Tin cậy, được giải thích rõ ràng.

Điều khoản trung thực

Chúng tôi chưa hoàn thành một cuộc kiểm toán SOC 2 hoặc ISO 27001 bên ngoài cho hệ thống của riêng mình. Chúng tôi sẽ không hiển thị những huy hiệu đó cho chính mình. Nơi chúng tôi dựa vào các nhà cung cấp có thực hiện các cuộc kiểm toán đó — Clerk, Convex, Vercel, Dodo — chúng tôi liệt kê các chứng nhận của họ trong phần cơ sở hạ tầng bên dưới, vì những chứng nhận đó áp dụng cho lớp lưu trữ và nhận dạng mà chúng tôi ngồi trên, không phải cho mã nguồn của chúng tôi. Chúng tôi thà là một công ty nhỏ nói sự thật hơn là một công ty nhỏ mượn huy hiệu của người khác.

— Ký tên, đội ngũ zlabz.io

1. 01

   GDPR · Quy định EU 2016/679

   Tự chứng nhận

   Cơ sở pháp lý (đồng ý + hợp đồng), thông báo bảo mật minh bạch, giảm thiểu dữ liệu, giới hạn lưu giữ 13 tháng, quyền đầy đủ của chủ thể (truy cập, chỉnh sửa, xóa, di chuyển, phản đối, hạn chế), các nhà xử lý phụ được chỉ định, chuyển giao thân thiện với EU và các biện pháp an ninh được ghi lại.

   Cách chúng tôi đáp ứng/privacy · đồng ý cookie chi tiết · /api/user/export · xóa tài khoản trong /settings · /subprocessors

2. 02

   UK GDPR · 2021

   Tự chứng nhận

   Quy định GDPR cụ thể của Vương quốc Anh sau Brexit. Chúng tôi áp dụng các kiểm soát giống như GDPR của EU — phiên bản Vương quốc Anh về cơ bản là giống nhau ở cấp độ hoạt động, vì vậy việc tuân thủ được thực hiện thông qua các cơ chế tương tự.

   Cách chúng tôi đáp ứngCác kiểm soát giống như GDPR của EU · thông báo bảo mật phù hợp với ICO

3. 03

   CCPA / CPRA · California, Hoa Kỳ

   Tự chứng nhận

   Không bán hoặc chia sẻ thông tin cá nhân, thông báo rõ ràng khi thu thập, quyền biết / truy cập / xóa / chỉnh sửa, quyền hạn chế sử dụng thông tin nhạy cảm, không phân biệt đối xử khi thực hiện quyền. Chúng tôi đối xử với tất cả người dùng CA theo cách tiếp cận quyền tối đa.

   Cách chúng tôi đáp ứng/privacy · 'Không Bán hoặc Chia sẻ' không phải là vấn đề vì chúng tôi không làm · /api/user/export · xóa tài khoản

4. 04

   LGPD · Brazil Lei 13.709/2018

   Tự chứng nhận

   Luật bảo mật của Brazil được mô hình hóa theo GDPR. Chúng tôi dựa vào sự đồng ý và cơ sở hợp đồng hợp pháp, tôn trọng tất cả các quyền của chủ thể dữ liệu và gắn cờ LGPD rõ ràng trong biểu ngữ cookie của chúng tôi để người dùng Brazil nhận ra khung này.

   Cách chúng tôi đáp ứngBiểu ngữ cookie có cờ LGPD · /privacy · /api/user/export

5. 05

   ePrivacy · Chỉ thị EU 2002/58 (luật cookie)

   Tự chứng nhận

   Không có cookie không cần thiết nào được kích hoạt trước khi có sự đồng ý rõ ràng. 'Chấp nhận tất cả' và 'Từ chối tùy chọn' có sự nổi bật ngang nhau. Không có hộp được đánh dấu trước, không có 'X' chấp nhận một cách âm thầm. Sự đồng ý được phiên bản hóa và tự động hết hạn sau 13 tháng để các thay đổi quan trọng được nhắc lại.

   Cách chúng tôi đáp ứngChặn script trước khi đồng ý trong cookie-consent.tsx · đồng ý phiên bản hóa trong use-cookie-consent.ts

6. 06

   COPPA · Hoa Kỳ · Trẻ em dưới 13 tuổi

   Tự chứng nhận

   Dịch vụ của chúng tôi không hướng đến trẻ em dưới 13 tuổi. Chúng tôi không cố ý thu thập thông tin cá nhân từ trẻ vị thành niên, và chúng tôi giải thích điều này bằng ngôn ngữ đơn giản trong chính sách bảo mật của mình. Nếu chúng tôi biết một trẻ vị thành niên đã đăng ký, chúng tôi sẽ xóa tài khoản khi được thông báo.

   Cách chúng tôi đáp ứngPhần 'Trẻ em' trong /privacy · không có tính năng nhắm mục tiêu trẻ vị thành niên

7. 07

   PCI DSS · Phạm vi SAQ-A

   Tự chứng nhận

   Dữ liệu thẻ không bao giờ chạm vào máy chủ của chúng tôi. Tất cả các khoản thanh toán được chuyển hướng đến Dodo Payments (nhà cung cấp được chứng nhận PCI DSS Cấp 1). Điều đó đặt chúng tôi hoàn toàn trong phạm vi SAQ-A — hình thức tuân thủ PCI nhẹ nhất, và là tuyên bố trung thực duy nhất cho một thương nhân không bao giờ xử lý PANs.

   Cách chúng tôi đáp ứngThanh toán do Dodo lưu trữ · không lưu trữ PAN · không thu thập CVV

01

Lưu trữ · Vercel + Coolify

Các công việc web và API chính chạy trên Vercel (SOC 2 Loại II, ISO 27001). Dịch vụ render và tìm kiếm chạy trên VPS EU do Coolify quản lý với fail2ban, tường lửa UFW, và người dùng triển khai không phải root. TLS được thực thi từ đầu đến cuối.

02

Cơ sở dữ liệu · Convex (mã hóa khi lưu trữ)

Tất cả dữ liệu người dùng sống trong Convex, nơi mã hóa dữ liệu khi lưu trữ theo mặc định và được chứng nhận SOC 2 Loại II. Chúng tôi truy vấn nó với phạm vi nghiêm ngặt cho từng người dùng thông qua nhận dạng Clerk — không có đường truy cập chéo giữa các khách thuê.

03

Nhận dạng · Clerk (chúng tôi không bao giờ chạm vào mật khẩu)

Clerk xử lý đăng nhập, lưu trữ mật khẩu, MFA, xoay vòng phiên và OAuth. Chúng tôi không bao giờ thấy hoặc lưu trữ mật khẩu. Các phiên dựa trên JWT và được xác minh theo từng yêu cầu đối với JWKS của Clerk.

04

Thanh toán · Dodo (PCI Cấp 1)

Thanh toán được chuyển hướng đến Dodo Payments. Số thẻ, CVV và toàn bộ PAN không bao giờ được truyền đến zlabz.io hoặc lưu trữ trong cơ sở dữ liệu của chúng tôi — chỉ có trạng thái kế hoạch, ID đăng ký và siêu dữ liệu thanh toán.

05

Vận chuyển · Chỉ HTTPS, TLS hiện đại

Tất cả các điểm cuối thực thi HTTPS qua HSTS. Chúng tôi đặt các tiêu đề COOP/COEP nghiêm ngặt trên các tuyến biên tập để đảm bảo an toàn SharedArrayBuffer, và ứng dụng chạy trong một ngữ cảnh không có thông tin xác thực CORS.

06

Lưu trữ · Giới hạn 13 tháng

Dữ liệu tài khoản được giữ lại trong khi tài khoản của bạn hoạt động. Khi xóa, một công việc cascade Convex xóa hồ sơ, đăng ký, tín dụng, dự án và lịch sử hỗ trợ. Hồ sơ thanh toán được giữ lại theo các yêu cầu tối thiểu của luật thuế (thường là 7 năm) theo yêu cầu.

• Chính sách Bảo mật—>
• Điều khoản Dịch vụ—>
• Danh sách nhà xử lý phụ—>
• Thỏa thuận Xử lý Dữ liệu (DPA)—>