本文へスキップ
プレオープン期間中のお申込みで無料期間が2か月(通常1か月/2026年7月31日まで)詳しく見る →

SECURITY

大切なデータを、
設計から守る。

お客様情報・予約・売上といった大切なデータを守るため、VANNAは“あとから足す”のではなく、設計の段階からセキュリティを組み込んでいます。むずかしい部分は、信頼できる専門サービスに任せています。

VANNAが扱うのはお客様の連絡先や予約・購入の履歴といった大切な情報です。 VANNAは、これらを「お店ごとに分ける」「本人確認をする」「通信と保存を暗号化する」「カード情報は預からない」など、 いくつもの守りを重ねて保護しています。下記では、その中身をできるだけやさしく、技術的な裏づけとあわせてご説明します。

BY DESIGN

設計に組み込んだ、いくつもの守り

後付けではなく、つくりの段階から。お店のデータを守るために実装している主な仕組みです。

お店ごとに、データを分ける

あなたのお店のデータは、他のお店からは見えません。万一アプリ側に不具合があっても、データベース自体が他店のデータへのアクセスを拒否する“二重の守り”です。

技術的な裏づけ

PostgreSQLの行レベルセキュリティ(RLS)を全テーブルで強制し、特権を持たない専用ロールで接続。テナントIDが一致する行だけを許可します。

本人確認と、権限の分担

ご登録のときに、携帯電話のSMSで本人確認を行います。スタッフごとに役割(オーナー/管理者など)を分け、できる操作を必要な範囲に絞れます。

技術的な裏づけ

Supabase Auth+国内携帯へのSMSワンタイムコード。役割ベースのアクセス制御を、APIとデータベースの両方でチェックします。

クレジットカード情報は預かりません

お支払いは、決済の専門サービスの安全な画面で完結します。カード番号がVANNAのサーバーに届くことはなく、保存もしません。

技術的な裏づけ

Stripeのホスト型決済(PCI DSS準拠)を利用。入金通知(Webhook)は署名を検証し、二重処理を防ぐ仕組みも備えています。

なりすまし・不正アクセスを防ぐ

他サイトからの不正な操作(なりすまし)や、悪意あるスクリプト、短時間の大量アクセスを、自動でブロックします。

技術的な裏づけ

リクエスト元の検証(CSRF対策)、表示時の自動エスケープ+CSP(XSS対策)、入力値の厳格な検証、IP・電話番号ごとのレート制限を実装。

通信も、保存も暗号化

サイトとのやり取りは常に暗号化された通信(HTTPS)で行われます。保存されるデータも、基盤側で暗号化して保護します。

技術的な裏づけ

本番は常時HTTPS(HSTS)。クリックジャッキングや埋め込みを防ぐセキュリティヘッダー(CSP・X-Frame-Options など)を全ページに付与。

写真の個人情報を、自動で除去

アップロードした画像は作り直して、撮影場所などの埋め込み情報(位置情報)を取り除きます。保管は非公開、表示は期限付きのURLです。

技術的な裏づけ

画像を再エンコードしてEXIF/GPS情報を除去。非公開ストレージ+有効期限つきの署名URLで配信し、保存先のパスもお店ごとに検証します。

操作の記録・監視と、鍵の分離管理

重要な操作は記録に残し、エラーは監視で早期に検知します。サービスの“鍵”にあたる秘密情報は、厳重に分離して管理しています。

技術的な裏づけ

監査ログに操作を記録。エラー監視では個人情報を自動で除去(スクラビング)。秘密鍵はサーバー専用で、誤って外部に出ない設計です。

TRUSTED FOUNDATION

信頼できる基盤の上で

決済・認証・保管といった専門領域は、自前でつくらず、世界中で使われている実績ある専門サービスに任せています。これも、安全性を高めるための大切な選択です。

Supabase

データベース・認証・ファイル保管・SMS本人確認

保存データの暗号化・行レベルセキュリティ・認証基盤を提供する実績あるプラットフォーム。携帯SMSによる本人確認も、Supabaseが提携するSMS送信事業者を通じて行います(国内の携帯番号に限定)。

Stripe

クレジットカード決済

世界中のサービスで使われる決済基盤。PCI DSS準拠の画面でカード情報を扱い、VANNAには渡しません。

Vercel

サイトの公開・配信基盤

常時HTTPSで通信を暗号化し、大量アクセスにも耐える世界規模のインフラ。

Resend

予約確認などのメール送信

なりすましメール対策(SPF / DKIM / DMARC)に対応したメール配信。

Upstash

過剰アクセスの抑制

短時間の大量リクエストを自動で制限し、不正アクセスやbotを抑えます。

Sentry

エラーの監視

不具合を早期に検知。記録の前に個人情報を自動で取り除きます。

LINE

LINE連携(店舗が任意で有効化)

店舗が有効化した場合のみ、その店舗のお客様への連絡(予約確認・お知らせ等)に利用します。

PAYMENTS

カード番号は、VANNAに届きません。

ネット通販や予約デポジットのお支払いは、決済サービス「Stripe」の安全な画面で行われます。 カード番号などの情報はStripeが扱い、VANNAのサーバーが受け取ったり保存したりすることはありません。 さらに、通販やデポジットの売上は、お店ご自身のStripeアカウントへ直接入金されます(VANNAは資金を預かりません)。

ENGINEERING

コードは GitHub で管理し、継続的に検証しています

機能を追加・修正するたびに、自動チェック(CI)が走ります。問題が見つかればリリースを止める仕組みです。 コードは GitHub 上でバージョン管理し、変更の履歴とレビューを記録しています。さらに、外部の専門家による レビュー(セキュリティ・パフォーマンス・アクセシビリティなど)の指摘を継続的に反映しています。

変更のたびに自動実行する検査

  • コード規約チェック(Lint)
  • 型チェック(TypeScript)
  • ユニットテスト
  • 実データベースでの統合テスト
  • 主要画面の自動ブラウザテスト(E2E)
  • 依存ライブラリの脆弱性監査
  • アクセシビリティ自動検査(WCAG)

OUR STANCE

「完璧」と言わず、守り続ける。

セキュリティに「これで絶対に大丈夫」はありません。だからこそ、設計の段階から守りを組み込み、運用の中でも継続的に見直しています。気になる点があれば、いつでもお問い合わせください。

※ 本ページは、VANNAが実装している主なセキュリティ対策の概要です。個人情報の取り扱いの詳細は プライバシーポリシーをご確認ください。

まずは2か月無料で、お店のページを作ってみませんか?

全プラン初回2か月無料・初期費用0円。デザインを選んで、写真と文章を入れるだけ。