PrivateStaterデータと暗号化スタック
透明性とセキュリティは非常に重要で、初期状態で保証されるべきものです。だからこそ、PrivateStaterが扱うデータ、転送時と保存時の保護方法、そして利用方法を、このページの表にまとめました。法的な文書については /privacy.txt ページをご覧ください。
最終更新: 2026-05-26 (UTC+9)
表の読み方
注: PrivateStaterは主にサーバー側で動作するSaaSのため、技術的な理由からエンドツーエンド暗号化を適用できません。主にサーバー側で動作する他社のSaaSも同様です。
| 用語 | 本書での意味 |
|---|---|
| 転送中 | ブラウザ、あなたのウェブサイト、PrivateStaterの間をHTTPSで移動するデータ |
| 保存時 | 受信後にサーバーやデータベースに保持されるデータ |
| 一方向ハッシュ | 検証に使われる一方向の暗号化技術。元の値には戻せません |
| 提供者セキュリティ | MongoDBやRedis Cloudなどのホスティング提供者が管理する基本的なセキュリティ |
| 平文保存 | 復号せずにデータベースで読み取れる状態 |
| 一時的 | Redisまたはプロセスメモリに短時間保持され、TTL、消費、リクエスト終了によって削除される |
インフラと保存場所
主なデータベースとアプリケーションサーバーのリージョンです。
| 主な構成要素 | 提供者と場所 | 保存時 | 保存内容 |
|---|---|---|---|
| ウェブサーバー | DigitalOcean, FRA1(ドイツ) | 提供者セキュリティ | - |
| MongoDB | DigitalOcean, FRA1(ドイツ) | 提供者セキュリティ | アカウント、プロジェクト、アナリティクス、キャプチャ、フィードバック、ログ、レジストリなど |
| Redis | Redis Cloud, AWS us-west-1(米国) | 提供者セキュリティ | キャプチャ/アナリティクスのバッファ、セッションキャッシュ、公開APIのレート制限カウンターなど |
| Resend(第三者サービス) | - | 提供者セキュリティ | 受信者アドレス、メッセージ本文、バウンス状態 |
| Paddle(第三者サービス) | - | 提供者セキュリティ(PCI DSS SAQ A準拠) | 支払い方法および決済関連データ |
転送中の保護
すべてのエンドポイントはHTTPSで提供されます。より強固なセキュリティのためにHSTSが有効化されており、ユーザー–Cloudflare–PrivateStaterの経路全体がTLSで暗号化されます。
| 経路 | 転送中 | 目的 |
|---|---|---|
| ダッシュボード ↔ privatestater.com | TLS | ダッシュボード、ランディング、APIなどの機能 |
| 訪問者 ↔ privatestater.com | TLS | アナリティクス、キャプチャ、フィードバックなどの機能 |
| 認証クッキー | TLS, HttpOnly, Secure, SameSite=Lax | アカウントのログイン維持、セッションの検証 |
PrivateStater ID
アカウントデータはDigitalOcean Dropletsで動作するMongoDBに保存されます。
| データ | 保存場所 | 保存時 | 保管期間 |
|---|---|---|---|
| ユーザー名 | MongoDB | 平文 | アカウント削除まで |
| パスワード | MongoDB | SHA-256で2回ハッシュ後、bcrypt(12ラウンド) | 変更またはアカウント削除まで |
| メール | MongoDB | 平文 | 変更またはアカウント削除まで |
| メール認証コード | MongoDB | SHA-256 | 10分 |
| セッションキー | クッキー、MongoDB | 平文 | 7日 |
| セッションキャッシュ | Redis | 平文 | 5分 |
| TOTPシークレット | MongoDB | 平文 | 2FA無効化まで |
| リカバリーコード | MongoDB | SHA-256 | 使用まで |
| GitHub OAuth | MongoDB | 平文 | 連携解除まで |
| Open APIキー | MongoDB | Argon2idハッシュ | 削除まで |
| サブスクリプション/ライセンス | MongoDB, Paddle | 平文 | 解約まで |
| OAuth状態 | サーバーメモリ | 平文 | 10分 |
運用ログ
このデータはトラブルシューティングと攻撃への防御のためだけに使用され、マーケティングには使用しません。
| データ | 保存場所 | 保存時 | 保管期間 |
|---|---|---|---|
| サーバーログ | MongoDB | 平文(マスキング済み) | 最大1年 |
| アカウント認証のレート制限 | RAM | 平文 | - |
第三者の処理者
私に代わってデータを処理する企業です。(あなたの情報を販売することはありません。)
| 処理者 | 共有する理由 |
|---|---|
| Paddle | 決済とサブスクリプションのチェックアウト |
| Resend | メールの送信 |
| GitHub | OAuthサインイン |
| Cloudflare | CDN |
| DigitalOcean | ウェブサーバーとデータベース |
| Redis Cloud | データベース |