短い回答: お客様の分析データはEU内に存在します。プライマリーデータベースはSupabaseによってフランクフルト(eu-central-1)でホストされ、エッジリクエストはCloudflareのグローバル分散ネットワークによって配信され、欧州の訪問者に対してはEU内のPoint-of-Presence(POP)が最も近いホップを担当します。
プライマリーストレージ:EU(フランクフルト)
お客様の分析イベント、訪問者レコード、サイト、チームデータ、監査ログを保持するSupabase Postgresデータベースは**eu-central-1(ドイツ・フランクフルト)**で稼働しています。これはプランに関わらず、すべてのZenovayのお客様に当てはまります。
Postgresにコミットされたデータは、EU内に留まります。バックアップは保存時に暗号化され、同じリージョンに保存されます。
エッジ:グローバル分散、EU居住の永続化
トラッキングリクエストは、低遅延のため最も近い利用可能なPoint-of-Presenceで動作するCloudflare Workersによって処理されます。Workerはデータを永続化しません — イベントを検証してEUのプライマリーストレージに転送します。フランクフルト、アムステルダム、パリ、ロンドンのPOPが欧州トラフィックの典型的なホップです。
KV(レート制限カウンター、リアルタイム訪問者数)は地理的に複製されますが、エフェメラルなキャッシュとして扱われます — 機密性のあるものはすべてKVに格納される前にハッシュ化され、KVエントリは短いTTLで失効します。
国際移転
一部の副処理者は米国を拠点とし、お客様のデータの一部を処理します:
- Stripe(決済) — 請求用メールアドレス、決済方法のメタデータ。PCI DSSレベル1認証取得済み。
- Resend(トランザクションメール) — お客様のメールアドレスとメッセージ本文。
- OpenAI via Cloudflare AI Gateway(AI Insightsとチャット機能、ご利用時のみ) — お客様が送信する自然言語クエリと、回答に必要な分析データの一部(編集済み)。
これらの移転については以下に依拠しています:
- 受信者がDPF認証を取得している場合のEU・米国データプライバシーフレームワーク(DPF)。
- バックアップメカニズムとしての、追加の技術的措置を伴う標準契約条項(SCC)。
副処理者の完全リストとそれぞれの国際移転メカニズムは当社のDPA/法務ページに公開されています。
分析イベント自体はどうですか?
訪問者イベント(ページビュー、カスタムイベント、地理位置情報、ハッシュ化されたID)は、以下の2つの場合を除き、EUのプライマリーストレージから出ることはありません:
- ダッシュボードまたはAPI経由でエクスポートする場合 — その場合、エクスポート先はお客様が制御します。
- AI Insights機能を有効にした場合 — 説明を生成するためにOpenAIに編集済み集計が送信され、トレーニングのために保持されることはありません。