セキュリティ

通信の暗号化：本サービスへのすべての通信は、SSL/TLS（HTTPS）により暗号化されています。お客様のブラウザと当サービスのサーバー間でやり取りされるデータは、第三者による盗聴や改ざんから保護されています。

データの保存：お客様の個人情報および利用データは、暗号化された状態でデータベースに保存されています。データベースへのアクセスは厳格に制限され、認証されたシステムからのみアクセス可能です。

OAuth認証：本サービスでは、GoogleのOAuth認証およびメール+パスワード認証を採用しています。OAuth認証ではお客様のパスワードを当サービスで保存することなく安全にログインいただけます。メール+パスワード認証では、パスワードは業界標準のハッシュアルゴリズムで暗号化して保存されます。

セッション管理：ログインセッションは適切な有効期限が設定されており、一定期間操作がない場合は自動的にログアウトされます。

行レベルセキュリティ（RLS）：データベースレベルでアクセス制御を実装しており、お客様は自身のデータにのみアクセスできます。他のユーザーのデータにアクセスすることはできません。

Stripeによる決済処理：有料プランの決済処理は、世界最高水準のセキュリティを誇るStripeを利用しています。StripeはPCI DSS Level 1に準拠しており、クレジットカード情報の取り扱いにおいて最も厳格なセキュリティ基準を満たしています。

カード情報の非保存：お客様のクレジットカード番号やセキュリティコードは、当サービスのサーバーには一切保存されません。すべての決済情報はStripeが安全に管理します。

Cloudflare Pagesによるホスティング：本サービスは、Cloudflareのグローバルエッジネットワーク上でホスティングされています。自動的なDDoS保護、エッジでの高速かつ安全なコンテンツ配信を実現しています。

Cloudflare D1によるデータ管理：データベースはCloudflare D1を使用しており、Cloudflareのグローバルネットワーク上で暗号化・アクセス制御を備えた安全なデータ管理を実現しています。

定期的なバックアップ：データは定期的にバックアップされ、災害時にも迅速にサービスを復旧できる体制を整えています。

APIキーの安全な管理：論文検索（OpenAlex）やAI要約（Gemini、OpenAI）などの外部サービスとの連携に使用するAPIキーは、すべてサーバーサイドで安全に管理されています。クライアント側に機密情報が露出することはありません。

最小権限の原則：外部サービスへのアクセスは、必要最小限の権限のみを使用しています。

セキュリティアップデート：使用しているフレームワーク、ライブラリ、依存関係は定期的に更新し、既知の脆弱性に対応しています。

入力値の検証：ユーザーからの入力値はすべてサーバーサイドで検証・サニタイズされ、SQLインジェクションやXSS（クロスサイトスクリプティング）などの攻撃から保護されています。

セキュリティ報告：セキュリティ上の問題を発見された場合は、pepa.navi@gmail.com までご報告ください。責任ある開示にご協力いただいた方には、適切に対応いたします。

個人情報保護法：日本の個人情報保護法に準拠し、お客様の個人情報を適切に取り扱っています。詳細はプライバシーポリシーをご参照ください。

特定商取引法：特定商取引法に基づく表記を行い、透明性のあるサービス提供を行っています。