メインコンテンツへスキップ

セキュリティとプライバシー

バージョン 2.0最終更新:

本ページは、Zenovayがお客様のデータをどのように扱うかについての平易なまとめです。安心させることよりも、まず誠実であることを目指しています。当社が行っていること、行っていないこと、そして現時点でまだ主張する権利のないことを列挙します。

本ページの内容が当社のプライバシーポリシー、DPA、または副処理者一覧と矛盾する場合は、法的拘束力のある文書が優先します。本ページとそれらの文書との不一致は不具合とみなしますので、ご報告ください。

データの所在

Zenovayの主要データベース(Supabase PostgreSQL)は、現在、欧州連合(eu-central-1、フランクフルト)でホストされています。Cloudflare Workersはグローバルエッジネットワーク上で動作し、Cloudflare R2(ヒートマップのスクリーンショット)はEUデータロケーション優先で構成されています。データレジデンシーの構成は、当社のインフラストラクチャの変更に伴って進化する可能性があります。重要な変更が生じた場合には、本開示を更新します。

当社の副処理者の一部(Stripe、Resend、Cloudflare AI Gateway経由のOpenAI)は米国に所在します。受領者がDPF認証を取得している場合は EU-US Data Privacy Framework に基づき、加えて2021年標準契約条項(モジュール2)と補完的な技術的措置に基づいて移転を行います。 副処理者の完全なリストを見る.

当社が収集するもの(および収集しないもの)

Zenovayの任意のCookielessモードを使用するウェブサイトでは、トラッカーはCookieもlocalStorageも保存しません。訪問者およびセッションIDは、IPサブネット、ユーザーエージェント、サーバー側で日次ローテーションされるソルトの SHA-256(日次ソルト付き)からメモリ内で計算されます。これらのIDはページがアンロードされると消失します。

サイト運営者がCookielessモードを有効にしていない場合、トラッカーはファーストパーティCookieを設定する場合があります(zenovay_visitor_id:30日、zenovay_session_id:30分)。当社はウェブサイト訪問者から氏名、メールアドレス、決済情報、または正確なGPS座標を一切収集しません。当社は個人情報を販売せず、コンテキスト横断的な行動広告のために共有することもありません。Global Privacy Control(GPC)シグナルを尊重します。

各カテゴリ、目的、法的根拠の法的詳細については、 プライバシーポリシーをご覧ください.

保存期間

生のアナリティクスイベントは、お客様のプランで定義された保存期間の経過後に削除されます。

  • Free:1年(365日)
  • Pro:2年(730日)
  • Scale:4年(1,460日)
  • Enterprise:構成可能(既定4年)

管理用監査ログ(ユーザー操作、課金イベント、設定変更)は24か月間保持されます。これらにはプレーンテキストのIPは含まれず、一方向のSHA-256ハッシュのみが含まれます。毎日03:00 UTCに自動的に削除されます。

保護の方法

  • TLS 1.2以上が、Cloudflareによってすべてのエンドポイントで強制されます。Worker-Supabase間の内部トラフィックはTLS 1.3を使用します。
  • Supabase内のすべての保存データは暗号化されています(AES-256)。Cloudflare R2のオブジェクトは保存時に暗号化されます。Supabaseのバックアップも暗号化されています。
  • IPアドレスは、日次ソルト付きSHA-256ハッシュとしてのみ保存され、プレーンテキストでは決して保存されません。これは、visitorsテーブル、監査ログ、チーム監査ログを含みます。プレーンテキスト列は、2026年4月26日にスキーマから完全に削除されました。
  • Postgres Row Level Security ポリシーは、すべての顧客データテーブルで強制されます。サービスロールアクセスはAPIワーカーに限定されており、データベースへの直接アクセスは公開されていません。
  • すべての管理操作は不変的に記録されます。監査ログテーブルには INSERT 専用の RLS が設定されており、UPDATE または DELETE のポリシーは存在しません。したがって、過去のエントリが密かに書き換えられることはありません。
  • 禁止または取り消されたセッションは、Cloudflare KV を介して数秒以内にエッジに伝播され、進行中のリフレッシュトークンはサーバー側で無効化されます。

お客様の権利

アクセス権(GDPR第15条)、訂正権(第16条)、消去権(第17条)、データポータビリティの権利(第20条)、異議申立権(第21条)はいつでも行使できます。無料の「個人データのダウンロード」エクスポートおよび「アカウントを削除する」フローは、プロフィール画面から利用可能です。

カリフォルニア州の住民は、CCPA/CPRAに基づき、知る権利、削除権、訂正権、販売または共有に対するオプトアウト権を有します。当社はブラウザのGlobal Privacy Controlシグナルを自動的に尊重し、ブラウザがSec-GPC: 1を送信する場合、追加の措置なしに有効なオプトアウトとして扱います。

書面によるリクエストや管轄区域固有の権利については、 プライバシーポリシーをご覧ください.

当社が主張しないこと

Zenovay自体は現在SOC 2の認証を取得していません。当社のインフラプロバイダーは業界標準の認証を取得しています:Cloudflare(SOC 2 Type II、ISO 27001、ISO 27018)、Supabase(SOC 2 Type II)。当社が独自の監査を取得した時点で本ページを更新します。

当社はISO 27001、HIPAA、またはPCI DSSの認証を主張しません。決済はStripe(PCI DSS Level 1認証取得済み)を通じて処理されており、Zenovayが生のカードデータに触れることはありません。毎週月曜日に、すべての本番サービスに対して自動化された週次セキュリティスキャン(npm audit、Semgrep、gitleaks、OWASP ZAP、Lighthouse、Supabase Advisors)を実行しており、検出結果は集中レビューキューに送られます。

セキュリティ問題の報告

セキュリティ問題を発見された場合は、以下までご連絡ください: [email protected].

報告には48時間以内の確認応答を目指しています。現時点では有償のバグバウンティプログラムは運営していません。責任ある報告者にはご希望に応じて、本ページに氏名(またはペンネーム)を記載してクレジットいたします。

関連ポリシー:プライバシーポリシー利用規約Cookieポリシーデータ処理契約利用規定再委託先セキュリティとプライバシー特定商取引法表示