プライバシーポリシー

データ管理者は [要記入: 完全な法人名]、[要記入: SIREN / Steuernummer / KvK / 法人登録番号] の番号で登録されており、登録上の本店は [要記入: 完全な郵便住所] にあります。データ保護に関するご質問は、当社のデータ保護責任者までご連絡ください: dpo@securssh.com。

• アカウントデータ - メールアドレス、ハッシュ化されたマスターパスワード検証子 (PBKDF2 10 万回反復)、チームメンバーシップ。
• ボールトの内容 - 認証情報、ホストレコード、スニペット、すべてクライアント側で暗号化されます。サーバーは暗号文のみを保存し、平文のボールト内容にアクセスすることはできません。
• 監査ログ - タイムスタンプ、実行者、ホスト識別子、操作種別などの接続メタデータ。保持期間は Team プランで 24 か月、Enterprise 契約で無制限。
• 請求 - Stripe により処理されます。当社はクレジットカード番号 (PAN) の全桁を保存することはなく、当社側に保存されるのは請求識別子、請求書メタデータ、顧客リファレンスのみです。
• 利用分析 - Google Tag Manager (コンテナ GTM-P7PRZ37K) および Google Analytics 4。イベントは既定で匿名化されます (IP の切り捨て、広告機能は無効)。

• 契約の履行 (第 6 条 1 項 (b)) - アカウント管理、ボールトの同期、請求。
• 正当な利益 (第 6 条 1 項 (f)) - セキュリティ監査ログ、不正防止、不正利用検出。
• 同意 (第 6 条 1 項 (a)) - 分析クッキーおよびその他の必須でないクッキー。
• 法的義務 (第 6 条 1 項 (c)) - 税務記録、会計、規制または準拠監査。

• 有効なアカウント - アカウントが存在する限りデータは保持されます。
• 削除後 - バックアップローテーションをカバーする 30 日間の猶予期間を経て、本番およびバックアップシステムから恒久的に消去されます。
• 監査ログ - プランごとの保持期間: 24 か月 (Team)、無制限 (Enterprise)、または契約に基づく設定。
• 請求データ - EU の会計および税務上の義務に従い 10 年間。

• アクセス権 (第 15 条) - リクエストにより全データのエクスポートが可能。
• 訂正権 (第 16 条) - アカウント設定パネルから直接利用可能。
• 削除権 (第 17 条) - ワンクリックのアカウント削除として製品に組み込まれています。手作業の手続きではなく、出荷済みの機能です。
• データポータビリティ権 (第 20 条) - ボールトおよびアカウントデータの暗号化された JSON エクスポート。
• 異議申立権 / 処理の制限権 (第 21 条)。
• 監督機関への申立権 - 例として、CNIL (フランス)、Datatilsynet (デンマーク)、BfDI (ドイツ)、AP (オランダ)、または居住する EU 加盟国の監督機関。

これらの権利を行使するには、privacy@securssh.com までご連絡ください。

個人データは欧州連合内のみで保存および処理されます。本番ワークロードは EU 域内のデータセンターリージョン (フランクフルト、アムステルダム) で、EU に本拠を置くインフラ上で稼働します。

SecurSSH は個人データを保存目的で米国に移転しません。SCHREMS II 判決を踏まえ、これにより EEA 外への移転に伴う法的不確実性が排除されます。

下請事業者は下記第 8 項に列挙されています。データ所在地に影響を与える可能性のある下請事業者の今後の変更は、少なくとも 30 日前に告知されます。

• 厳密に必要なもの - セッションクッキー、CSRF トークン、ロケール設定。サービスの動作に必要であり、同意は不要です。
• 分析 - Google Tag Manager および Google Analytics 4。同意取得後にのみ読み込まれます。
• 第三者によるマーケティングクッキーは使用されません - SecurSSH のウェブサイトおよび製品上で配置されることはありません。

• Stripe Payments Europe Ltd. (アイルランド) - 決済処理。
• Google Ireland Ltd. (アイルランド - Google の EU 代表) - Google Tag Manager および Google Analytics 4 による分析。
• [要記入: EU ホスティング事業者] - 本番環境のホスティングおよびバックアップ。
• [要記入: EU トランザクションメール] - トランザクションメールの配信。

データ処理契約は、Team および Enterprise プランの顧客にリクエストに応じて提供されます。DPA には、該当する場合の標準契約条項 (SCC)、最新の下請事業者リスト、保持期間、GDPR 第 28 条に整合したセキュリティ対策が含まれます。

DPA をリクエストするには、dpa@securssh.com 宛にメールしてください。

• クライアント側で実行される、ボールト内容のエンドツーエンド AES-GCM 暗号化。
• マスターパスワードからの鍵導出に PBKDF2 を 10 万回反復。
• SecurSSH のすべてのエンドポイントにおける TLS 1.3 による転送時暗号化。
• 改ざん検知可能な監査ログ。不正な変更は連鎖を破り、検出可能です。
• 定期的な内部セキュリティレビューと、SecurSSH 運用担当者向けの最小権限アクセス制御。
• ロードマップ: SOC 2 Type II 監査を 2026 年下半期に予定 (現在は未認証 - 取得済みとして表示しません)。

本サービスは業務利用を目的としており、16 歳未満の利用者を対象としていません。SecurSSH は 16 歳未満の児童から個人データを意図的に収集することはありません。児童が個人データを提供したと思われる場合は、関連レコードを削除できるよう、ご連絡ください。

本プライバシーポリシーの重要な変更は、効力発生の少なくとも 30 日前に、有効な顧客へのメールおよび製品内バナーで通知します。軽微な編集 (誤字、明確化) は、改訂日を更新したうえで公開します。

データ保護に関する一般的なお問い合わせ: privacy@securssh.com。

データ保護責任者: dpo@securssh.com。