セキュリティ

EchoWaveのセキュリティ

Q: セキュリティの脆弱性や問題を報告するにはどうすればよいですか？

連絡先アドレスと暗号化レポート用のPGP鍵が記載された security.txt ファイルをご確認ください。チームはすべての報告を迅速に確認し、確認済みの報告者は殿堂入りの対象となります。

お客様の動画、音声、および個人データは転送中に暗号化され、認定済みのクラウドインフラ上でホスティングされ、GDPRおよびCCPAに基づいて取り扱われます。私たちがどのように安全を確保しているかを詳しくご説明します。

転送中のTLS暗号化
scryptによるパスワードハッシュ化
二段階認証
GDPR・CCPA対応
脆弱性の責任ある開示ポリシー

信頼のインフラ

すでに信頼されているプラットフォームで構築

重要なセキュリティを独自に再構築することはしません。決済、認証、ホスティング、ストレージは、世界中の数百万の企業を守る、独立した監査済みプラットフォームで運用しています。

Stripe

決済処理

すべての決済はStripeで処理されます。Stripeは決済セキュリティ認定の最高レベルであるPCI DSS Level 1認定プロバイダーです。カード情報はStripeに直接送信され、EchoWaveのサーバーには一切保存されません。

PCI DSS Level 1

Google Cloud

アプリケーション・データベースホスティング

アプリケーションとデータベースはGoogle Cloud上で動作し、データはデフォルトで保存時に暗号化されます。ISO 27001やSOC 2などの規格に対して独立した認定を受けたインフラを使用しています。

ISO 27001 · SOC 2インフラ

Firebase Authentication

サインイン・本人確認

アカウントはGoogleのIDプラットフォームであるFirebase Authenticationによって保護されています。パスワードは強化されたscryptアルゴリズムでハッシュ化されており、平文で保存されることはなく、二段階認証もサポートしています。

Google IDプラットフォーム

Cloudflare

エッジネットワーク・DDoS対策

echowave.ioへのトラフィックはCloudflareのグローバルエッジネットワークを経由し、TLS暗号化、Webアプリケーションファイアウォール、および常時稼働のDDoS対策がすべてのリクエストに適用されます。

グローバルエッジセキュリティ

Backblaze B2

メディアストレージ

アップロードされたメディアはBackblaze B2クラウドストレージに保存されます。99.999999999%（イレブンナイン）のデータ耐久性を誇り、ソースファイルは安全かつ復元可能な状態で保管されます。

イレブンナインの耐久性

表示されている認定資格は各プロバイダーに帰属し、EchoWaveが構築されているプラットフォームを説明するものです。

私たちの取り組み

アカウントとコンテンツを守る方法

転送中の暗号化

お客様のデバイスと当社サーバー間のすべての接続はTLSで暗号化されているため、プロジェクトやメディアは送受信の際に保護されます。

アカウントセキュリティ

すべてのアカウントで二段階認証（2FA）をサポートしており、チームにはリクエストに応じてシングルサインオン（SSO）もご利用いただけます。パスワードはscryptハッシュとしてのみ保存されます。

最小権限アクセス

本番データへのアクセスはロールによって制限されています。製品内での管理者・編集者・閲覧者のロール分けに加え、社内スタッフのアクセスも厳格に制限され、認可された担当者のみに限定されています。

監視・監査

デプロイ環境、依存関係、バイナリ全体にわたって定期的なセキュリティ監査と自動スキャンを実施し、新たな脆弱性が検出された際には即座にアラートを発します。

インシデント対応

不審なアクティビティを常時監視し、テスト済みのインシデント対応・データ復旧計画を維持しています。万が一お客様に影響のある侵害が発生した場合、お客様および関係当局に速やかに通知します。

継続的なアップデートと教育

ソフトウェアとインフラは定期的にパッチが適用され、すべてのチームメンバーが最新の脅威とベストプラクティスに関するセキュリティ教育を継続的に受けています。

設計段階からのコンプライアンス対応

プライバシー規制は後付けではありません。データのアクセス、エクスポート、削除はアプリ内のアカウントページからセルフサービスで行えます。

GDPR

EUの一般データ保護規則（GDPR）に従って個人データを処理しています。アプリ内のアカウントページからいつでもご自身でデータのエクスポートや削除が可能です。

CCPA

カリフォルニア州消費者プライバシー法（CCPA）に基づき、カリフォルニア州在住者のプライバシーの権利を尊重しています。

security.txt

公開PGP鍵付きの署名済みRFC 9116 security.txtを公開しており、セキュリティ研究者が常に連絡先を確認できるようにしています。

プライバシーポリシーを読む利用規約

責任ある開示

脆弱性を発見したら、ご連絡ください。

セキュリティ研究者からの報告を歓迎しています。security.txtには暗号化レポート用のPGP鍵が含まれており、確認済みの報告者は殿堂入りの対象となります。

EchoWaveはアメリカ合衆国に登録されたLemon Vault LLCが運営しています。セキュリティレポートには24営業時間以内に返答するよう努めています。

脆弱性を報告する security.txtを見る

EchoWaveセキュリティFAQ

EchoWave.ioを使用中、データはどのように保護されますか？

データは転送中にTLSで暗号化され、ホスティングプロバイダーによって保存時にも暗号化されます。アクセスはロールによって制限され、デプロイ環境や依存関係全体で定期的なセキュリティ監査と自動脆弱性スキャンを実施しています。データの管理・削除はアカウントページからセルフサービスで行えます。

データはどこに保存されますか？

EchoWaveはGoogle Cloud Platform上で動作し、アップロードされたメディアはBackblaze B2クラウドストレージに保存されます。どちらのプラットフォームも保存時にデータを暗号化し、独立した監査・認定を受けたデータセンターで運用されています。

支払い情報は安全ですか？

はい。すべての決済はPCI DSS Level 1認定の決済プロバイダーであるStripeによって処理されます。これは決済セキュリティ認定の最高レベルです。カード情報はStripeに直接送信され、EchoWaveのサーバーに触れたり保存されることは一切ありません。

EchoWave.ioアカウントのセキュリティを高めるにはどうすればよいですか？

二段階認証（2FA）を有効にし、パスワードマネージャーで生成した強力でユニークなパスワードを使用してください。また、EchoWaveアカウントに紐付けたメールアカウントも安全に保つことが重要です。

データを削除できますか？

はい。しかもセルフサービスです。エディター内でいつでもプロジェクトやメディアを削除でき、すべての個人データを含むアカウント全体の削除もアプリのアカウントページから行えます。サポートチケットは不要です。GDPRおよびCCPAに基づくデータエクスポートのリクエストはhello@echowave.ioまでメールでも受け付けています。

セキュリティの脆弱性や問題を報告するにはどうすればよいですか？

連絡先アドレスと暗号化レポート用のPGP鍵が記載されたsecurity.txtファイルをご確認ください。チームはすべての報告を迅速に確認し、確認済みの報告者は殿堂入りの対象となります。

アカウントにセキュリティ上の問題があると思われる場合はどうすればよいですか？

hello@echowave.ioまで至急サポートチームにご連絡ください。調査を行い、アカウントを保護し、必要な手順をご案内します。24営業時間以内の返答を目指しています。

EchoWaveについて寄せられた声

🌐 このページを他の言語で見る: English, Dansk, Deutsch, Ελληνικά, Español, Français, हिन्दी, Bahasa Indonesia, Italiano, 한국어, Nederlands, Português, Русский, ไทย, Türkçe, 简体中文