Doorkeeper セキュリティ概要
すべてのデータはHTTPSで送信
ユーザーのブラウザとDoorkeeperの間で行われるすべてのコミュニケーションではHTTPSが使用され、TLSで暗号化されています
データの保護
すべてのデータは、複数の場所で保存され、日毎にバックアップされています。お客様がアップロードしたファイルは、冗長性のあるAmazon S3上に保存されています。
アカウントのセキュリティ
すべてのパスワードは、Doorkeeper上のすべてのログによりフィルタリングされ、データベース上ではsalted sha512を用いた不可逆の暗号化処理が施されています。パスワードは8文字以上で設定される必要があり、大文字、小文字、数字、特殊文字を含むあらゆる文字の組み合わせで設定することができます。パスワードが一定回数、誤って入力された場合には、アカウントは自動的に凍結されます。
ウェブホスティングサービス
Doorkeeperでは、アマゾンウェブサービス (AWS) を使用しています。AWS は、ISO 27001 認証を取得しているほか、Payment Card Industry(PCI)データセキュリティ基準(DSS)のレベル 1 サービスプロバイダとしても認定されています。AWS は、毎年 SOC 1 監査を受け、米国連邦政府システムの Moderate レベルおよび DoD システムの DIACAP Level 2 としての評価を獲得しています。 詳細については、AWS セキュリティセンターをご参照ください。
安全なクレジットカード決済
Doorkeeperでは、クレジットカードの決済処理にStripeを採用しています。Stripeは、カード番号やCVCなどの慎重な取り扱いが必要となるクレジットカード情報をDoorkeeperには一切知らせられないよう作られています。Doorkeeperがアクセスできるのは、カードのブランドや番号の下4桁の数字、有効期限、Stripeのデータベースにある特定のクレジットカードに請求するに必要な識別子といった限られたカード情報だけです。つまり、たとえハッカーがDoorkeeperのデータベースにアクセスしたとしても、Doorkeeperユーザーのクレジットカードに不正な課金をすることはできないということです。
Stripeは、PCIが認定する監査人によって監査されており、PCIサービスプロバイダのレベル1に認定されています。これは、カード決済業界において定められる最も厳しい基準をクリアしていることを示すレベルです。Stripeのセキュリティ詳細につきましては、 Stripeのセキュリティ情報をご覧ください。
最新のインフラストラクチャー
弊社では、最新のセキュリティパッチをあて、サーバーを最新の状態に保つよう管理しています。
ログ
アプリケーションログはクラウド上にバックアップされ、無期限で保存されます。
従業員によるアクセスの制限
通常、Doorkeeperの従業員がお客様の個人的なデータにアクセスすることはありません。カスタマーサポート上の理由で必要な場合に限ってアクセスする権限が付与されます。
問題を報告する必要がありますか?
セキュリティ上の懸念、脆弱性を発見した場合、info@doorkeeper.jp までご連絡ください。