セキュリティポリシー

最終更新:2025年5月23日

1. はじめに

2. データ保護策

暗号化

  • 送信中:デバイスと当社サーバー間の全通信をTLS1.2以上で暗号化します。
  • 保存時:APIキーや決済情報など機密性の高いデータはAES-256で暗号化されています。
  • パスワード:bcrypt等のハッシュ方式とソルト化により安全に保存されます。

インフラのセキュリティ

  • クラウドホスティング:AWS、Google Cloud、Azureなどでエンタープライズ仕様のファイアウォール、IDS、DDoS防御を利用。
  • ネットワーク分離:重要システム(DBや決済プロセッサー)は外部公開サーバーから分離しています。
  • 定期パッチ適用:自動的に脆弱性修正が適用されます。

3. 脆弱性管理

ペネトレーションテスト

  • 社内スキャン:NessusやQualysを用いて週次で脆弱性スキャンを実施。

コードセキュリティ

  • 安全な開発:静的/動的解析(SAST/DAST)とピアレビューを経て本番環境へ展開。
  • 依存関係チェッカー:Snyk、Dependabot等を使用し、外部ライブラリの脆弱性を監視。

4. インシデント対応計画

検知 & 通報

  • 24時間365日監視:SIEMツールによる異常(不正ログイン、データ流出など)の監視。
  • ユーザー通報:「SECURITY INCIDENT」を件名に添えて sales@magictradebot.com までご連絡ください。

対応フロー

  • 隔離:影響を受けたシステムを切り離し感染拡大を防ぎます。
  • 調査:原因、範囲、影響を明らかにします。
  • 通知:GDPR / CCPA対象のユーザーには72時間以内に通知します。
  • 対応:脆弱性の修正、侵害された認証情報の再設定、バックアップからの復元。
  • 事後検証:学びを文書化し、今後の対策に反映します。

5. サードパーティリスク管理

  • ベンダー評価:Stripe、AWSなどISO 27001やSOC 2準拠のサービスのみ採用。
  • APIセキュリティ:OAuth 2.0 または HMAC署名による安全な統合。
  • データ共有:契約に基づき不正使用を禁じ、保護義務を課しています。

6. ユーザーの責任

  • アカウントセキュリティ:強力かつユニークなパスワードを使用し、可能であればMFAを有効にしてください。
  • APIキー保護:当社はAPIキーを求めません。自己ホスティングの場合はご自身での管理が必須になります。
  • フィッシングへの注意:当社を装った不審なメールは sales@magictradebot.com までご報告ください。

7. コンプライアンスと監査

  • 年次監査:GDPR、CCPAなどに準拠しているか独立監査で検証。
  • 規制当局への対応:必要に応じて適法に協力します。

8. データの保持と削除

  • 保持期間:サービス提供のために必要な間のみ保管します。
  • 安全な削除:NIST 800-88標準に準拠し、アカウント削除時またはご要望に応じて完全消去します。

9. ポリシーの更新

10. お問い合わせ