技術概要

テックスタック

ホスティング：Linode
Linode は世界185か国、100万人以上のユーザーに利用されているクラウドホスティングプロバイダーです。私たちは 2018 年から Linode を利用しており、非常に高い信頼性を持つことが実証されています。現在、最新の Ubuntu OS を稼働させた専用サーバーを複数台 Linode 上で運用しています。サーバーの設置場所は アメリカ・テキサス州ダラスのデータセンターです。

ネットワーキング：Cloudflare
Cloudflare は DNS ルーティング、キャッシング、そして (D)DoS（分散型サービス拒否攻撃）対策を提供します。Cloudflare により、潜在的な攻撃経路を避けつつ、ユーザーに対して最良のパフォーマンスを提供できるようになっています。

セキュリティ

データ

すべての通信は SSL によって暗号化されており、ブラウザとサーバー間でデータが盗み見られたり改ざんされることを防いでいます。また、個人識別情報（PII）は保存時にも暗号化されています。

パスワード

パスワードは ワンウェイ暗号化（ワンウェイハッシュ）で保存されています。これにより、当社スタッフを含むデータアクセス可能者であっても、ユーザーのパスワードを復元することはできません。

クレジットカードと支払い情報

クレジットカード番号や銀行口座番号などの支払い情報は、Stripe・Square・Authorize.net・GoCardlessといった決済プロバイダー側で安全に保管され、Gymdesk のサーバーを通過することはありません。Gymdesk が受け取るのは トークン化された支払い情報であり、実際のカード情報にアクセスすることなく支払いを実行できます。すべての決済プロバイダーは PCI DSS レベル 1（最高水準）の認証を取得しています。

サーバーの強化

サーバーはセキュリティ専門家による定期監査を受けており、脆弱性が悪用されないよう、セキュリティアップデートが自動で適用されています。

セキュリティのベストプラクティス

Web アプリケーションのセキュリティに関するベストプラクティスに基づき、以下のような一般的な攻撃手法を防ぐ対策を実施しています：

• SQLインジェクション
• XSS（クロスサイトスクリプティング）
• CSRF（クロスサイトリクエストフォージェリ）
• セッション固定攻撃
• その他の攻撃ベクトルへの対策

また、情報セキュリティの最新動向を常に追跡し、潜在的な攻撃を防ぐための対策を継続的に強化しています。

プライバシーと GDPR

当社では、トラッキングを最小限に留め、GDPR に準拠したサービスのみを使用しています。個人データの削除は、リクエストに応じて実施可能です。お客様のプライバシーを保護するために当社が講じている対策の詳細は、Trust Centerをご参照ください。