プライバシーポリシー
お客様のプライバシーは最優先事項です。本ポリシーは、STLURがお客様のデータをどのように収集、使用、保護するかを説明します。
1. データ収集
当社は必要不可欠な情報のみを収集します:対象資産のURL、請求情報(Stripe経由で安全に処理)、レポート送付用メールアドレス、およびセキュリティスキャン結果。Enterpriseプランでは、第5条に記載の通り、暗号化されたセッションデータが一時的に保存される場合があります。
2. データ使用
お客様のデータは、セキュリティ監査の実施およびレポートの配信の目的にのみ使用されます。当社のTrustページに記載されているサブプロセッサ(Supabase、Cloudflare、Vercel、Google Cloud、Stripe、OpenAI、Resend)を除き、お客様の個人データを第三者に販売または共有することはありません。
3. セキュリティ
業界標準の暗号化およびセキュリティ対策を講じています。転送中のデータはすべてTLS 1.2以上で保護されます。保存データはインフラサブプロセッサが提供するAES-256暗号化で保護されます。セキュリティスキャン結果はサーバーサイド暗号化を施したCloudflare R2に保存されます。
4. グローバルコンプライアンス
データ保護およびユーザーの権利に関して、GDPR、CCPA、APPIの基準に準拠しています。Enterpriseのお客様はsecurity@stlur.appへご連絡いただくことでデータ処理契約(DPA)を締結できます。
5. Enterprise認証スキャン — クレデンシャルの取り扱い
Enterprise認証スキャン機能では、STLURのChrome拡張機能がお客様のブラウザ内でセッションクレデンシャル(Cookieなど)をAES-GCM 256bitで暗号化してからSTLURサーバーへ送信します。暗号化されたデータはHKDF(SHA-256)によってインストールトークンから導出されたキーでさらに保護されるため、R2ストレージへの不正アクセスだけではクレデンシャルを復号できません。STLURはスキャン実行時のみクレデンシャルを復号し、セキュリティスキャナーの設定のみに使用します。平文クレデンシャルはスキャン中のメモリのみに存在し、ログ、データベース、永続ストレージには書き込まれません。暗号化されたクレデンシャルペイロードはスキャン完了後48時間以内またはクレデンシャルの有効期限到来時(早い方)に自動削除されます。お客様はアカウントダッシュボードからいつでも保存済みクレデンシャルを削除できます。
6. データ保持期間
セキュリティスキャンレポートは、お客様のコンプライアンスおよび監査ニーズを支援するために最低12ヶ月間保持されます。生のスキャンデータは最大24ヶ月間保持される場合があります。請求情報は適用される財務規制に従って保持されます。アカウントおよび関連データの削除はいつでもご要請いただけます。
7. お客様の権利
GDPRおよびCCPAに基づき、お客様は個人データへのアクセス、訂正、削除、およびエクスポートを要求する権利を有します。これらの権利を行使するには、privacy@stlur.appまでご連絡ください。
8. クッキー
認証およびセッション管理のために必要不可欠なCookieを使用します。広告目的のトラッキングCookieは使用しません。
9. 本ポリシーの変更
本ポリシーは随時更新される場合があります。重大な変更については、メールまたはアプリ内通知でお知らせします。
最終更新日: 2026年4月