AskMate Challenge Logo

データ保護・監査ログ・脆弱性対応

セキュリティ概要

暗号化済みデータ、バックアップ、DR、監査ログ、脆弱性報告窓口をまとめています。

Trust情報Status

データ保存と暗号化

Supabase(Tokyo)と Vercel Edge で会話/メトリクスを分離管理。

  • 会話・メトリクス: Supabase PostgreSQL(暗号化 at rest)に保存。RLS で tenant_id に限定。
  • 埋め込み/チャット API: Vercel Edge Runtime + Upstash でレート制限し、`DATABASE_URL` を secrets に。
  • ログイン: Supabase Auth メールリンク + `admin_session` cookie に HttpOnly/secure を設定。

バックアップ・DR

定期的にエクスポートを取り、RTO/RPO をモニタリング。

  • 夜間集計ジョブ(`make aggregate-today`)で metrics を保証しつつ生データを `backup_chatbot.sql` へエクスポート。
  • Supabase の自動バックアップ + pgAdmin で手動スナップショット。RTO を数時間、RPO は 1 日。
  • Vercel + Supabase 両方で `status` API/ページを公開し、障害時はステータスページを更新。

脆弱性報告と監査

第三者からの報告を歓迎し、対応スピードを確保。

  • 報告窓口: ashikari@new-beginnings.co.jp へ詳細を送信(内容: 再現手順・影響範囲)。
  • 脆弱性検証: 再現性優先。重大な問題は 72 時間以内に暫定対応、7 日以内に公開報告。
  • 監査ログ: `audit_logs` で設定変更/鍵操作を記録(Data retention 90 日)。

第三者サービス

利用開始時点で連携しているサービスと責任分担。

  • Supabase (PostgreSQL/Auth/Storage)・Vercel (Edge/API)・Stripe (決済)
  • OpenAI (gpt-4o-mini)、LINE/Slack、Zapier/Webhook で通知・自動化
  • Upstash Redis はレート制限、Calendly はデモ予約、StatusPage のステータス通知