セキュリティ & コンプライアンス

退屈な部分を、きちんと。

EU 所在、プレビューごとの Firecracker 隔離、TLS 1.3 + AES-256、デフォルトで学習オプトアウト、コード完全所有。詳細は下に — セキュリティ質問票が電話なしで答えを得られるように書きました。

脆弱性を報告DPA をリクエスト →
アーキテクチャ

VULK の作り、6 つの柱で。

データ所在地

本番データベースは PostgreSQL 16 を AWS RDS eu-central-1 (フランクフルト) にホスト。アプリケーションサーバーは EU。静的アセットは CDN 配信。EU 外への顧客レコード移動は明示的な DPA 補遺なしには行いません。

  • データベース:AWS RDS eu-central-1(フランクフルト)
  • アプリサーバー:Hetzner FSN1(Falkenstein, DE)
  • CDN:Cloudflare グローバルエッジ(HTTPS のみ)

生成の隔離

すべてのライブプレビューは専用の Firecracker microVM(独自のカーネル・rootfs・ネットワークネームスペース)で動作。あるプロジェクトが他のプロセスツリー・ファイルシステム・ネットワークを読んだり影響を与えたりすることはできません。VM はセッション後に破棄 — 永続共有状態なし。

  • プレビューごとの Firecracker microVM
  • ネットワーク namespace + iptables の egress フィルター
  • セッション終了時に破棄される一時 rootfs

暗号化

TLS 1.3 を転送中常時。AES-256 を RDS と R2 / S3 で静止時。顧客のシークレットは keychain(アプリ側の環境変数、ログには残さず、API レスポンスにも返しません)。Webhook ペイロードは HMAC 署名。

  • TLS 1.3(HTTPS のみ)
  • 静止時 AES-256(RDS, R2, S3)
  • シークレットはログにも応答にも残さない

AI プロバイダーポリシー

OpenRouter を介して Anthropic、Google、OpenAI などにルーティング。デフォルトはゼロトレーニング設定のプロバイダーへ。Pro 以上ではさらに学習なしのエンドポイントに固定し、クロスセッションキャッシュを無効化。

  • ルーティング先モデルでデフォルトはゼロリテンション
  • Pro 以上で学習なしピン
  • Business 層で BYOK(自前キー)

認証

ユーザー認証は NextAuth + PKCE。Stripe Customer の連携はサーバーサイドのみ。任意 MFA、Business では SAML / OIDC SSO、SIEM への監査ログ配信付き。

  • NextAuth(PKCE, secure-only Cookie)
  • TOTP による任意 MFA
  • Business 層で SAML / OIDC SSO

コード所有権

各プロジェクトはあなたのコード。GitHub または ZIP でエクスポート、自分のインフラで実行、明日キャンセルしてもアプリは動き続けます。出力にライセンスを保有せず、SaaS サブスクの後ろにランタイムを置くこともしません。

  • 完全なリポジトリエクスポート(GitHub または ZIP)
  • 独自ランタイムなし
  • MIT 等あなたの条件でライセンス可
コンプライアンス

コンプライアンスの扱い方。

今やっていること — 持っていない認証は書きません。

  • GDPR整合VULK が管理者です。DPA はリクエストにより提供。サブプロセッサーは開示し、変更時に通知します。
  • データ処理契約提供可Pro と Business プランは無料で送付。Enterprise 条件は 5 営業日以内にレビュー。
  • PCI-DSS対象外 — カード処理は Stripeカードデータは VULK のサーバーに触れません。Stripe Checkout / Elements が PCI スコープをすべて担います。
サブプロセッサー

あなたのデータに触れる他社。

あなたのデータを処理し得るすべての外部サービスを開示する義務があります。変更時の通知は DPA の一部です。

サービス用途リージョン
AWS (RDS, S3)データベース + ストレージeu-central-1(フランクフルト)
Hetzner Onlineアプリケーション + プレビューホスティングFalkenstein, ドイツ
CloudflareCDN、DNS、R2 ストレージ、デプロイグローバルエッジ
Stripe請求 + 決済処理EU + 米国(PCI 準拠)
ResendトランザクションメールEU
OpenRouterAI モデルのルーティンググローバル(ゼロリテンションプロバイダー)
Sentryエラー監視EU
開示

脆弱性を見つけましたか? まずは私たちに。

責任ある開示を歓迎します。メール宛先 security@vulk.dev に、再現手順、期待される挙動と観察された挙動、CVSS 風の重大度評価を添えて送ってください。24 時間以内に確認、72 時間以内にトリアージします。研究者と話すのに NDA は不要です。

Bug bounty の支払いは影響度に応じて個別審査します。公開クレジット(または匿名、選択可)を Changelog で提供します。

security@vulk.dev へメールリーガルハブ →

最終レビュー:April 30, 2026

今日、AIでアプリを作り始めよう

作り始める

プロダクト

機能料金プラン活用事例インテグレーション仕組みショーケース変更履歴

会社情報

VULKについてマニフェスト採用情報お問い合わせ

リソース

ドキュメントブログよくある質問セキュリティSLAステータス

法的情報

利用規約プライバシーCookieGDPR返金アフィリエイトポリシー

© 2026 VULK

VULK セキュリティ — EU 所在、Firecracker 隔離、学習オプトアウト | VULK