セキュリティとコンプライアンス
最終更新:
オペレーターは nuke.ai 上で実際の資金を動かします。プラットフォームのセキュリティポスチャーは、私たちが支えるすべてのブランドの裏付けとなる保証です。本ページでは、運用している制御、自らに課している基準、そして問題発生時の対応プロセスを記述します。意図的に具体的に書かれています — 曖昧なセキュリティページは、実際には制御を持たないベンダーの目印だからです。
1. データレジデンシー
オペレーターとプレイヤーのデータは、ブランドのライセンス管轄に対応するリージョンに保存されます。EU ブランドは EU リージョン、LATAM ブランドは北米南、アジアブランドは AP リージョン。クロスリージョンレプリケーションはオプトインであり、決してデフォルトではありません。データベースバックアップも同じ地域制約を継承します。リージョン外の DR コピーは、リージョン束縛 KMS キーで保存時暗号化されます。
2. 暗号化
すべての公開エンドポイントで TLS 1.3 と HSTS preload を採用、Perfect-Forward-Secrecy 暗号スイートのみを許可します。保存時データは AES-256-GCM とエンベロープ暗号化を使用 — 決済機器と KYC 記録には列レベルの鍵、その他にはスキーマレベルの鍵。鍵のローテーションは 90 日サイクルで自動、インシデント対応時の手動ローテーションは API 呼び出し 1 回で実行可能です。
3. アクセス制御
オペレーター側のコンソールアクセスには SSO(Google Workspace、Okta、Azure AD)を要求し、MFA を強制します。権限は RBAC、7 つのデフォルトロールに加えてカスタムロールビルダーを提供。すべての管理アクション — 設定変更、出金、KYC オーバーライド、ブランドデプロイ — は不変の監査ログエントリを生成し、オペレーター管理者と nuke.ai サポートの両方がインシデントトリアージ時に確認できます。
4. ペネトレーションテスト
外部ペネトレーションテストは独立した CREST 認定企業により四半期ごとに実施されます。発見事項は内部 CVE レジスタで追跡され、重大/高危険の所見は SLA 内(それぞれ 24 時間/7 日)で修正、エンジニアリング変更履歴に反映されます。非開示部分を伏せた要約は NDA のもとでオペレーターのセキュリティチームに提供されます。
5. 認証
ISO 27001 はロードマップ上。PCI-DSS の範囲はトークン化ゲートウェイに限定されており、オペレーターのカード保有者データが nuke.ai アプリケーションサーバーを通過することはありません。コンプライアンスレポートは NDA のもとで提供されます。
6. 脆弱性開示
セキュリティ研究者は次の宛先まで発見事項を開示できます: [email protected]。72 時間以内の受領、14 日以内の修正ステータス提供、外部研究者への公開セキュリティ変更履歴上での謝辞(任意)をお約束します。
7. インシデント対応
Sev-1 インシデント(オペレーターに影響する障害、データ露出)は 15 分以内に受領、解決まで 30 分ごとにステータスページを更新、5 営業日以内に公開ポストモーテム。Sev-2 インシデント(性能低下、機能部分障害)は 1 時間以内に受領。プラットフォーム全体の現状は次に公開されます: ホームページのステータス帯、リリースごとに更新。
8. お問い合わせ
セキュリティに関するお問い合わせ: [email protected].
一般的なコンプライアンスに関するお問い合わせ: [email protected].