あなたのドキュメントを保護する実際の管理策。

AES-256による保存時暗号化

アップロードされたドキュメントは、デフォルトでSSE-S3サーバーサイド暗号化を使用してMinIOに書き込まれます。本番環境（Railway）ではKMSが有効なMinIOが動作するため、SSE-S3が常に適用されます。KMSがない非サポートのセルフホストデプロイメントでは、MinIOが暗号化なしの書き込みにフォールバックする可能性がありますが、これはデプロイメントの選択であり、本番環境での黙示的な機能ダウングレードではありません。

backend/app/services/storage_service.py · upload_file()

転送中のTLS 1.2+

ブラウザからVercelエッジ、エッジからRailwayバックエンド、バックエンドからLLMプロバイダーまでのすべてのネットワークホップでTLSが使用されます。APEXドメインには、max-age=63072000およびincludeSubDomainsが設定されたHSTSが設定されています。

お客様のデータはトレーニングに使用されません

DocTalkはLLMコールをOpenRouter経由でルーティングします。お客様のドキュメントや質問は、DocTalkがモデルのトレーニングに使用することは決してありません。プロバイダー側の保持は、アップストリームモデル（DeepSeek / Mistral）によって異なります。保持ゼロを保証するために、現在はOpenRouterのアカウントレベルのプライバシー設定（運用上の制御で、リクエストレベルではまだコードで強制されていません）に依存しており、リクエスト時にプロバイダーの許可リストを使用してさらに強化することが可能です。

マジックバイトによるファイル検証

アップロードされたファイルは、ファイル拡張子ではなくファイル署名バイト（マジックバイト）に対して検証されます。実行可能ペイロードが含まれた.pdfファイルは取り込み時に拒否されるため、ファイル名を変更してパーサーを欺くことはできません。

backend/app/services/upload_service.py · magic-byte check

URL取り込み時のSSRF対策

要約するためにURLをドロップすると、バックエンドはターゲットを公開ホストの許可リストと照合し、プライベートIP範囲、リンクローカルアドレス、またはクラウドメタデータエンドポイント（169.254.169.254など）へのリクエストを拒否します。

backend/app/core/url_validator.py

匿名エンドポイントのレート制限

公開エンドポイント（共有ビュー、匿名読み取り）には、IPごとのレート制限が適用されます。実際のクライアントIPは、Vercelエッジからバックエンドに、リクエストごとのタイムスタンプにバインドされたHMAC-SHA256署名付きで転送されるため、バックエンドはプロキシの送信元を認証し、ヘッダー偽造の試みを拒否できます。これは、アクティブな通信路上のMITMに対する防御ではありません。TLSがその層を担います。認証済みユーザーはIPレート制限をバイパスします。

backend/app/core/rate_limit.py · shared_view_limiter, anon_read_limiter

全データのエクスポート

プロフィール → アカウントから、すべてのドキュメントとセッションデータをエクスポートできます。このエクスポートには、DocTalkがお客様について保存しているすべてのデータがポータブル形式で含まれます。

アカウント削除

プロフィール → アカウントからアカウントを削除できます。すべてのドキュメント、セッション、チャット履歴、埋め込み、および請求記録が削除され、削除後にアカウントを復元することはできません。

ユーザー分離

すべてのドキュメントとセッションは、データベースおよびベクターストア層で所有者のuser_idにスコープされます。共有名前空間はなく、デフォルトで組織全体のコレクションもありません。分離はクエリ時に強制され、レンダリング時だけではありません。