プロフェッショナルグレードのセキュリティ
お客様のデータのセキュリティが最優先事項です。当社は業界標準のセキュリティ対策を実施し、お客様のビジネスと顧客情報を保護します。すべてのデータは欧州連合内のドイツにある Hetzner のインフラ上でホストされています。
データ保護
保存データの暗号化
暗号化済みデータベースボリュームはインフラ層で保存時に暗号化されます。機密性の高い認証情報や決済トークンは、保存前にアプリケーション層でさらに暗号化されます。
通信時の暗号化
TLS 1.3ブラウザと当社サーバー間のすべてのデータは、最新の暗号スイートを用いた TLS 1.3 で暗号化されます。
OAuth 2.0 認証
OAuth 2.0安全な認証のため、Google、Facebook、Apple と連携した業界標準の OAuth 2.0 を使用しています。パスワードは保存しません。
JWT トークンのセキュリティ
ローテーションアクセストークンは 1 時間で失効します。リフレッシュトークンは使用ごとにローテーションされ、即座に失効させることができます。
インフラのセキュリティ
ISO 27001 (DC)ドイツの Hetzner でホストされています。Hetzner のデータセンターは ISO 27001 認証を取得しており、エンタープライズレベルの物理的セキュリティおよびネットワークエッジでの DDoS 軽減機能を提供しています。
データベースバックアップ
バックアップPostgreSQL のバックアップは、すべての本番デプロイおよびマイグレーションの前に取得されます。バックアップは保護されたボリュームに保存され、迅速なロールバックのために保持されます。
セキュリティプラクティス
エラー監視
アプリケーションエラーや認証失敗は Sentry 経由でログ記録・監視され、異常を早期に検出します。
定期的なアップデート
依存関係とシステムは、セキュリティ上の脆弱性に対処しベストプラクティスを維持するために定期的に更新されます。
アクセス制御
ユーザー単位のデータ分離とロールベースのアクセス制御 (RBAC) により、チームメンバーは役割上必要なデータにのみアクセスできるようになっています。
内部コードレビュー
コード変更は、リリース前に自動ツール (Bandit、依存関係スキャン) を用いた内部セキュリティレビューを経ています。
コンプライアンスと認証
GDPR準拠
- データ処理契約
- アクセス権と削除権
- データポータビリティ
- 侵害通知
PCI DSS
- iyzicoを通じた安全な支払い処理
- カードデータの保存なし
- トークン化された取引
- 不正防止
インシデント対応
当社のコミットメント
お客様のデータに影響を与えるセキュリティインシデントが発生した場合、以下を約束します:
- 発見後72時間以内に影響を受けたユーザーに通知
- 影響を受けたデータについての明確な情報を提供
- インシデントの封じ込めと修復のための即時措置を実行
- 徹底的なインシデント後のレビューを実施
脆弱性の報告
責任ある開示を歓迎いたします。セキュリティ上の脆弱性を発見した場合は、contact@clientflow.center までご報告ください。
24時間以内に受領を確認し、問題の理解と迅速な対処に向けてお客様と協力します。