セキュリティ

脆弱性報告窓口 (Responsible Disclosure)

PetaCMS ではセキュリティ研究者・お客様・第三者からの脆弱性報告を歓迎します。報告は以下の窓口までお寄せください。

対応方針 (Service Level)

• 初回応答: 報告受領から 72 時間以内 に確認の返信を行います。
• トリアージ: 重要度評価を 7 日以内に通知します。
• 修正対応: 重要度に応じて 2 〜 8 週間以内の修正を目指します。Critical は可能な限り迅速に対応。
• 公開タイミング: 修正完了後、報告者と協議のうえで公開情報を整理します。

報告時のお願い

• 脆弱性の再現手順、影響範囲、可能であれば PoC を添えてください。
• 個人情報・機密情報を故意に閲覧・取得・改ざん・削除しないでください。
• サービス妨害（DoS）、フィッシング、物理的攻撃、ソーシャルエンジニアリングは本プログラムの対象外です。
• 修正完了まで公開を控えていただけますようお願いします（Coordinated Disclosure）。

評価対象範囲

• https://peta-cms.com（LP・ドキュメント）
• https://app.peta-cms.com（管理画面）
• https://api.peta-cms.com（管理 API）
• https://cdn.peta-cms.com（配信 API / Widget）
• Widget ローダー・公開 SDK のクライアント側実装

※ 第三者サービス（Cloudflare、Stripe、Resend、Google 等）の脆弱性は各社窓口へご報告ください。

セキュリティへの取り組み

• 暗号化: 全通信 TLS、パスワードは不可逆ハッシュ (Argon2id) 保存
• 認証: JWT (EdDSA) + Refresh Token Rotation、sudo モード、Google OAuth / Magic Link
• 認可: site_id 行レベル分離、全 API 認証ミドルウェア経由
• CSRF 防御: Origin / x-csrf-token 二重チェック
• Rate Limit: L1〜L3 の多段制限（auth系は L3=10回/15分）
• サニタイズ: 記事 HTML を公開時にサーバ側でサニタイズ
• 監査ログ: 重要操作を append-only で記録、管理画面から閲覧可能
• インフラ: Cloudflare Workers (Enterprise 級 DDoS 防御、WAF) 上で稼働
• Secret 管理: wrangler secret で暗号化保管、コード・リポジトリには含めない
• PII 除去: Sentry の beforeSend で個人情報を送信前にマスク

GDPR / データ処理契約 (DPA)

EU / EEA / UK のお客様へのサービス提供に関しては、データ処理契約 (Data Processing Agreement) を締結可能です。下記までご連絡いただければ、当社標準 DPA のテンプレートをお送りします。

DPA のお問い合わせ: info@peta-cms.com

※ 当社は副処理者として Cloudflare、Stripe、Resend 等を利用しています。各社の DPA も併せてご確認ください。

API バージョニング・廃止予告ポリシー

• 公開 API は /v1 から提供します。メジャーバージョン変更時は新エンドポイントを追加し、旧エンドポイントを最低 12 ヶ月並行稼働させます。
• 機能廃止 (Deprecation) の際は、最低 6 ヶ月前に当ページ、Changelog、メールでお知らせします。
• 緊急のセキュリティ修正を除き、後方互換性を破壊する変更は事前告知します。

お問い合わせ

セキュリティ関連: security@peta-cms.com
一般: info@peta-cms.com