · Обмеження на 13 місяців

Дані облікового запису зберігаються, поки ваш обліковий запис активний. При видаленні, каскадна задача Convex видаляє профіль, підписку, кредити, проекти та історію підтримки. Записи виставлення рахунків зберігаються відповідно до мінімумів податкового законодавства (зазвичай 7 років), як це вимагається.

• Політика конфіденційності—>
• Умови надання послуг—>
• Список субпроцесорів—>
• Угода про обробку даних (DPA)—>