セキュリティポリシー
最終更新日:2025年4月
SavePorn において、本サービスおよびユーザーデータのセキュリティは最優先事項です。本ポリシーは、当社のセキュリティ慣行、脆弱性の報告方法、および報告された場合に期待できることについて説明します。
1. セキュリティ脆弱性の報告
SavePorn にセキュリティ上の脆弱性を発見された場合は、責任ある方法で当社に報告いただくようお願いいたします。詳細を以下のアドレスまでお送りください:
報告の際には、以下の情報を含めてください:
- 脆弱性の説明とその潜在的な影響。
- 関連するURL、パラメータ、またはペイロードを含む、問題を再現するための手順。
- 脆弱性の種類(例:XSS、SQL injection、認証バイパス、データ漏洩)。
- 問題を実証するスクリーンショット、ログ、または概念実証コード。
2. 責任ある開示
以下の事項をお守りいただくようお願いいたします:
- 当社が対処する合理的な機会を得るまで、脆弱性を公開しないこと。
- 調査の一環として、他のユーザーのデータにアクセス、変更、または削除しないこと。
- 他のユーザーに対するサービスを低下させる可能性のある行為(例:サービス拒否攻撃、大規模なブルートフォース攻撃)を行わないこと。
- 他者のプライバシーを侵害しないよう誠実に努力すること。
当社は、本ポリシーに従い脆弱性を発見し報告した個人に対して、法的措置を取ることはありません。
3. 当社の対応
脆弱性を報告された場合、以下をお約束いたします:
- 報告から48時間以内の受領確認。
- 5営業日以内の問題に関する初期評価。
- 問題の解決に向けた進捗に関する定期的な報告。
- 脆弱性が解決された後の公開通知における謝辞(ご希望の場合)。
4. 対象範囲
セキュリティ報告の対象は以下のとおりです:
- save.porn における SavePorn ウェブアプリケーション。
- SavePorn API。
- 認証およびセッション管理。
- 支払い処理フロー。
- SavePorn が公開するブラウザ拡張機能およびネイティブアプリケーション。
以下は対象外です:
- 当社が連携するサードパーティサービス(メールプロバイダー、ブロックチェーンネットワーク)。
- SavePorn の従業員またはユーザーに対するソーシャルエンジニアリング攻撃。
- SavePorn のインフラストラクチャに対する物理的攻撃。
- SavePorn が所有または運営していないソフトウェアまたはシステムの脆弱性。
5. セキュリティ慣行
SavePorn は、ユーザーデータを保護するために以下のセキュリティ対策を講じています:
- 転送中の暗号化: すべての接続は TLS を使用します。暗号化されていない HTTP リクエストは HTTPS にリダイレクトされます。
- 認証: メールで送信される期限付きのマジックコードを使用します。パスワードは保存されません。セッションは httpOnly、Secure、SameSite=Lax クッキーを使用します。
- アクセス制御: ユーザーデータにアクセスするすべてのAPIエンドポイントは認証を必要とします。ユーザーは自身のデータにのみアクセスできます。
- レート制限: APIエンドポイントは、不正利用を防止するためにレート制限されています。
- 追跡なし: 当社はアナリティクス、広告トラッカー、またはフィンガープリンティングを使用しません。詳細はプライバシーポリシーをご参照ください。
- 最小限のデータ収集: 当社は本サービスの運営に必要なデータのみを収集します。
6. security.txt
RFC 9116 に従い、当社はセキュリティ連絡先情報および本ポリシーのURLを含む security.txt ファイルを /.well-known/security.txt に公開しています。
7. お問い合わせ
セキュリティに関するすべての事項については、以下までご連絡ください: