当社は組織全体に周知される情報セキュリティプログラムを実施しています。当社の情報セキュリティプログラムは、SOC 2フレームワークで定められた基準に従っています。SOC 2は、米国公認会計士協会によって作成された広く知られた情報セキュリティ監査手順です。

当社は独立した第三者評価を受け、セキュリティおよびコンプライアンスコントロールをテストしています。

当社は少なくとも年に1回、独立した第三者による侵入テストを実施し、サービスのセキュリティポジションが妥協されていないことを確認しています。

当社の情報セキュリティプログラムおよび顧客データの保護に関連する役割と責任は明確に定義され文書化されています。チームメンバーは、すべてのセキュリティポリシーを確認して承認する必要があります。

チームメンバーは、フィッシングやパスワード管理などの業界標準のプラクティスや情報セキュリティトピックをカバーする従業員セキュリティ意識向上トレーニングを受講する必要があります。

すべてのチームメンバーは、勤務初日前に業界標準の機密保持契約に署名し、遵守する必要があります。

当社はすべての新しいチームメンバーに対して、現地法に従ってバックグラウンドチェックを実施しています。

当社のサービスとデータストレージはすべてGoogle Cloud Platform（GCP）およびMUXでホストされています。両社は複数の認証を取得した堅牢なセキュリティプログラムを採用しています。プロバイダのセキュリティプロセスの詳細については、以下のリンクをご覧ください：GCPセキュリティおよびMUX

当社のすべてのデータはGCPおよびMUXのデータベースにホストされています。これらのデータベースはすべてアメリカ合衆国にあります。詳細については、上記のベンダー固有のドキュメントを参照してください。

すべてのデータベースは静置時に暗号化されています。

当社のアプリケーションは、TLS/SSLでのみ転送時に暗号化されます。

当社はさまざまなクラウドサービスを積極的に監視および記録しています。

ハードウェアの障害が発生した場合のデータ損失のリスクを軽減するために、データホスティングプロバイダのバックアップサービスを利用しています。ユーザーに影響を与える障害が発生した場合には、チームに通知するための監視サービスを利用しています。

情報セキュリティイベントの対処プロセスを持っており、エスカレーション手順、迅速な緩和措置、およびコミュニケーションを含んでいます。

データ解析に必要なデータを使用するAIシステムを使用していますが、そのデータに対するすべてのデータトレーニング許可を無効にしています。お客様データを保護するためにすべてのプライバシー設定を構成しています。詳細については、以下のベンダーポリシーをご覧ください：OpenAI Enterprise、OpenAI TrustおよびVertexAI

当社は管理するすべてのサービスとデータに対して仮想プライベートクラウド（VPC）を利用し、クラウドプロバイダの他のユーザーやインターネット全体からそれらを分離しています。

当社のVPCでは、共有マルチテナント環境としてアーキテクチャが構築されています。複数の顧客のデータが単一のデータベースやクラウドストレージアカウントに結合され、共有コンピュートリソース上で処理される可能性があります。

当社のサービスを介した顧客アクセスでは、認証されたユーザーがアクセス権を付与されたRBACロールに基づいてアクセスを認可されたデータのみが、当社のVPC外に配信されるようにデータアクセスアーキテクチャが構築されています。

クラウドインフラストラクチャやその他の機密ツールへのアクセスは、役割に必要な権限を持つ許可された従業員に制限されています。

利用可能な場合は、クラウドサービスへのアクセスが保護されるように、2要素認証（2FA）と強力なパスワードポリシーを適用しています。

アイデンティティとアクセス管理に関しては、最小特権の原則に従っています。

機密システムにアクセス権を持つすべてのチームメンバーに対する四半期ごとのアクセスレビューを実施しています。

すべてのチームメンバーは、アクセスに必要な最小限のパスワード要件と複雑さに従う必要があります。

当社が発行するすべてのノートパソコンには、チームメンバーがパスワードを管理し、パスワードの複雑さを維持するためのパスワードマネージャが搭載されています。

少なくとも年次のリスクアセスメントを実施し、詐欺などの潜在的な脅威を特定しています。

ベンダーリスクが判断され、新しいベンダーを承認する前に適切なベンダーレビューが実施されます。