再委託先一覧
バージョン 1.0.0 — 最終更新日 2026年5月20日
規則 (EU) 2016/679(「GDPR」)第28条に基づき、Cardonaut SASはサービス提供のために以下の再委託先を利用しています。変更がある場合は、本番反映前に本ページで通知します。
EU域外への移転: 再委託先がEU域外に所在する場合、移転は欧州委員会が採択した標準契約条項(決定2021/914)により、また認定を受けた米国の再委託先についてはデータプライバシーフレームワーク(EU-US DPF)により規律されます。
セキュリティ: 各再委託先はGDPR第28条3項に基づく十分な契約上の保証(DPA、通信時および保管時の暗号化、ログ記録、組織的措置)を提供します。
| 再委託先 | サービス | 所在地 | 移転メカニズム |
|---|---|---|---|
| Hetzner Online GmbH | Back-end hosting (NestJS), MongoDB database, Meilisearch, AI services, monitoring | Germany (EU) | EU hosting — no transfer outside the EU |
| Stripe Payments Europe, Ltd. | Card payment processing (shop checkout) | Ireland (EU) — onward flows to Stripe Inc. (United States) | Standard Contractual Clauses (SCCs) + Data Privacy Framework (DPF) |
| Mondial Relay SAS | Parcel-locker and home delivery (order fulfilment) | France (EU) | EU sub-processor — no transfer outside the EU |
| Apple Distribution International Ltd | iOS app distribution, in-app purchases, receipt validation | Ireland (EU) — limited flows to Apple Inc. (United States) | SCCs + DPF |
| Google Ireland Limited | Android app distribution, Firebase Cloud Messaging (push notifications), Firebase Analytics | Ireland (EU) — onward flows to Google LLC (United States) | SCCs + DPF |
| Anthropic, PBC | Cardo IA conversational assistant (Claude Sonnet/Opus) — processing of user messages and contexts | United States | SCCs |
| Google LLC (Gemini API) | Card OCR (text extraction) inside the scan pipeline, user-facing hint generation | United States | SCCs + DPF |
| OpenAI, L.L.C. | Vector embeddings (Cardo IA hybrid search) — user prompts not retained on OpenAI side | United States | SCCs + DPF |
| RevenueCat, Inc. | In-app subscriptions management (legacy — the app has been free since April 2026) | United States | SCCs + DPF |
| GlitchTip (self-hosted on Hetzner) | Crash and error reporting (open-source equivalent of Sentry) | Germany (EU) — self-hosted instance | No transfer outside the EU |
| Grafana Loki (self-hosted on Hetzner) | Server log centralisation | Germany (EU) — self-hosted instance | No transfer outside the EU |
| Logto | Authentication for the staff back-office (not used for mobile user accounts) | EU | No transfer outside the EU |
| Discord, Inc. | Monitoring alert webhooks to the staff channel (no user data — technical metadata only) | United States | SCCs + DPF |
変更の通知: 再委託先の追加または重要な変更は、効力発生の少なくとも15日前に本ページで公表されます。ユーザーは [email protected] 宛に理由を付して異議を申し立てることができます。
お問い合わせ: 再委託先またはデータの国際移転に関するご質問は [email protected] までご連絡ください。