セキュリティポリシー
Start-X合同会社は「Marketing OS」において、お客様の業務データ・個人情報・外部サービスの認証情報を最高水準で保護することをコミットします。本ポリシーは当社が実施するセキュリティ対策の概要を定めます。
1インフラストラクチャセキュリティ
通信セキュリティ
- 全通信をTLS 1.2以上で暗号化
- HTTPS Strictly Enforced(HSTS)
- Cloudflare WAF・DDoS保護
- Content Security Policy(CSP)設定
- X-Frame-Options DENY
データ保存セキュリティ
- Cloudflare基盤による保存データの暗号化
- 外部サービス認証情報のアクセス制限付き管理
- Cloudflare D1(分散型SQLite)
- バックアップの定期実行
- 本番/デモ環境の完全分離
アクセス制御
- ロールベースアクセス制御(RBAC)
- JWTによる認証(有効期限24h)
- テナント間の完全データ分離
- レート制限(100req/分)
- 管理者権限の最小化原則
インフラ管理
- Cloudflare Workers(エッジコンピューティング)
- シークレットはCloudflare Secretsで管理
- ソースコードへの認証情報の非記録
- Cloudflare Logs・Slack通知によるエラー監視
- wrangler tailによるログ監視
2アプリケーションセキュリティ
- 全APIエンドポイントでZodによる入力バリデーション実施
- SQLインジェクション対策:Cloudflare D1のプリペアドステートメントを使用
- XSS(クロスサイトスクリプティング)対策:React標準エスケープ + DOMPurify
- CSRF対策:SameSite Cookie設定
- Stripe Webhook署名の必須検証
- エラーメッセージからの情報漏洩防止(本番環境ではスタックトレースを非表示)
- 依存パッケージの定期的な脆弱性スキャン(npm audit)
3データ保護
- 顧客データはマルチテナント環境において完全に分離されています。他テナントのデータへのアクセスは技術的に不可能です。
- 外部サービス(GA4・Search Console・広告API等)との連携で取得したデータは、契約者の指示のみに基づき処理され、当社が独立して利用することはありません。
- サービス解約後30日以内に顧客データを完全に削除します(法令上の保存義務があるデータを除く)。
- 当社従業員による顧客データへのアクセスは、サポート対応に必要な場合に限定され、アクセスログを保管します。
4インシデント対応
セキュリティインシデントが発生した場合、以下のプロセスで対応します。
- 検知から72時間以内に影響を受けるお客様へ通知します
- 個人情報に影響するインシデントは、個人情報保護法に基づき所管当局への報告も行います
- インシデントの原因調査・再発防止策を策定し、お客様へ報告します
- 緊急の場合はサービスの一部または全部を一時的に停止する場合があります
🔒 セキュリティ上の脆弱性を発見された場合は、公開前にまず support@start-x.work までご連絡ください(責任ある開示・Responsible Disclosure)。適切に対応いたします。
5第三者サービスのセキュリティ
当社は以下の信頼できるサービスプロバイダーを利用しています。
- Cloudflare:SOC 2 Type II認定。グローバルエッジネットワークによるDDoS保護・WAF
- Stripe:PCI DSS Level 1認定。決済情報はStripeの管理下に置かれ、当社サーバーには保存されません
- Google(AI API):Google Cloud セキュリティ基準に準拠
- Resend:SPF・DKIM・DMARCによるメール認証を設定済み
- Cloudflare Logs / Slack:運用ログ・障害通知の監視
6SLA(サービスレベル目標)
| 稼働率目標 | 99.0%以上(月次計測) |
|---|---|
| 計画メンテナンス | 原則として毎月第2土曜日 02:00〜04:00 JST(事前告知あり) |
| 障害対応目標 | 重大障害:検知から2時間以内に初動対応 / 軽微な障害:24時間以内に対応 |
| サポート対応時間 | 平日 9:00〜19:00 JST(プロプランは専任CS対応) |
| データバックアップ | 日次自動バックアップ・原則30日間保持 |
※ SLAは目標値です。Cloudflareインフラの障害・不可抗力等を原因とする停止は除きます。
7お問い合わせ
セキュリティに関するご質問・脆弱性の報告は以下の窓口までお問い合わせください。
Start-X合同会社 セキュリティ担当
メール:support@start-x.work
電話:03-4500-9975(平日 9:00〜19:00)