組織のセキュリティ
情報セキュリティプログラム
当社は組織全体に周知される情報セキュリティプログラムを実施しています。当社の情報セキュリティプログラムは、SOC 2フレームワークで定められた基準に従っています。SOC 2は、米国公認会計士協会によって作成された広く知られた情報セキュリティ監査手順です。
第三者監査
当社は独立した第三者評価を受け、セキュリティおよびコンプライアンスコントロールをテストしています。
第三者侵入テスト
当社は少なくとも年に1回、独立した第三者による侵入テストを実施し、サービスのセキュリティポジションが妥協されていないことを確認しています。
役割と責任
当社の情報セキュリティプログラムおよび顧客データの保護に関連する役割と責任は明確に定義され文書化されています。チームメンバーは、すべてのセキュリティポリシーを確認して承認する必要があります。
セキュリティ意識向上トレーニング
チームメンバーは、フィッシングやパスワード管理などの業界標準のプラクティスや情報セキュリティトピックをカバーする従業員セキュリティ意識向上トレーニングを受講する必要があります。
機密性
すべてのチームメンバーは、勤務初日前に業界標準の機密保持契約に署名し、遵守する必要があります。
バックグラウンドチェック
当社はすべての新しいチームメンバーに対して、現地法に従ってバックグラウンドチェックを実施しています。
クラウドセキュリティ
クラウドインフラセキュリティ
データホスティングセキュリティ
当社のすべてのデータはGCPおよびMUXのデータベースにホストされています。これらのデータベースはすべてアメリカ合衆国にあります。詳細については、上記のベンダー固有のドキュメントを参照してください。
静置時の暗号化
すべてのデータベースは静置時に暗号化されています。
転送時の暗号化
当社のアプリケーションは、TLS/SSLでのみ転送時に暗号化されます。
ログ記録と監視
当社はさまざまなクラウドサービスを積極的に監視および記録しています。
事業継続性と災害復旧
ハードウェアの障害が発生した場合のデータ損失のリスクを軽減するために、データホスティングプロバイダのバックアップサービスを利用しています。ユーザーに影響を与える障害が発生した場合には、チームに通知するための監視サービスを利用しています。
インシデント対応
情報セキュリティイベントの対処プロセスを持っており、エスカレーション手順、迅速な緩和措置、およびコミュニケーションを含んでいます。
AI
データ解析に必要なデータを使用するAIシステムを使用していますが、そのデータに対するすべてのデータトレーニング許可を無効にしています。お客様データを保護するためにすべてのプライバシー設定を構成しています。詳細については、以下のベンダーポリシーをご覧ください:OpenAI Enterprise、OpenAI TrustおよびVertexAI
データ分離
当社は管理するすべてのサービスとデータに対して仮想プライベートクラウド(VPC)を利用し、クラウドプロバイダの他のユーザーやインターネット全体からそれらを分離しています。
当社のVPCでは、共有マルチテナント環境としてアーキテクチャが構築されています。複数の顧客のデータが単一のデータベースやクラウドストレージアカウントに結合され、共有コンピュートリソース上で処理される可能性があります。
当社のサービスを介した顧客アクセスでは、認証されたユーザーがアクセス権を付与されたRBACロールに基づいてアクセスを認可されたデータのみが、当社のVPC外に配信されるようにデータアクセスアーキテクチャが構築されています。
アクセスセキュリティ
権限と認証
クラウドインフラストラクチャやその他の機密ツールへのアクセスは、役割に必要な権限を持つ許可された従業員に制限されています。
利用可能な場合は、クラウドサービスへのアクセスが保護されるように、2要素認証(2FA)と強力なパスワードポリシーを適用しています。
最小特権アクセス制御
アイデンティティとアクセス管理に関しては、最小特権の原則に従っています。
四半期ごとのアクセスレビュー
機密システムにアクセス権を持つすべてのチームメンバーに対する四半期ごとのアクセスレビューを実施しています。
パスワード要件
すべてのチームメンバーは、アクセスに必要な最小限のパスワード要件と複雑さに従う必要があります。
パスワードマネージャ
当社が発行するすべてのノートパソコンには、チームメンバーがパスワードを管理し、パスワードの複雑さを維持するためのパスワードマネージャが搭載されています。
ベンダーおよびリスク管理
年次リスクアセスメント
少なくとも年次のリスクアセスメントを実施し、詐欺などの潜在的な脅威を特定しています。
ベンダーリスク管理
ベンダーリスクが判断され、新しいベンダーを承認する前に適切なベンダーレビューが実施されます。
お問い合わせ
ご質問、コメント、懸念事項がある場合、または潜在的なセキュリティ問題を報告したい場合は、[email protected]までご連絡ください。