セキュリティ — ScamLens

脆弱性の報告

説明、再現手順、影響を添えて security@scamlens.org までメールを送信してください。48 時間以内に受領を確認し、重大な問題は 7 日以内の修正を目指します。

対象範囲、セーフハーバー条項、謝辞については 脆弱性開示ポリシー をご覧ください。

機械可読の概要: /.well-known/security.txt

データの保護方法

• TLS 1.2+ をすべての場所で強制（HSTS preload、1 年）。
• Cloudflare Zero Trust + 名前空間ごとの D1 分離。
• API キーは保存時に暗号化（AES-256-GCM）し、プロジェクト単位でスコープ化。
• ユーザーが送信したコンテンツは、文書化されたスレットインテリジェンス集計を除き、第三者と共有しません。
• すべてのクラウド連携で最小権限の IAM、シークレットは 90 日ごとに更新。

インシデント対応

進行中のインシデントと過去のポストモーテムは status.scamlens.org（順次展開）に公開されます。重大なインシデントは GDPR Article 33 に従い、72 時間以内に影響を受けたユーザーに開示します。

コンプライアンス

• GDPR / UK GDPR: 法的根拠を文書化、データ処理契約 (DPA) はご要望に応じてご提供。
• CCPA / CPRA: Do-Not-Sell を遵守、DSAR は 45 日以内に対応。
• SOC 2 Type II: 監査は 2026 年第 3 四半期に予定。
• PCI: 決済は Stripe が処理し、ScamLens はカードデータを保存しません。

謝辞

有効な報告を確認次第、ScamLens の堅牢化に貢献くださった研究者の Hall of Fame をこちらに掲載いたします。