本サービスの全通信は TLS 1.3 で暗号化されます (HSTS preload 設定済)。Cloudflare の Universal SSL によりエンドツーエンドで暗号化されます。
アップロードされた動画・字幕・編集データは Cloudflare R2 の AES-256 暗号化により保存時に暗号化されます。データベース (Turso libSQL) も保存時に暗号化されています。
メール認証は Better Auth により bcrypt (cost factor 10) でパスワードハッシュ化。セッション Cookie は HttpOnly + SameSite=Strict + Secure フラグ付与。多要素認証 (2FA) は順次対応予定です。
API は全エンドポイントで認証チェック (Better Auth セッション必須)。データベースクエリは user_id によるレコード分離 (Drizzle ORM prepared statements)。Cloudflare R2 へのアクセスはユーザー別 prefix 隔離と署名 URL のみで実施。
MIME type allowlist (video/mp4, mov, webm, mkv) + サイズ制限 (Free 500MB, Pro 2GB) + magic byte 検証。ウイルススキャンは ClamAV 経由で順次対応予定。
Claude API (Anthropic) との通信は HTTPS で暗号化。送信データは AI モデルの訓練に使用されません (Anthropic の Commercial Terms に基づく)。プロンプトキャッシュは5分間の TTL のみで永続保存されません。
セキュリティインシデントを発見した場合、24時間以内に影響範囲を調査し、APPI の規定に従い3-5日以内に個人情報保護委員会へ速報、30日以内に確報を提出します。影響を受ける利用者へは登録メールアドレスを通じて速やかに通知します。
セキュリティ研究者の皆さまへ: 脆弱性を発見された場合は security@choki.app までご報告ください。Coordinated Disclosure を尊重し、修正後にクレジット表記での公表を歓迎します。重大な脆弱性についてはバグバウンティを検討中です。
認証・課金・データアクセスのイベントは Cloudflare Logs に30日間保管されます。重要操作 (パスワード変更・解約等) は登録メールアドレスへ通知されます。
業務委託先 (Anthropic / Cloudflare / Turso / Polar / Stripe / Resend / PostHog) はいずれも SOC 2 Type II または ISO 27001 認証取得済の事業者です。各ベンダーとは DPA (データ処理契約) を締結しています。
現在 SOC 2 Type II / ISO 27001 / ISMS の認証は未取得です。エンタープライズ契約への対応が必要となった際に取得を進めます。
アカウント解約から30日以内に個人情報・アップロード動画・処理済データを完全削除します (バックアップ含む)。請求関連情報は税法上の要請により7年間匿名化して保管します。
脆弱性のご報告は security@choki.app へお願いします。