セキュリティについて

各サロンのデータは Row Level Security (RLS) によりデータベース層で論理的に分離されています。 あるサロンが他のサロンの予約・顧客情報を閲覧することは技術的に不可能です。 全16テーブルでRLSが有効化されており、運営者による定期的な監査で確認しています。

サイト全体で HTTPS（TLS 1.2以上） を強制しています。 独自ドメインで証明書を自動更新（Let's Encrypt 経由）。ブラウザ↔サーバー間の通信は常に暗号化されます。

クレジットカード番号は 当社サーバーに一切保存しません。 決済処理は PCI DSS Level 1 認証取得の Stripe社 のシステムへ完全に委譲しており、 Stripeのトークン（顧客ID）のみを保持します。

ユーザーパスワードは bcrypt による一方向ハッシュで保存されます。 運営者であってもパスワードを平文で知ることはできません。ログイン認証は Supabase Auth が処理します。

データベースは Supabase（東京リージョン）、Webホスティングは Vercel。 いずれも ISO 27001 / SOC 2 Type II 認証取得済みのエンタープライズ向けマネージドサービスを利用しています。 自前サーバー運用に比べ、OSパッチやインフラセキュリティは常に最新の状態が維持されます。

Supabase の Security Advisor が日次でテーブルのRLS設定・公開関数・露出した機密カラムをスキャンします。 問題を検出した場合は即座に運営者へ警告メールが配信され、24時間以内に対応する運用としています。

外部サービス（LINE、Stripe）からの Webhook は HMAC-SHA256 署名 でテナント毎に検証されます。 署名が一致しないリクエストは即座に 401 Unauthorized で破棄され、なりすましによる不正データ操作を防ぎます。

データベースは Supabase により 日次でフルバックアップ されており、 Point-in-Time Recovery（PITR）により直近の任意の時点へのリストアが可能です。 万一の災害・操作ミスに備えています。