セキュリティポリシー
最終更新日: 2026年2月6日
Smart Cooking(以下「本サービス」)は、ユーザーのデータを安全に保護することを最優先事項としています。 本ポリシーでは、当社が実施しているセキュリティ対策について説明します。
SSL/TLS暗号化
全通信を暗号化
PCI DSS準拠
Stripe認定基準
カード情報非保持
サーバーに保存しない
アクセス制御
認証・認可の徹底
1. 通信の暗号化
本サービスとユーザー間のすべての通信は、SSL/TLS(Secure Sockets Layer / Transport Layer Security) プロトコルにより暗号化されています。これにより、第三者による通信内容の傍受や改ざんを防止しています。
本サービスのすべてのページはHTTPS接続を使用しており、 HTTP接続は自動的にHTTPSにリダイレクトされます。
2. 決済セキュリティ
本サービスの決済処理は、Stripe, Inc.のプラットフォームを通じて行われます。 StripeはPCI DSS Level 1(Payment Card Industry Data Security Standard)の認定を受けた 決済サービスプロバイダーであり、最高水準のセキュリティ基準を満たしています。
当社の決済セキュリティ方針
- ✓クレジットカード番号、有効期限、CVVは当社のサーバーに一切保存しません
- ✓決済情報はStripeのセキュアな環境で直接処理されます
- ✓当社が保持するのはStripe顧客ID・サブスクリプションIDのみです
- ✓3Dセキュア認証に対応し、不正利用のリスクを低減しています
3. 認証とアクセス制御
- OAuth認証: 本サービスはOAuth 2.0プロトコルによる認証を採用しています。 パスワードは本サービスでは管理せず、信頼性の高い認証プロバイダーに委託しています。
- セッション管理: セッショントークンはHTTPOnly属性とSecure属性を持つCookieで管理され、 クロスサイトスクリプティング(XSS)攻撃によるトークン窃取を防止しています。
- APIアクセス制御: すべてのAPIエンドポイントは認証・認可チェックを実施し、 ユーザーは自身のデータにのみアクセスできます。
4. データ保護
- 保存時の暗号化: データベースに保存されるデータは暗号化されたストレージ上で管理されています。
- バックアップ: データは定期的にバックアップされ、災害復旧に備えています。 バックアップデータも暗号化された状態で保管されます。
- アクセスログ: システムへのアクセスはすべてログに記録され、 不正アクセスの検知と追跡に使用されます。
5. 脆弱性対策
- クロスサイトスクリプティング(XSS)対策: 入出力のサニタイズ処理
- クロスサイトリクエストフォージェリ(CSRF)対策: トークンベースの検証
- SQLインジェクション対策: パラメータ化クエリの使用
- 依存パッケージの定期的なセキュリティアップデート
- レート制限によるブルートフォース攻撃の防止
6. インシデント対応
セキュリティインシデントが発生した場合、以下の手順で対応します。
- インシデントの検知と影響範囲の特定
- 被害の拡大防止のための即時対応
- 影響を受けたユーザーへの速やかな通知(72時間以内)
- 原因の調査と再発防止策の実施
- 必要に応じて関係当局への報告
7. ユーザーへのお願い
セキュリティを維持するため、ユーザーの皆様にも以下のご協力をお願いしています。
- ブラウザとOSを最新の状態に保つ
- 公共のWi-Fiでの利用時はVPNの使用を推奨
- 不審なメールやリンクに注意する
- セキュリティ上の問題を発見した場合は速やかにご報告ください
8. セキュリティに関するお問い合わせ
セキュリティに関する懸念や脆弱性の報告は、以下までご連絡ください。 責任ある脆弱性の報告については、適切に対応いたします。
連絡先: [セキュリティ担当メールアドレスを記入してください]
報告いただいた脆弱性は、修正完了まで非公開で取り扱います。