セキュリティとコンプライアンス

JazzNode は、ミュージシャン・ベニュー・ファンが本当に大切なショーを一箇所で信頼できるように存在しています。その信頼は 3 つの原則の上に成り立っています:保有するデータを最小化する、監査済みのインフラの上に構築する、取得したもの・していないものを正直に開示する。

私たちは大企業ではありませんし、大企業のふりもしません。代わりに、大企業が求める監査をクリアしたプロバイダの上に構築することで、同じ水準の保証をあなたのデータにも適用しています。

JazzNode は厳選した少数のプロバイダの上で稼働します。各社は独立した第三者監査を継続的に保持しています:

• Stripe(決済): PCI DSS Level 1——カード業界で最高レベルの認証。Stripe がカードデータを処理し、JazzNode は生のカード番号を保存・取り扱い・送信しません。
• Supabase(データベース・認証・ストレージ): SOC 2 Type 2、ISO 27001、HIPAA 対応。保存時データは暗号化され、行レベルセキュリティがユーザー別アクセスを強制します。
• Vercel(ホスティング・エッジネットワーク・ビルド): SOC 2 Type 2、ISO 27001。暗号化環境変数と OIDC クラウド認証によるアプリホスティング。
• Google(OAuth サインイン): Google Identity Platform、OAuth 2.0 標準。JazzNode はあなたの Google パスワードを見ることはありません。
• Resend(トランザクションメール): SOC 2 Type 2。APAC レイテンシのため東京リージョンを使用。JazzNode の全ドメインで DKIM・SPF・DMARC を強制。
• AWS S3(ファイルストレージ): SOC 2、ISO 27001、PCI DSS。プロフィール画像・ベニュー写真・プレスキットに使用。

JazzNode への/からの通信はすべて TLS 1.2 以上で暗号化されます。HTTP Strict Transport Security(HSTS)は JazzNode の全ドメインで有効です。

保存時データはインフラプロバイダによって AES-256 で暗号化されます(Supabase、AWS S3、Vercel)。

チケットの QR コードは第三者が偽造・リプレイできない署名トークンを使用しています。

ユーザーはメール/パスワード(Supabase Auth が bcrypt でハッシュ化)または Google OAuth 2.0 で認証します。JazzNode は平文のパスワードや Google 認証情報を保存しません。

内部運用は Owner・Admin・Editor ロールに分割されています。返金・送金・データエクスポート・アカウント削除などの機密操作には昇格ロールが必要で、ログが残ります。

行レベルセキュリティ(RLS)はデータベース層で強制されます。アプリ側にバグが混入しても、データベースが不正な読み書きを拒否します。

サービス運用に必要なものだけを収集します:アカウントの基本情報、購入したチケット、プラットフォームを通じて送受信したメッセージ。カード情報・Google パスワード・デバイスの生体情報を JazzNode が保存することはありません。

アカウントはリクエストにより削除でき、個人データは 30 日以内に削除されます(法令で保持が求められる場合を除く。例:チケット販売の税務記録)。

詳細はプライバシーポリシーをご覧ください。

本番シークレットは Vercel の暗号化環境変数ストアに保管されます。Preview・Development・Production 環境は完全に分離されています。

クラウド間認証には短命な OIDC トークンを使用します。長命な認証情報はソース管理にコミットしません。

内部ツールのアクセスはレビュー対象で、メンバーのロール変更や離脱時に失効させます。

実行時エラーと異常は Vercel Observability と Supabase ログで監視します。セキュリティ関連イベントはレビュー対象としてフラグが立ちます。

インシデントがあなたのデータに影響する場合、GDPR 第 33 条の期待に沿って、確認後 72 時間以内に影響を受けるユーザーに通知します。

本番データベースにはバックアップとポイントインタイムリカバリがあります。

セキュリティ脆弱性を発見されたと思われる方は、security@jazznode.com までメールをお送りください。

私たちは以下をお約束します:

• 72 時間以内に受領を確認します。
• 調査の進捗をお伝えし続けます。
• ご希望の場合、問題の解決後にクレジットを掲載します。
• スコープとセーフハーバー条項を遵守する善意の研究者に対しては、法的措置を取りません。

対象範囲:jazznode.com、*.jazznode.com、JazzNode iOS・Android アプリ。対象外:DoS 攻撃、ソーシャルエンジニアリング、物理攻撃、他のユーザーのサービスを劣化させる調査。

GDPR:EU ユーザーはデータへのアクセス・訂正・エクスポート・削除の権利を持ちます。プロセッサは EU データレジデンシーと標準契約条項に対応しています。

台湾 PDPA(個人資料保護法):娛興喂有限公司が台湾で個人資料保護法の下で JazzNode を運営します。

台湾消費者保護法第 43 条:チケット販売フローは票券定型化契約の段階的返金フレームワークに準拠しています。

DMCA:権利者は当社の指定代理人にテイクダウン通知を提出できます。DMCA ポリシーをご覧ください。

保有していない認証を主張することはしません。現在の正直な状況は以下の通りです:

• 現在保有: 継承:PCI DSS Level 1(Stripe)、SOC 2 Type 2(Supabase、Vercel、Resend)、ISO 27001(Supabase、Vercel、AWS)。
• 進行中: 自動化コンプライアンスツールによる SOC 2 レディネス評価、年次第三者ペネトレーションテスト、DPA の公開。
• 計画中: SOC 2 Type 1 認証はエンタープライズ需要が生じた際に開始。SOC 2 Type 2 は Type 1 および 12 ヶ月の観察期間後に実施。ISO 27001 と日本 P マークは市場需要に応じて評価。

セキュリティ問題は security@jazznode.com までメールをお送りください。

一般的なプライバシー・コンプライアンス・DPA のご依頼はヘッドクォーター経由でご連絡ください。標準 DPA は /legal/dpa にてご覧いただけます。

商用・エンタープライズのセキュリティ質問票は、件名に「security questionnaire」と記載いただければ優先的に対応します。