Trust Center
最終更新日: 2026-07-08
Veripsa Core を評価するためのセキュリティ基本情報です。何を保存し、何を保存しないか、どこで処理されるか、そして現時点で何を主張しないかを整理しています。Veripsa は GetVeripsa という組織が運営しています。ポリシー版は、プライバシーポリシーおよびセキュリティ概要に記載しています。
1. 保存するデータ
Veripsa Core は設計上コンテンツフリーです。マージ前に PR 間の衝突を警告するため、必要な処理はメモリ上で行われ、そのあとファイル内容は破棄されます。保存されるのは、下記の必要最小限の運用メタデータだけです。
保存するもの
- アドバイザリーチェックの提供に必要な最小限のリポジトリ / PR メタデータ。
- GitHub アカウントおよびリポジトリの数値 ID、Installation ID — 不透明 (opaque) で不変な識別子で、テナンシーキーとして使用します。
- チェックを最新に保ち重複を防ぐための運用上の鮮度・処理状態。
- 公開 GitHub ログインハンドルとコンテンツフリーな構造メタデータ。リポジトリ名・ブランチ名・PR 番号・commit/content fingerprint・path 名・symbol 名・language/symbol kind・変更行範囲・関係種別・timestamp を含みます。ソース本文でなくても、これらの名称は顧客データや個人データになり得ます。
- サニタイズ済みの CTA source、locale、任意の campaign slug、同一サイト内の公開ページを粗く分類した bucket などの first-party install-intent メタデータ。
保存しないもの
- ファイルの本文や diff の内容。 Veripsa Core はソースコードを永続化しません。
- コミットメッセージの本文。
- GitHub の secret store にはアクセスしません。commit 済みの .env を含む追跡対象ファイルに値が含まれる場合、ソース本文とともに一時的に読み取ることはありますが、値を意図的に抽出・保持しません。設定キー名は構造メタデータとして保持する場合があります。
- サインイン時に返される非公開プロフィール項目。dashboard 利用者の氏名・メール・アバターは保存しません。一方、Core が使用する公開 GitHub ハンドルやリポジトリ/path/symbol 名は、上記の通りスコープされた顧客メタデータとして保持します。
- クレジットカード情報。Veripsa Core の早期アクセスでは checkout もカード情報の収集もありません。
- アナリティクスや広告の識別子。 サードパーティのアナリティクスや広告 SDK は、プラットフォームに一切組み込んでいません。
- install redirect の raw referrer URL や任意の CTA query parameter。install redirect は承認済みの attribution field だけを保持します。
これらの境界線のポリシー上の正式な記述は、プライバシーポリシー を参照してください。
2. 保持期間
保持期間は、ポリシー上も実装上も短く保たれています — 動いていないリポジトリの作業セットは必要になった時に再構築し、コンテンツフリーな作業セットはアンインストール時にパージされます。
| 対象 | 保持期間 |
|---|---|
| 作業セット (進行中の予約、コンテンツフリーなキャッシュ) | 動いている間は保持します。一定期間アクティビティがなく、進行中の予約もないリポジトリの作業セット/キャッシュは、通常 30 日の非アクティブ期間後にパージされることがあります。次のデフォルトブランチへの push または pull request で再構築され、co-change 履歴は非同期に再投入されます。アンインストール時、およびアカウント削除時にも、列挙された erase/purge ゲートを通じてパージされます。 |
| 運用テレメトリ (push やランディングのイベント) | 30 日間 保持後にパージされます。 |
| first-party の install-source マーケティングイベント | 30 日間 保持後にパージされます。これらのイベントは、source、locale、任意の campaign slug、同一サイト内の公開ページを粗く分類した bucket など、承認済みの attribution field だけを保持します。 |
| アドバイザリー履歴 (append-only) | アカウント削除まで、append-only なコンテンツフリー記録として保持されます。現在の判定用作業セットとしては使われません。 |
| Webhook 配送監査 — GitHub チャネル | 終端状態 (完了または失敗) のエントリは、毎晩の保持スイープにより 30 日後に削除されます。配送ペイロードはエントリの完了時点で消去されます。アカウント削除時の同じ erase/purge ゲートの対象でもあります。 |
| アカウントライフサイクルのイベント (governed-write の監査) | append-only な運用記録として保持され、アカウント削除時に、列挙された erase/purge ゲートを通じて削除されます。 |
| サインインのセッション Cookie (署名付き JWT、不透明な GitHub ユーザー ID のみ) | ブラウザに保存され、サインアウト時に消去されます。サーバー側に並行するセッションレコードは保持しません。 |
アンインストール以外でデータの消去をリクエストする場合は、support@veripsa.com までメールしてください。同じ内容のポリシー版は プライバシーポリシー を参照してください。
3. テナント分離
Veripsa Core は、ポリシー上もコードパス上も、データベース層とアプリケーション層でテナント分離を強制します:
- マルチテナントの Core データにはテナント分離されたデータベース制御を適用しています。
- テナントデータは不変な GitHub アカウント識別子でスコープされます。リネームやローテーションのありうるログイン名・氏名・メールは境界として使いません。
- クロステナントの読み取り経路は明示的な権限チェックでゲートされ、暗黙の権限昇格には依存しません。
- プラットフォーム側でも、ダッシュボードから見えるテナントの範囲は、あなた自身の GitHub Installation から導出され、リクエストごとに再チェックされます — 見える範囲はあなた自身の GitHub のアクセス権で決まり、サインインしたアカウント単体で決まりません。
分離は変更ごとにテストしており、クロステナント読み取りゼロを目標にしています。
4. サブプロセッサー
サブプロセッサーは可能な限り少数にしています。下の表は調達レビュー用の要約で、ベンダーの法人名、データカテゴリ、処理リージョン、明示的に使っていないものを含む全リストは専用の サブプロセッサー ページに記載しています。
| ベンダー | 用途 | リージョン | 流れるデータ |
|---|---|---|---|
| GitHub | GitHub App プラットフォーム / ダッシュボードへの OAuth サインイン | グローバル (GitHub) | App 経由で読み取るリポジトリ構造、App が書き込む check run と PR コメント、サインイン時の OAuth ID (不透明な GitHub ユーザー ID のみ)。 |
| マネージドクラウドホスティング | Veripsa Core と Veripsa プラットフォームの両方のコンピュートおよびマネージドデータベースホスティング(提供元: Render Services, Inc.) | 米国 | コンテンツフリーな作業セットのすべてのデータはここに保存。ファイル本文もカード情報も保存しません。 |
サードパーティのアナリティクスや広告 SDK は使用していません。サブプロセッサーリストの実質的な変更は サブプロセッサー ページに新しい「最終更新日」とともに反映します。実質的な変更が反映されるまでに 少なくとも 30 日 の予告期間を確保することを目標にしていますが、現時点ではデフォルトのプランにサブプロセッサー通知に関する契約上の SLA はありません。
5. SLA に関する姿勢
Veripsa は現時点で、稼働率に関する契約上の SLA を提供していません。ダッシュボードと GitHub App はベストエフォートで運用しています。
Core App のライブのヘルスチェックは /status で公開しており、リクエストごとにサーバー側のサービスヘルスチェックを実行し、結果を正直に報告します (契約上の稼働率 SLA は主張しません)。評価に正式な稼働条件が必要な場合は、support@veripsa.com までメールしてください。
6. インシデント対応
セキュリティ上の懸念がある事象を報告する場合は support@veripsa.com までメールしてください。再現に十分な情報を含めていただけると助かります。ソースコードやシークレットは貼り付けないでください — Veripsa は設計上コンテンツフリーで、こちらでは必要ありません。報告者向けの全体フロー — 含めるべき情報、調整済み開示までの期間、セーフハーバーに関する姿勢 — は /security/disclosure にまとめています。
- 受領. セキュリティの疑いある報告は、数営業日以内に受領通知を行うことを目標としています。セキュリティと障害は他の問い合わせより優先します。
- トリアージ. スコープと深刻度を評価します。サービス障害を伴う場合は、並行して復旧作業に入ります。
- コンテンツフリーな連絡. インシデントの更新は、何が起きたかを構造的な言葉 (どのサブシステム、どのテナントが影響を受けたか) で記述します。ソースコードやリポジトリの内容を反映することはありません。
- 顧客への通知. ご利用アカウントのデータが影響を受けた場合、わかっていること、行ったこと、検討していただきたい対応を併せてお伝えします。
- 調整済み開示. 公表の前に、こちらで修正と通知を行うための合理的な時間を確保させてください。
公開対象となる重大なサービスインシデントは インシデントログ に掲載します。
公開・検証可能な信頼シグナル
- 組織既定のセキュリティポリシーは GetVeripsa/.github/SECURITY.md として公開されており、GetVeripsa organization のデフォルトです。各 repository が固有の上書き policy を公開している場合は、そちらが優先されます。
- データ境界と GitHub 連携の公開契約は GetVeripsa/veripsa-webhook-spec にあります。ユーザーから見える変更は veripsa.com/ja/whats-new で公開します。
7. DPA に関する姿勢
ベースラインの Data Processing Addendum (DPA) テンプレートは Data Processing Addendum (DPA) で公開しています。署名済み DPA や指定フォームのレビューが必要な場合は、support@veripsa.com までメールしてください。Veripsa Core は設計上コンテンツフリーかつ PII 最小限であるため、DPA のスコープは狭く保たれます (ソースコード本文は保存せず、エンドユーザーの PII も不透明な GitHub ID 以上は扱いません)。
8. 認証とセッション
Veripsa ダッシュボードへのサインインは GitHub OAuth のみです。パスワードは運用しません。
- 永続化する ID 情報. 不透明な GitHub ユーザー ID (不変な数値の sub) のみを永続化します。氏名、アバター、メールアドレスは保存しません。
- スコープ. ID 確認のみ (read:user)。メールスコープはリクエストしません。
- セッション. 署名付き JWT Cookie。不透明なユーザー ID だけを含みます。サインアウトすると Cookie はクリアされます。
- プロバイダ変更. 現在のサインインプロバイダは GitHub OAuth のみです。将来ほかのプロバイダを追加する場合は、利用前に明記します。
9. まだ持っていないもの
現在の状態: 今日時点で、Veripsa は次のものを保持していません:
- SOC 2 (Type I・Type II いずれも)。
- ISO 27001。
- FedRAMP その他の政府クラウド認定。
- HIPAA への対応 — Veripsa は保護対象保健情報 (PHI) の取り扱いを想定して設計されていません。
- デフォルトプランにおける契約上の稼働率 SLA (上の SLA に関する姿勢を参照)。
上記の構造的な姿勢 — 設計上コンテンツフリー、PII 最小限、テナント分離されたストレージ、最小限のサブプロセッサー集合 — が、現時点で Veripsa が提供している内容です。これらのいずれかが導入の前提として必要な場合は、support@veripsa.com までメールいただければ、一緒にスコープを詰めさせていただきます。
法務関連ページ (Privacy / Terms / DPA / Subprocessors / Disclosure) の日本語版は、専門家のレビュー後に提供予定です。現在のリンク先は英語版です。