信頼バンドル
購買・セキュリティ・法務チームから一般的に求められる資料を、すべて公開・ダウンロード可能にしています。
データ処理契約(DPA)
GDPR第28条に準拠した契約。範囲、期間、サブプロセッサ、データ移転、監査権を網羅。
DPAを読むサブプロセッサ一覧
現行および任意のサブプロセッサ、所在地、移転メカニズム(DPF / SCC)、主な目的を記載。
サブプロセッサを見るプライバシーポリシー
訪問者データの収集・使用・保管・削除の方法 — クッキーレストラッカーのモデルを含む。
プライバシーポリシーを読むセキュリティ概要
暗号化、アクセス制御、ハッシュ化IPによる監査ログ、侵害通知、サブプロセッサの認証情報。
セキュリティ概要を読む利用規約(Acceptable Use)
Zenovayで実行できる/できないこと — セキュリティレビューやリスク評価に役立ちます。
利用規約を読むライブステータスページ
リアルタイムの稼働状況、インシデント履歴、Zenovay各サービスのコンポーネント状態。
status.zenovay.comを開くZenovayの構成
セキュリティ・エンジニアリングのレビュー担当者向けのアーキテクチャ概要です。
Zenovayはグローバルなクラウドフレア・ワーカーズ上で稼働し、主データベースのPostgreSQLはSupabaseのeu-central-1(フランクフルト)にホストされています。すべてのアナリティクスイベントは100ms未満のレイテンシでエッジエンドポイントを通ります。
決済処理はすべてStripeが担当します — クレジットカード番号(PAN)データはZenovayのインフラに一切到達しません。PCI DSSレベル1の義務はStripe側にあります。
トランザクションメールおよび運用メールはResend経由で送信されます。AI機能(インサイト、自然言語アナリティクス)はCloudflare AI Gateway経由でOpenAIを呼び出し、オプトイン機能に限定されます。
クッキーレストラッカーは、ウィンドウスコープのインメモリ訪問者IDと、重複排除のための日次ソルト付きSHA-256ハッシュを使用します。クッキーなし、localStorageなし、フィンガープリンティングなし。監査ログにはソルト付きIPハッシュのみが保存され、平文IPは一切永続化されません。
米国拠点のサブプロセッサ(Stripe、Resend、OpenAI)への国際データ移転は、受領者がDPF認証取得済みの場合はEU-USデータプライバシーフレームワークに、SCCが適用される場合は2021年版標準契約条項(モジュール2)に基づいて行われます。完全なメカニズムはDPAに記載されています。
プラン別のデータ保持
保持期間はプランごとに異なります。監査ログ(管理用トレース)は全プランで24か月保持され、毎日パージされます。
| プラン | アナリティクス保持期間 | 監査ログ |
|---|---|---|
| Free | 1年 | 24か月 |
| Pro | 2年 | 24か月 |
| Scale | 4年 | 24か月 |
| Enterprise | カスタム(デフォルト4年) | 24か月 |
サブプロセッサの認証
ZenovayはGDPR対応を前提に設計されており、セキュリティ認証を取得したインフラ提供者と協働しています。以下はZenovayの顧客データを取り扱うサブプロセッサが保有する認証であり、Zenovay自身の認証ではありません。
Cloudflare
エッジコンピューティング、KV、R2、CDN、Pages、AI Gateway
SOC 2 Type II、ISO 27001、ISO 27018
Supabase
主PostgreSQLデータベース(eu-central-1、フランクフルト)
SOC 2 Type II
Stripe
決済処理、課金、サブスクリプション
PCI DSSレベル1(PANデータはZenovayに到達しません)
国際移転
米国拠点のサブプロセッサ(Stripe、Resend、OpenAI)
EU-US DPF + 2021年版標準契約条項(モジュール2)
Zenovay自体はSOC 2 / ISO 27001 / HIPAA / PCI DSSの認証を取得していません。上記のサブプロセッサが監査済みのセキュリティ姿勢を保有していることを基盤とし、DPAおよびセキュリティ概要に記載された独自の内部統制下で運用しています。
購買担当者向けFAQ
エンタープライズの購入担当者から最もよく寄せられる質問です。ご質問が見当たらない場合は営業にお問い合わせください。
主データベースは2026年4月24日以降、Supabase PostgreSQLのeu-central-1(フランクフルト)にあります。Cloudflare R2(ヒートマップのスクリーンショット)はEUデータロケーションを優先する設定です。Cloudflare Workersはグローバルエッジネットワーク上で稼働し、100ms未満のレイテンシを実現しています。
顧客のアナリティクスデータはEU内に保管されます。少数のサブプロセッサは米国拠点(Stripe、Resend、Cloudflare AI Gateway経由のOpenAI)であり、これらへの移転は受領者がDPF認証取得済みの場合はEU-US DPFに、SCCが適用される場合は2021年版標準契約条項(モジュール2)に基づいて行われます。詳細はDPAをご覧ください。
GDPR第17条のカスケード削除:アカウント削除時にSupabase(アナリティクステーブルおよび認証レコード)、Stripeの顧客とサブスクリプションのキャンセル、Cloudflare KV(セッション、セキュリティキー、レート制限カウンタ、MCPクォータ)、Cloudflare R2(所有サイトのヒートマップスクリーンショット)が消去され、Resend経由で各言語のローカライズされた確認メールが送信されます。
はい。GDPR第20条の個人データエクスポートエンドポイント(/api/account/data-export)はFreeを含むすべてのプランで利用可能です。プロフィール、ウェブサイトのメタデータ、チームメンバーシップ、自身の監査トレースをマシン可読な形式で返します。
GPCはエンドツーエンドで尊重されます。クライアント側ではマウント時にnavigator.globalPrivacyControlを確認し、同意バナーを必要最低限のみに切り替えます。サーバ側では受信リクエストのSec-GPC: 1を読み取り、設定されている場合は行動データの拡張(B2B識別、プロファイリング)をスキップし、訪問者の行にgpc_opted_outを付与します。
data-cookielessが有効な場合、トラッカーはウィンドウスコープのインメモリ訪問者IDを使用し、ページのアンロード時に消失します。重複排除のため、サーバは(IPサブネット + User-Agent)の日次ソルト付きSHA-256ハッシュを計算します。クッキーなし、localStorageなし、フィンガープリンティングなし。監査ログに保存されるのはソルト付きIPハッシュのみで、平文IPは一切永続化されません。
監査ログ(全顧客にまたがる管理用トレース)は24か月保持され、スケジュールジョブで毎日パージされます。アナリティクスイベントは上の表に示すプラン別の保持期間に従います(Free 1年、Pro 2年、Scale 4年、Enterprise カスタム)。
Enterpriseでは可能です。デフォルトは4年で、ご要望に応じて法令上の保持義務やコンプライアンス制約の範囲内で短縮も延長も設定できます。Free、Pro、Scaleは公開されている標準値を使用します。
はい。シングルサインオンはScaleおよびEnterpriseプランで利用可能です。Enterprise SAML接続はSCIM相当のユーザープロビジョニングおよびチームメンバーシップ同期に対応しています。
Enterpriseのお客様には、稼働率、応答時間、インシデント連絡を含むカスタムSLAを提供します。公開ステータスページ(status.zenovay.com)では全プランのリアルタイム稼働率とインシデント履歴を確認できます。