セキュリティ

暗号化

• 通信経路: 全てのトラフィックを TLS 1.2 以上 (HSTS preload 対象) で暗号化。クライアント ↔ アプリケーション、アプリケーション ↔ データベース、 CDN ↔ オブジェクトストレージの各経路で TLS を強制します。
• 保存データ: PostgreSQL (Supabase) は AES-256 によるディスク暗号化、 オブジェクトストレージ (Cloudflare R2) はバケット単位で保存時暗号化を有効化しています。
• 認証情報: パスワードは bcrypt によるハッシュ化のみを保存。 API トークン・シークレット類は本番環境変数 (Vercel Environment Variables) にのみ存在し、リポジトリには一切コミットされません。

認証・アクセス制御

• 利用者認証: メール + パスワード、OAuth (Google)、 メール OTP の各方式に対応 (プランにより一部制限)。 セッションは HttpOnly / Secure / SameSite=Lax の Cookie で管理。
• 公開ビューア: スペース単位でパスワード保護・リンク有効期限・ 埋め込み許可ドメインを設定可能。コメント投稿には Cloudflare Turnstile によるボット対策を導入。
• 権限管理: PostgreSQL の Row Level Security (RLS) を全ユーザーデータに適用し、 ワークスペース・スペース単位での所有者分離を DB レベルで保証しています。

インフラ・ネットワーク

• WAF / DDoS: Cloudflare の Web Application Firewall および DDoS 防御層を全ドメインに適用。
• レート制限: 認証エンドポイント、コメント投稿、メール送信等の 各 API に IP / ユーザー単位のレート制限を設定。
• バックアップ: データベースは日次の自動バックアップを取得し、 Point-In-Time Recovery (PITR) に対応。

第三者処理者 (sub-processors)

本サービスの提供にあたって以下の事業者を利用しています。 最新の一覧および各社のプライバシーポリシーへのリンクは Sub-processors ページをご参照ください。

• Supabase (認証 / DB)
• Cloudflare (CDN / R2 ストレージ / Web Analytics / DDoS 対策)
• Vercel (アプリケーションホスティング)
• Stripe (決済処理)
• Resend (トランザクションメール)

越境データ移転

当社の sub-processors の一部は米国に所在しています。EU / EEA / 英国 / スイス からの個人データ移転については、欧州委員会の標準契約条項 (SCC 2021/914 Module 2) または同等の保護措置を適用します。詳細は Data Processing Addendum (DPA) をご覧ください。

インシデント対応

個人データの漏えい、改ざん、その他のセキュリティインシデントを検知した場合、 速やかに状況を調査し、適用法令 (GDPR Art.33 等) に基づく当局通知期限を遵守して 所要の通知を行います。影響を受ける利用者には、登録メールアドレス宛に 個別に通知します。

脆弱性報告

本サービスのセキュリティ脆弱性を発見された方は、 support@varyon.tokyo.jp 宛に再現手順を添えてご連絡ください。報告者の身元情報および脆弱性の詳細は、 修正完了および合意した公表時期まで秘匿します。当社は誠実に報告いただいた方への 法的措置を講じません (善意のセキュリティ研究は歓迎します)。

関連リソース

• プライバシーポリシー
• Cookie ポリシー
• Sub-processors 一覧
• Data Processing Addendum (DPA)
• 利用ガイドライン (AUP)

お問い合わせ

セキュリティに関するご質問・ご相談は support@varyon.tokyo.jp、 プライバシーおよび個人情報の取扱いに関するご相談は privacy@varyon.tokyo.jp までご連絡ください。