第1条 基本方針 / Article 1: Security Philosophy
エステック合同会社(以下「当社」)は、ChecqIn(チェックイン)を通じて取り扱う個人情報・組織情報・位置情報を保護するため、エンタープライズレベルのセキュリティ設計を採用しています。
Esutech Godo Kaisha adopts enterprise-level security design to protect personal information, organizational data, and location data handled through ChecqIn.
第2条 インフラセキュリティ / Article 2: Infrastructure Security
第3条 認証・アクセス制御 / Article 3: Authentication and Access Control
第4条 API・決済セキュリティ / Article 4: API and Payment Security
第5条 セキュリティ仕様一覧 / Article 5: Security Specifications
| 項目 | 仕様 |
|---|---|
| インフラ | Cloudflare Workers(サーバーレス) |
| 通信暗号化 | TLS 1.2 / 1.3(ECDHE・AES-GCM・ChaCha20) |
| データ暗号化 | Cloudflare KV / AES-256 |
| パスワード | SHA-256 + salt(不可逆ハッシュ) |
| 二要素認証 | OTP(スーパー管理者・メール送信) |
| アカウントロック | 10回失敗で30分ロック(全ユーザー) |
| IP制限 | スーパー管理者に許可IPリスト設定可能 |
| APIキー認証 | X-API-Key / フォールバック禁止 / 無効キーは即403 |
| QRハッシュ | 再生成で旧QR即時無効化 |
| 決済 | Stripe PCI DSS準拠(カード情報の自社保存なし) |
第6条 個人情報保護への取り組み / Article 6: Personal Information Protection
当社は、お客様の個人情報を適切に保護するため、以下の取り組みを行っております。
We take the following measures to protect personal information appropriately.
- プライバシーマーク (Pマーク) 取得を視野に入れた仕様設計・運用体制
- 個人情報保護法 (令和3年改正) の要件に準拠
- 同意管理 (本人同意の記録・撤回受付・履歴保持)
- アクセスログ 365日保持 (監査証跡)
- 委託先管理台帳 (外部サービス利用先の継続的な棚卸し)
- インシデント対応記録 (発生時の対処手順・報告体制)
- データポータビリティ対応 (本人データのエクスポート・削除リクエスト窓口)
- GDPR (EU一般データ保護規則) を意識した個人データ取り扱い設計
※プライバシーマーク認証は今後取得を予定しておりますが、現時点で取得済ではありません。仕様・運用面で同認証基準を参考にしております。
Note: Privacy Mark certification is planned but not yet obtained. Our design and operations reference its standards.
第7条 脆弱性報告 / Article 7: Vulnerability Reporting
セキュリティ上の問題や脆弱性を発見した場合は、速やかに下記窓口までご連絡ください。報告いただいた内容は責任を持って対応いたします。
If you discover a security issue or vulnerability, please contact us promptly at the address below. All reports will be handled responsibly.
ESTECH合同会社
代表者:椎名 正弘
所在地:〒360-0812 埼玉県熊谷市曙町2-46-2
Email: support@checqin.com
原則として14営業日以内に回答いたします。 / We will respond within 14 business days in principle.
※本ポリシーは日本語版を正文とします。英語版は参考訳です。