セキュリティ声明

本セキュリティ声明は、Kapsule Group Limited（Kapsule Cloud）がプラットフォーム上でホストされるデータを保護するために実装する技術的および組織的措置について説明しています。本声明はデータ処理契約によって参照されており、セキュリティ態勢の向上を反映するため随時更新されます。

当社の基本原則は多層防御です。複数の独立したコントロールを重ねることで、単一の障害によって顧客データが露出することはありません。

当社は、文書化された情報セキュリティおよびプライバシーポリシーを保有し、少なくとも年1回の見直しを実施し、プラットフォームまたは脅威状況に重大な変更が生じた場合は更新しています。

指定されたプライバシー責任者がデータ保護コンプライアンスについての責任を負担します。セキュリティ責任はインフラストラクチャチームの指名された個人に割り当てられています。

全職員は入職時および以降毎年、プライバシーおよびセキュリティ研修を受講します。本番システムへのアクセス権を有する職員は、法律で許可される範囲内での身辺調査の対象となります。

セキュリティインシデントおよび未然に防いだ事象は記録され、検討され、継続的にコントロールの改善に活用されます。

本番システムおよび顧客データへのアクセスは、最小権限原則に基づいて構築された厳格なロールベースのアクセス制御によって統制されます。職員には、特定の役割を遂行するために必要なアクセス権のみが付与されます。

本番インフラストラクチャ、ホスティング制御パネル、ソースコード、およびクラウドプロバイダーコンソールへのアクセス権を有するすべての職員に対して、強制的に二要素認証（2FA）が実施されます。

アクセス権は定期的に見直され、役職変更または退職時には迅速に取り消されます。アクセスイベントおよび権限昇格はログに記録されます。

本番環境と非本番環境は厳密に分離されています。顧客環境はホスティングプラットフォーム内で論理的に相互に分離されています。

本番サーバーへのすべての管理者アクセスはSSH鍵ペアを介して認証され、パスワードベースのSSH認証は無効化されています。

顧客とプラットフォーム間で転送されるすべてのデータは、TLS 1.2以上を使用して暗号化されます。TLSセキュリティ証明書は自動的に発行され、有効期限切れ前に更新されます。

オフサイトバックアップは、AES-256を使用したresticで暗号化されます。暗号化キーはバックアップデータとは別に保存され、オフラインでバックアップされます。キーの喪失によってバックアップデータは復旧不可能となるため、キーは複数の安全なオフロケーション（オフラインストレージ）に保管されます。

暗号化されたバックアップは、Cloudflare R2オブジェクトストレージのオセアニア地域に保存され、プライマリHetznerインフラストラクチャからの地理的分散を提供します。

機密プラットフォームデータ（シークレット、API キー、認証情報を含む）は、専用シークレット管理システムに保存され、ソースコードまたはバージョン管理システムにチェックインされた設定ファイルに埋め込まれることはありません。

顧客向けサービスは、Cloudflareのウェブアプリケーションファイアウォール（WAF）およびDDoS軽減によって保護されており、これにより当社インフラストラクチャに到達する前に、ボリュメトリック攻撃およびアプリケーション層攻撃が吸収されます。

顧客ホスティング環境はネットワークセグメント化されており、各サイトは独立したコンテキストで実行され、ネットワーク層で他の顧客のデータにアクセスすることはできません。

オペレーティングシステム、プラットフォームソフトウェア、およびアプリケーション依存関係は定期的に修正されます。重大なセキュリティパッチはリリース後24～72時間以内に適用されます。インターネットに接続されたインフラストラクチャは既知の脆弱性について定期的にスキャンされます。

ファイアウォールルールは、最小限の必要なポートおよびサービスへの受信アクセスを制限します。不要なサービスはデフォルトで無効化されます。

定期的な侵入テストは独立した適格テスターによって実施されます。重大な発見事項は修復され、再テストされます。

アクセスイベント、構成変更、認証試行、およびセキュリティ関連のシステムイベントは、一元化されたロギングシステムに記録されます。ログは最低90日間保持されます。

プラットフォームの稼働状況およびセキュリティシグナルは24時間7日体制で監視されます。アラートはオンコール担当者にルーティングされ、即座に調査されます。

当社は、定義された重要度レベル、エスカレーションパス、および通信手順を備えた文書化されたインシデント対応計画を維持しています。本計画は少なくとも年1回レビューおよびテストされます。

顧客個人情報に影響を与える確認された通知対象プライバシー侵害の場合、当社は Privacy Act 2020 およびデータ処理契約で要求される通り、認識してから72時間以内に影響を受けた顧客に通知します。

Sentry は、プラットフォームスタック全体のリアルタイムエラー追跡およびアプリケーションパフォーマンス監視に使用されます。

顧客サイトのファイル、データベース、及びメールデータは、resicを使用して毎日Cloudflare R2（オセアニア地域）にバックアップされます。バックアップはAES-256により暗号化されて保存されます。

バックアップ保持期間は、すべての有料プランで最低30日間です。上位プランには、追加の週間および月間スナップショットが含まれます。プラン固有の保持期間の詳細については、サービスレベルアグリーメントをご参照ください。

復旧手順は社内のランブックに文書化されており、定期的にテストされます。プラットフォームチームは、バックアップの整合性を検証するため復旧訓練を実施します。

Kapsule Cloudプラットフォームのコードベース（設定およびプロビジョニングスクリプトを含む）は、毎日kapsulenzオーガニゼーション内のプライベートGitHubリポジトリにバックアップされ、プラットフォーム自体の独立した復旧パスを提供します。

各インフラストラクチャコンポーネント（ホスティングサーバ、メールサーバ、ポータル）の災害復旧手順は文書化されており、コンポーネント及びデータサイズに応じて2～4時間の目標復旧時間を設定しています。

顧客データへのアクセス権を有するすべての職員は、契約又は法律のいずれかにより、秘密保持義務を負うものとします。

当社は、すべての副処理業者と書面による個人データ処理契約を締結しています。これらの契約により、副処理業者は、秘密保持、セキュリティ、並びに限定的目的での処理義務を含む、当社の個人データ処理契約におけるものと同等以上の保護措置を実施することが求められています。

当社の副処理業者リストは、継続的な適性について少なくとも年1回見直されます。副処理業者は、契約締結前に当社の最小セキュリティ要件に対して評価されるものとします。

副処理業者の現在のリストは、kapsulecloud.com/legal/sub-processors に公開されています。

本番サーバーはドイツのHetznerデータセンターで運用されています。Hetznerの施設はTier III相当の認定を受けており、以下の機能を備えています：エントリーポイントにおける多要素認証による統制された物理的アクセス、24時間365日のオンサイトセキュリティ要員、冗長電源（無停電電源装置およびディーゼル発電機）、冗長冷却システム、火災検知および消火装置。

サーバーハードウェアへの物理的アクセスは、Hetznerの認可された要員に限定されています。Kapsule Cloudの要員は本番ハードウェアへの日常的な物理的アクセスを有しておらず、すべての管理アクセスは暗号化チャネルを経由したリモートで実行されます。

使用済みストレージメディアは、再利用または処分の前に、Hetznerのデータセンター手順に従い、安全に削除または破棄されます。

当社はセキュアなソフトウェア開発ライフサイクルに従っています。本番環境へのすべてのコード変更は、デプロイ前に必須のピアコードレビューが必要です。自動依存スキャンはすべてのビルドで実行され、サードパーティパッケージ内の既知の脆弱性を特定します。

秘密情報は専用の秘密管理システムを使用して管理されます。認証情報、APIキー、または機密設定値をソースコードリポジトリにコミットすることはありません。

リリース前テストには、機能テスト、回帰テスト、およびセキュリティに焦点を当てたテスト実行が含まれます。認証、決済、またはデータ処理フローへの変更は、追加の精査を受けます。

顧客向けの入力は、すべてのアプリケーション境界で検証およびサニタイズされます。当社はOWASP Top 10リスク（SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなど）に対する標準的な防御を適用しています。

KPanel認証：パスワードはArgon2id（メモリハード、GPU攻撃に耐性あり）でハッシュ化されます。新しいパスワードは、受け入れ前にk-anonimity プレフィックスルックアップを介してHave I Been Pwned データベースに対して確認されます。サインインはTOTPベースの二要素認証、SMS ワンタイムコード、ハードウェアパスキー（WebAuthn/FIDO2）をサポートしています。OAuth サインインはGoogle、GitHub、Apple Sign In経由でサポートされており、各プロバイダーのJWKSエンドポイントに対して検証されます。マジックリンクメールサインインはアドレスごとに1時間あたり3リクエストにレート制限され、リカバリー方法として利用可能です。セッショントークンは暗号学的にランダムであり、データベースにハッシュ化された状態で保存され、30日間の非アクティブ期間後に失効します。

顧客データは、ホスティング層、データベース層、およびアプリケーション層で論理的に分離されます。各顧客のファイル、データベース、およびメールアカウントは、顧客間のアクセスがない別々のシステムアカウントの下で隔離されます。

顧客がサービスを終了する場合、顧客個人情報はエクスポート用に30日間利用可能にされた後、ライブシステムから永久に削除されます。暗号化されたバックアップコピーは、ライブシステムからの削除後30日以内に、次のスケジュール済みローテーションサイクルで消去されます。

文書化されたデータ削除手順により、データはプライマリデータストアのみならず、ライブデータベース、キャッシュ、およびアプリケーションストレージを含むすべての関連システムから削除されることが保証されます。

データ主体要求（アクセス、訂正、削除）の処理手順は文書化され、テストされています。KPanel エクスポートツールにより、顧客はサービス期間中いつでもデータを取得することができます。

当社のセキュリティ慣行についてご質問がある場合、または疑わしい脆弱性を報告したい場合は、[email protected] までお問い合わせください。

Kapsule Group Limited、クライストチャーチ、ニュージーランド。