セキュリティポリシー

Gmail®の共有アドレス帳は、個人情報を含む連絡先情報を扱っており、その操作は厳しく制限されています。

私たちはデータセキュリティを非常に重要視しており、Google Premium Partnerとして、数多くのセキュリティルールの遵守を求められています。 さらに、金融機関、病院、フォーチュン500社など、最高レベルのセキュリティプロセスを必要とする企業も顧客としています。

セキュリティに対する一般的なアプローチは、EBIOS方式(フランスで主に使用されている方式)に従っています。

当社の顧客データへの不正アクセスを防止するための取り組みは、以下の原則に基づいています。

リスクソース

3大リスクに対応。

  • 社内の個人 従業員および契約社員
  • 外部の個人。 プロバイダー、競合他社、認定された第三者…
  • 人間以外の原因 ウイルス、自然災害、可燃物…。

資産

ハードウェア

データはGoogleCloud(Google Compute Platform Infrastructure)が提供する安全なサーバーにのみ置かれ、他の種類のハードウエア(USB、CD、携帯電話、ローカルコンピューターなど)にデータが転送されることは一切ありません。

データベース

お客様のデータをホスティングするデータベースは、ネットワーク内部で安全にパスワード保護されています。 マネージャーやチームリーダーのみが、ライブデータにアクセスすることができます。 開発者はステージングデータで作業し、ライブデータにアクセスする可能性はない。

データベースとゲートウェイのパスワードは、別のサーバーに保存されるハード暗号化ファイルに保護され、展開のたびにライブサーバーで一度だけ使用されます。


ソフトウエア

サードパーティツール(Mongo DB、Zabbixなど)を必要最低限しか使用しておらず、新しいソフトウェアをインストールするたびに、トロイの木馬やスパイウェアなどの厳しいセキュリティチェックを受けなければならないのです。 データベースと同様に、これらのソフトウエアにアクセスする必要があるユーザーだけが、資格と権限を持ち、使用することができます。

ネットワーク

当社のネットワークは、Googleのアーキテクチャを利用したウェブベースのみです。 セキュリティ管理とアクセス許可を専任で担当する社員が1名います。
インフラアクセス(例えばFTP)は、4段階の制限で保護されています。

  • Googleアカウント(承認されたGoogleメールIDのみがGCPプラットフォームにアクセス可能です。)
  • Googleアカウントの2段階認証 :GCPインフラにログインするユーザーは、SMS認証で本人確認を行う必要があります。
  • IPアドレス : ホワイトリストされたIPアドレスのセットのみ。 在宅勤務のユーザーは、毎日IPアドレスを伝えなければなりません。
  • TOTP(Time-based One-time Password Algorithm:RFC6238で規定)とHOTP(HMAC-based One-time Password Algorithm:RFC4226で規定)による2段階の社内認証を追加し、ユーザー認証に利用する。
  • また、DDosやSQLインジェクションの対策も行っています。
  • また、フィッシングや「クラウドベース」のウイルス(例えば、ファイルを開くためにGoogleアカウントにログインするよう要求するようなもの)を避けるためのトレーニングも行っています。

  • すべての社員と契約社員は、採用前に審査を受けています。 NDAに署名し、セキュリティとプライバシー対策、データ漏洩に関するリスクと罰則について定期的に注意を促しています。
  • 顧客データにアクセスするユーザーは、セキュリティ担当者と管理担当者に厳しく制限されています。
  • 開発チームとサポートチームは、トラブルシューティングとサポート目的でのみ、ユーザーになりすまし、連絡先にアクセスすることができます。
  • サーバーやプラットフォーム上のすべてのアクティビティはログに記録され、監視されています。 異常な活動は直ちに検知され(例えば、従業員が短期間に同じドメインの複数のユーザーに、明白な理由なくなりすますなど)、その活動を正当化する必要があります。