Security Policy

私たちはお客様のセキュリティを非常に重視しています。本ページでは、メール検証およびリスク検知サービスを提供する AntiTemp が実施しているセキュリティ対策について説明します。セキュリティに関するご質問がある場合は、support@antitemp.com までご連絡ください。

私たちは強固なセキュリティ保護を維持することに取り組んでいます。ただし、製品は継続的に改善されています。機微な環境で AntiTemp をご利用される場合は、他の API サービスと同様に、想定されるリスクを十分に評価してください。

1. インフラストラクチャのセキュリティ

AntiTemp は安全なインフラ上で稼働しており、お客様のデータの完全性とプライバシーを保護します。私たちは企業向け水準のセキュリティで、メール検証とリスク検知サービスを提供しています。

主なポイント

• サーバー所在地：当社のサーバーは、業界標準のセキュリティ認証（SOC 2、ISO 27001 準拠）を備えた安全なクラウド環境で運用されています。
• 暗号化：通信中のデータは TLS 1.3 により暗号化されます。保存時のデータは AES-256 により暗号化されます。
• ネットワークセキュリティ：ファイアウォール、DDoS 対策、定期的なセキュリティ監査を実施しています。
• データ処理：検証のために送信されたメールアドレスはリアルタイムで処理され、パフォーマンス目的の一時キャッシュ（24 時間未満）を除き恒久的に保存しません。
• アクセス制御：全メンバーに対して、ロールベースのアクセス制御（RBAC）と多要素認証（MFA）を適用しています。

2. API のセキュリティ

API アクセスに対して多層的なセキュリティを実装しています：

• API キー認証：すべての API リクエストには有効な API キーが必要です。
• レート制限：不正利用を防ぎ、利用者全体の公平性を確保します。
• IP 許可リスト：セキュリティ強化のための IP 制限（Enterprise プランで利用可能）。
• リクエスト署名：追加の安全対策として、HMAC ベースのリクエスト署名をサポートします。
• HTTPS のみ：すべての API エンドポイントは HTTPS 接続を必須とします。

3. データ保護

• 恒久的な保存なし：検証のために送信されたメールアドレスは恒久的に保存しません。
• 最小限の収集：サービス提供に必要な最小限のデータのみを収集します。
• データ分離：各ユーザーのデータは分離され、他ユーザーからアクセスされません。
• 定期バックアップ：アカウントおよび請求データは暗号化して定期的にバックアップします。
• 安全な削除：アカウント削除時、関連データは 30 日以内に完全に削除されます。

4. アプリケーションのセキュリティ

• 定期的なセキュリティ監査：コードベースに対して定期的なセキュリティレビューを実施します。
• 依存関係スキャン：サードパーティ依存関係の脆弱性を自動スキャンします。
• SQL インジェクション対策：パラメータ化クエリと ORM の利用によりリスクを低減します。
• XSS 対策：入力のサニタイズと Content Security Policy（CSP）ヘッダー。
• CSRF 対策：状態変更を伴う操作に対して CSRF 保護を実施します。

5. 脆弱性の報告

AntiTemp の脆弱性を発見したと思われる場合は、責任ある開示として以下にご連絡ください：

Email: security@antitemp.com

含めていただきたい内容

• 脆弱性の説明
• 再現手順
• 想定される影響
• ご連絡先

当社のコミットメント

• 2 営業日以内に受領を確認します。
• 5 営業日以内に調査し、所見をご連絡します。
• 重大な脆弱性は 30 日以内の解決に取り組みます。

お願い（しないでください）

• 当社が対処する前に脆弱性を公開しないでください。
• 権限のないデータへアクセスを試みないでください。
• テスト中にサービスを妨害しないでください。

6. インシデント対応

セキュリティインシデントが発生した場合：

1. 直ちに調査し、封じ込めを行います。
2. 影響を受けるユーザーへ 72 時間以内に通知します。
3. 状況に応じて定期的に進捗を共有します。
4. ポストモーテムを実施し、再発防止策を適用します。

7. コンプライアンス

AntiTemp は以下の準拠を支援するよう設計されています：

• GDPR：データ最小化、削除権、データポータビリティ。
• CCPA：消費者のプライバシー権とデータ透明性。
• CAN-SPAM：準拠のためのメール検証。
• TCPA：マーケティング同意のためのメールアドレス検証。

8. アカウントのセキュリティ

アカウントを安全に保つために：

• 強力で一意のパスワードを使用してください。
• 利用可能な場合は二要素認証（2FA）を有効化してください。
• API キーを定期的にローテーションしてください。
• 利用ログを監視し、不審な活動を確認してください。
• 不審な点があれば直ちに報告してください。

9. アカウント削除

ダッシュボードの設定から「Delete Account」ボタンをクリックして、いつでもアカウントを削除できます。この操作により：

• すべてのアカウントデータが恒久的に削除されます
• すべての利用履歴が削除されます
• 有効なサブスクリプションがあれば解約されます
• すべての API キーが削除されます

削除リクエストから 30 日以内にデータを完全に削除することを保証します。

10. ユーザー向けセキュリティのベストプラクティス

AntiTemp を利用する際は：

• API キーを安全に保管してください（環境変数を使用し、リポジトリにコミットしないでください）。
• 乱用防止のために自社側でもレート制限を実装してください。
• すべての API リクエストで HTTPS を使用してください。
• クレジット利用状況を監視し、異常を検知してください。
• 情報漏えいを防ぐため適切なエラーハンドリングを行ってください。
• API アクセスの付与は最小権限の原則に従ってください。

11. 更新とメンテナンス

私たちはセキュリティ対策を継続的に更新し、以下について通知します：

• 計画メンテナンス（少なくとも 24 時間前に通知）
• 統合に影響する可能性のあるセキュリティ更新
• 新しいセキュリティ機能とベストプラクティス

12. サードパーティのセキュリティ

サードパーティサービスは慎重に選定しています：

• Stripe：PCI DSS 準拠の決済処理
• Supabase：企業向け認証とデータベースセキュリティ
• Vercel：自動 HTTPS と DDoS 保護を備えた安全なホスティング

13. お問い合わせ

セキュリティに関する質問や脆弱性の報告先：

• Security Team: security@antitemp.com
• General Support: support@antitemp.com
• Website: https://antitemp.com

私たちはセキュリティを最優先に考えています。AntiTemp を安全に保つためのご協力に感謝します。