原則

Gravenosは、サービス提供に必要最小限のデータを収集し、その提供に整合する最小限の期間にわたり保持し、合理的な専門職が当然期待するであろう統制によって保護するという原則のもとに、データを扱います。

私たちはデータを販売いたしません。マーケティング・パートナーとデータを共有することもいたしません。行動ターゲティング広告も用いません。これらは宣伝上の謳い文句ではなく、アーキテクチャ上の確約であり、しかるべき統合が弊社コードベースに存在しないことから明白に示されます。

保有するデータ

コーポレートサイト（gravenos.com）では、ニュースレター購読者の電子メールアドレスおよびお問い合わせフォーム送信内容を収集いたします。Drususプラットフォーム（drusus.ai）では、サブスクリプション製品の運営に必要なデータ — アカウントID（電子メールおよびパスワードのハッシュ）、利用者が記録を選択したポートフォリオの内容、ウォッチリスト、アラート設定、ならびに分析履歴 — を保持しております。

決済データはStripeによって処理されます。Gravenosはカード番号、CVC、または銀行口座詳細を自らのサーバーに保管しておりません。当該データが弊社システムを通過することのないよう、統合は設計されております。

インフラストラクチャ

弊社のデータベースおよび認証レイヤーはSupabaseによってeu-north-1リージョンで運用されております。Drususプラットフォームおよびgravenos.comウェブサイトはVercel上に展開されております。電子メールはResendを通じて送信されます。ドメインはCloudflareにて登録されております。決済はStripeによって処理されます。

これら各事業者は、認知されたセキュリティ基準を遵守して運営されております。いずれもGravenosに固有のものではなく、それぞれの分野において確立された信頼の置ける選択肢であるとの判断により採用しております。この選択に伴うトレードオフは、弊社のセキュリティ態勢が、一定程度それら事業者の態勢の関数になるという点です。利用者に何らかの蓋然的影響を及ぼし得る事業者の事象は、開示いたします（ニュースのセクションをご参照ください）。

認証

Drususプラットフォーム上のアカウントは、電子メールとパスワードにより認証されます。パスワードはソルト付きハッシュとして保管され、利用者の平文パスワードを取得することは、できません。主要プロバイダーを通じたシングル・サインオンが利用可能です。多要素認証は公開ローンチに先立って導入されます。

規制上の立場

Gravenosは英国にて登記されております。DrususプラットフォームはFCAの規制上の境界における意味での投資助言を生成するものではなく、分析的論評、シナリオモデル、リスク計算を生成するものです。当社は所定の時期に、FCAイノベーション・ハブに対し本境界に関する立場の正式な確認を求める予定です。当該手続きが完了するまで、本ページに記す立場は、弁護士による金融免責事項のレビューに支えられた、弊社の最善の専門的判断であります。

データ保護コンプライアンスは、UK GDPRおよび2018年データ保護法のもとに遂行されます。情報コミッショナー事務局（ICO）への登録は手続中です。

事象の開示

Gravenosのシステムに影響を及ぼすセキュリティ事象、あるいはGravenosの利用者に蓋然的影響を及ぼす形で第三者事業者に影響する事象が発生した場合、私たちは事実が許す限り速やかに本ウェブサイトのニュース欄に通知を公表し、調査の進捗に応じて当該通知を更新いたします。

私たちは、何も伝わらないほど曖昧に表現された初期通知を発出する慣行には与しません。事実が不確かなところは、不確かと申し上げ、データが影響を受けたか否かが不明なところは、どちらが不明かを申し上げ、範囲が未詳のところは、判明していることと判明していないことを申し上げます。当然の帰結として、弊社の通知は業界の通常よりも長くなるかもしれません。それが正しいトレードオフであると考えております。

脆弱性の報告

Gravenosのいずれかのシステムにおいてセキュリティ脆弱性をご確認になった場合、詳細を legal@gravenos.com までお知らせくださいますようお願い申し上げます。ご報告に対し受領の旨をお伝えし、解決後には適切と判じられる場合に当該発見を公に謝意とともに記載いたします。