passkey (WebAuthn) / magic link / email OTP / Google OAuth を標準装備。パスワードは fallback として bcrypt hash で保存。
XDEAL · TRUST CENTER
Trust Center
XDEAL は M&A という機微情報を扱うプラットフォームとして、認証 / 認可 / データ保護 / コンプライアンスを設計の核に据えています。本ページでは現在の security posture を公開します。
認証 (Authentication)
TOTP-based 2FA + バックアップコード (AES-256 暗号化保存)。管理者は 2FA 必須。
HttpOnly + Secure + SameSite=Lax + __Host- prefix cookie。30 日 expire / 24h sliding refresh。本人による端末別 revoke 可能。
未知の IP+UA から login があった場合、本人の登録 email に通知 (audit-log 同時記録)。
認可 (Authorization)
owner / editor / viewer / advisor の 4 段階。owner のみが invite / 役職変更 / org 削除を行える。
案件ごとに access を絞り込む team モード。lead / contributor / observer / advisor の権限グラデーション。
LP 公開 / Deal 進行 / 機密書類開示などの重要 action に 2-owner 承認 gate を設定可能。
データ保護 (Data protection)
通信は TLS 1.3 のみ。保存時は Neon (PostgreSQL) で encryption at rest。2FA secret / backup codes は対称鍵 (BETTER_AUTH_SECRET, 32+ char) で暗号化。
audit_log table は Postgres trigger で UPDATE / DELETE / TRUNCATE を物理的に block。改ざん不可。
PDF DL 時に viewer email + 時刻を全ページにオーバーレイ (watermark)。誰がいつ何を DL したか access_log に永続記録。
stealth seller LP のページ render ごとに viewer (user / org / IP) を記録。owner はリアルタイム閲覧者リストを参照可能。
コンプライアンス
第 33 条 (開示請求) → /api/me/export で全データを zip JSON 一括 download。第 35 条 (利用停止請求) → /buyer/profile/danger で 30 日 grace + 自動 anonymize。
ToS / Privacy Policy / NDA は version 単位で受諾 record。新版公開時は modal で再同意を強制。
Type I 取得を 2026 Q4 目標。現在は Vercel (SOC 2 Type II 取得済) + Neon (SOC 2 Type II 取得済) インフラ上で運用。
インフラ (Infrastructure)
Vercel (US edge), production deploy は東京 + シンガポール region から提供。
Neon PostgreSQL (Singapore region). Point-in-time recovery 30 日。daily backup verified.
Resend 経由 (AWS SES backed)。SPF / DKIM / DMARC 認証済 domain (xdeal.4s.link) から送信。
Vercel Blob (機密文書 / 画像)。public access URL は audit-log 経由でしか発行されない。
Sentry でエラー監視、pino structured logging、Vercel Log Drains で長期保管。
問い合わせ
xdeal@4s.link 宛にご連絡ください。Coordinated disclosure 対応。
DPA / sub-processor list / 監査レポートはエンタープライズ契約時に提供します。