セキュリティ
お客様のデータを守るための取り組みを、確認可能な事実のみでご説明します。
データの保管場所
- アプリケーション、データベース、バックグラウンド処理は東京リージョンで運用しています(データベース:AWS東京 ap-northeast-1、Webフロントエンド:東京エッジ hnd1、ワーカー:東京 NRT)。
- AIアシスタント応答の生データはCloudflare R2(ロケーションヒント:APAC)に保管されます。
- エラー監視(Sentry)のデータはEU(ドイツ・フランクフルト)リージョンに保管されます。
テナント分離とアクセス制御
- データベースは行レベルセキュリティ(RLS)により、お客様ごとにデータを分離しています。
- 認証はマジックリンク方式(パスワードレス)で、レート制限により総当たり攻撃を防止しています。
- チームメンバーにはロールベースの権限(オーナー・管理者・メンバー・閲覧者)を設定できます。
暗号化
- 通信はTLS 1.2以上で暗号化されます(HTTPS/HSTS)。
- 保管データはAES-256相当で暗号化されます。
- クレジットカード番号は決済代行会社(Stripe)が直接取得し、当社サーバーには保存されません。
バックアップと監視
- データベースはポイントインタイムリカバリ(PITR)に対応したバックアップを取得しています。
- エラー・性能監視を常時実施し、個人情報をフィルタリングしたうえでテレメトリを取得しています。
- 主要な操作は監査ログとして記録されます。
決済セキュリティ
- 決済処理はPCI DSS Service Provider Level 1認定のStripeに委託しています。
正直な補足
SOC 2やISO/IEC 27001などの第三者認証は現時点で取得していません。記載している内容は、いずれも実装済みの事実です。個人情報の取扱いの詳細はプライバシーポリシーを、外部送信の詳細は外部送信に関する公表をご覧ください。