セキュリティアーキテクチャ
svdy が現時点でお客様データを保護するために実施している具体策。獲得していない認証は主張しません。SOC 2 の最新スケジュールは /trust/soc2、副次処理者一覧は /trust/sub-processors にあります。
インフラセキュリティ
本番環境で稼働している具体的なコントロール:
• AWS us-east-1 でのマルチ AZ 配置 —— RDS Postgres は同期レプリケーション、ECS Fargate は複数アベイラビリティゾーンに分散、S3 はクロス AZ 複製。アーキテクチャ目標:99.95% 稼働率。
• 転送時暗号化:すべての公開エンドポイント(svdy.com / qutime.com / pureoa.com / id.svdy.com / api.svdy.com)で TLS 1.2+、HSTS preload 適格、現代的な暗号スイートのみ。サービス間トラフィックも TLS のみ。
• 保管時暗号化:RDS、S3、EBS ボリュームで AES-256。監査されたアクセス権限を持つ AWS KMS 鍵で管理。お客様暗号化シークレット(OAuth トークン、連携 webhook URL)はディスク暗号化の上に Fernet(AES-128-CBC + HMAC-SHA256)で二重保護。
• ネットワーク分離:RDS / Redis のパブリックエンドポイントなし —— アプリサーバーは VPC プライベートサブネットとセキュリティグループ規則経由でデータベースに到達。踏み台アクセスは JIT のみで監査ログ付き。
• シークレット管理:本番認証情報は AWS Secrets Manager に保管され、ソースコードや環境ファイルには絶対に置きません。ローテーションランブックを文書化済み。鍵のローテーションは SOC 2 のフェーズ 2 マイルストーン。
データ保護
お客様データのエンドツーエンドの取り扱い:
• マルチテナント分離:すべてのデータベースクエリは ORM 層で organization_id によりスコープ化されます。テナント間クエリで結果が返らないことを統合テストで検証します。アプリケーションコードに生 SQL アクセスはありません。
• 監査ログ:すべての管理操作(従業員、シフト、勤怠記録、課金変更の作成・更新・削除)について、操作者、対象、変更前後の値、IP アドレス、タイムスタンプを記録します。保持期間はプラン別:7 日(Free)/ 1 年(Starter+)/ 3 年(Pro+)。
• バックアップ:RDS の自動スナップショットを毎日取得し、30 日間保持。保持期間内の任意の秒単位までポイントインタイムリカバリ可能。災害復旧ランブックに従い四半期ごとに復旧テストを実施します。
• 削除権フロー:GDPR / CCPA の削除リクエストは /admin/identity/users から処理され、貴組織(コントローラー)が労働法遵守のために必要とする集計勤怠記録を保持しつつ、従業員 PII(氏名、メール、電話、生体認証テンプレート)を匿名化します。詳細はプライバシーポリシー第 4 節を参照。
• 生体認証データ(打刻のための顔認証):従業員が初回利用時に明示的に同意した場合にのみ収集します(GDPR 第 9(2)(a) 条)。顔テンプレートは一方向ハッシュとして保管 —— 元画像は決して保持しません。組織管理者は「勤怠ルール」で顔認証をグローバルに無効化でき、同意は従業員プロフィールから随時撤回できます。
運用セキュリティ
セキュリティを機能としてどのように運用するか:
• エンジニアリング実践:すべてのコード変更は、最低 1 名のレビュー承認を含むプルリクエストレビューを経ます。セキュリティ関連の変更(認証、暗号化、IAM)には、追加でセキュリティ指定レビュアーが必要です。
• 依存関係管理:Python は Poetry でバージョン固定、JavaScript は Bun のロックファイルを使用。脆弱な依存関係は GitHub Dependabot で可視化し、優先順位順に対応します。
• アクセス制御:本番アクセスは既定で読み取り専用、書き込みアクセスは文書化された変更チケットを必要とします。エンジニアの離職時にはすべてのアクセス権限を 24 時間以内に取り消します。
• インシデント対応:内部ランブックで識別 → 封じ込め → 根絶 → 復旧 → 事後レビューを規定。Severity-1 インシデントは 24 時間以内のお客様通知をコミットしています(プライバシーポリシー第 6 節)。
• ベンダーセキュリティレビュー:追加するすべての副次処理者(現在 5 社、/trust/sub-processors)は、文書化されたレビューを経ます —— DPA 締結済み、セキュリティアンケート審査済み、データ範囲は最小化。
認証および第三者保証
遡及的な主張ではなく、公開された日付付きロードマップにコミットしています。現状の進捗:
• SOC 2 Type II —— 2027 年第 1 四半期目標。未認証。Vanta + A-LIGN を選定済み(2026-05-24 の意思決定記録)。8 マイルストーンの公開タイムラインは /trust/soc2 にあり、レポートは 2027 年第 3 四半期に発行予定。
• GDPR 対応アーキテクチャ —— プライバシー監査の Wave 1-4 完了(データ最小化、削除権、同意ゲート、第 9 条に基づく生体認証処理)。GDPR には正式な認証機関がないため、規制当局による正式認証はありません。リクエストに応じて /trust/dpa で DPA を提供します。
• ISO 27001 —— 未着手。EU エンタープライズ顧客の需要次第で、SOC 2 後の 2027 年または 2028 年に推進する可能性があります。
• 業種固有(HIPAA / PCI-DSS / FedRAMP)—— 現在は対象外。svdy は中小企業の人材管理を対象としており、医療 PHI / カードホルダーデータ / 連邦政府ワークロードは、明示的に追加されるまで当社のユースケース外です。
セキュリティアンケートへの記入、ベンダーデューデリジェンスの実施、または脆弱性のご報告が必要ですか?security@svdy.com までメールをお送りください —— 1 営業日以内に受付確認、3 営業日以内にご回答します。
