信任 · 合规
信任,详细说明。
此页面列出了我们遵守的每一项法规,我们如何满足这些法规,以及我们依赖的基础供应商进行的审核。这里的一切都是自我证明的——我们列出我们今天可以诚实支持的内容,并告诉您我们不能支持的内容。
最后审核 — 2026-04-21
诚实条款
我们尚未完成对我们自己系统的外部 SOC 2 或 ISO 27001 审核。我们不会为自己展示这些徽章。对于我们依赖的持有这些审核的供应商——Clerk、Convex、Vercel、Dodo——我们在下面的基础设施部分列出了他们的认证,因为这些认证适用于我们所依赖的托管和身份层,而不是我们自己的代码库。我们宁愿成为一个讲真话的小公司,也不愿成为一个借用他人徽章的小公司。
— 签署,zlabz.io 团队
01 — 隐私框架
我们遵守的隐私框架
每个项目都有我们提供的具体控制支持——而不是幻灯片上的承诺。点击任何项目查看其依据的证据。
- 01
GDPR · 欧盟法规 2016/679
自我证明合法基础(同意 + 合同)、透明的隐私声明、数据最小化、13 个月保留上限、完整的主体权利(访问、更正、删除、可携带性、反对、限制)、命名的子处理器、欧盟友好的传输和记录的安全措施。
我们如何满足/privacy · 详细的 cookie 同意 · /api/user/export · 在 /settings 中删除帐户 · /subprocessors
- 02
英国 GDPR · 2021
自我证明英国脱欧后特定的 GDPR 法规。我们应用与欧盟 GDPR 相同的控制——英国版本在操作层面上基本相同,因此合规通过相同的机制实现。
我们如何满足与欧盟 GDPR 相同的控制 · 与 ICO 对齐的隐私声明
- 03
CCPA / CPRA · 加利福尼亚,美国
自我证明不出售或共享个人信息,收集时明确通知,知情权 / 访问权 / 删除权 / 更正权,限制使用敏感信息的权利,行使权利不受歧视。我们以最大权利的方式对待所有加州用户。
我们如何满足/privacy · '不出售或共享' 不是问题,因为我们不这样做 · /api/user/export · 删除帐户
- 04
LGPD · 巴西法令 13.709/2018
自我证明以 GDPR 为模型的巴西隐私法。我们依赖于同意和合法的合同基础,尊重所有数据主体权利,并在我们的 cookie 横幅中明确标记 LGPD,以便巴西用户识别该框架。
我们如何满足Cookie 横幅 LGPD 标记 · /privacy · /api/user/export
- 05
ePrivacy · 欧盟指令 2002/58(cookie 法)
自我证明在明确同意之前,不会触发非必要的 cookie。'接受所有' 和 '拒绝可选' 同等重要。没有预选框,没有默默接受的 'X'。同意是版本化的,并在 13 个月后自动过期,以便在重大更改时重新提示。
我们如何满足在 cookie-consent.tsx 中的预同意脚本阻止 · 在 use-cookie-consent.ts 中的版本化同意
- 06
COPPA · 美国 · 13 岁以下儿童
自我证明我们的服务不针对 13 岁以下的儿童。我们不会故意收集未成年人的个人信息,并在我们的隐私政策中用简单的语言解释这一点。如果我们发现未成年人注册,我们会在通知后删除该帐户。
我们如何满足/privacy 中的 '儿童' 部分 · 没有针对未成年人的功能
- 07
PCI DSS · SAQ-A 范围
自我证明卡数据从未触及我们的服务器。所有付款都重定向到 Dodo Payments(PCI DSS 1 级认证提供商)。这使我们完全处于 SAQ-A 范围内——这是 PCI 合规的最轻量级形式,也是从未处理 PAN 的商家唯一诚实的声明。
我们如何满足Dodo 托管的结账 · 无 PAN 存储 · 无 CVV 捕获
02 — 安全态势
安全态势
合规声明背后的技术控制。大多数是通过仔细选择供应商而不是自行开发实现的。
- 托管 · Vercel + Coolify
- 主要的 Web 和 API 工作负载运行在 Vercel(SOC 2 类型 II,ISO 27001)。渲染和搜索服务运行在 Coolify 管理的 EU VPS 上,带有 fail2ban、UFW 防火墙和非 root 部署用户。TLS 从端到端强制执行。
- 数据库 · Convex(静态加密)
- 所有用户数据都存储在 Convex 中,默认情况下对静态数据进行加密,并获得 SOC 2 类型 II 认证。我们通过 Clerk 身份进行严格的每用户范围查询——没有跨租户访问路径。
- 身份 · Clerk(我们从不接触密码)
- Clerk 处理登录、密码存储、多因素认证、会话轮换和 OAuth。我们从不查看或存储密码。会话基于 JWT,并在每次请求时根据 Clerk 的 JWKS 进行验证。
- 支付 · Dodo(PCI 1 级)
- 结账重定向到 Dodo Payments。卡号、CVV 和完整的 PAN 从未传输到 zlabz.io 或存储在我们的数据库中——只有计划状态、订阅 ID 和账单元数据。
- 传输 · 仅 HTTPS,现代 TLS
- 所有端点通过 HSTS 强制执行 HTTPS。我们在编辑器路由上设置严格的 COOP/COEP 头以确保 SharedArrayBuffer 安全,并且应用程序在无凭证的 CORS 环境中运行。
- 保留 · 13 个月上限
- 帐户数据在您的帐户处于活动状态时保留。在删除时,Convex 级联作业会清除个人资料、订阅、积分、项目和支持历史记录。根据税法最低要求(通常为 7 年)保留账单记录。
03 — 您的权利
您的权利
下面的每一项权利都是您今天可以点击的按钮——而不是需要 30 天电子邮件来回的过程。
04 — 基础设施
基础设施(哪些供应商进行审核)
我们不会将供应商徽章展示为我们自己的——但下面的认证适用于我们所依赖的平台,这直接影响我们的安全态势。这是 '基于 SOC 2 基础设施构建' 的诚实版本。
身份 · 会话 · 多因素认证
SOC 2 Type II · ISO 27001 · GDPR · CCPA
数据库 · 实时同步
SOC 2 Type II · GDPR · CCPA · HIPAA ready
Web + API 托管 · CDN
SOC 2 Type II · ISO 27001 · GDPR · CCPA
结账 · 卡处理
PCI DSS Level 1 · SOC 2 · GDPR
AI 段落生成
GDPR · SOC 2 Type II · EU-hosted
聚合分析(自托管)
GDPR · ePrivacy · No PII
我们不声称的内容
我们尚未完成 SOC 2 类型 I 或 II、ISO 27001、ISO 27701、HIPAA、FedRAMP 或我们自己系统的任何其他第三方审核。如果企业采购特别需要这种级别的保证,请联系我们——我们可以分享供应商报告和安全问卷,但我们不会发明我们没有的徽章。
05 — 相关文档