Rods&Conesのセキュリティステートメント

Rods&Conesは、顧客データの安全性と完全性に焦点を当てた情報セキュリティプログラムを維持しています。この情報セキュリティプログラムは、その事業の規模及び処理する情報の種類に応じた適切な管理、技術及び運用上の統制を含みます。

モニタリング
Rods&Conesは、セキュリティ関連のイベントを記録し、疑わしい活動を警告し、さらに疑わしい活動を分析することによって、システムを監視しています。

論理アクセス制御
顧客データへのアクセスは最小特権原則に基づいて制限され、アクセスは文書化されたアクセス承認プロセスによって発行されます。

ユーザーアクセス審査
ユーザーアカウントの作成から終了までの全ライフサイクルにおいて、ユーザーアクセスを定期的に評価し、ユーザーアカウントの適正性を確保しています。毎月、Rods&Conesアプリケーションは、各ユーザーのアクセス権(役割)、最終アクセス時刻、アクセス頻度を記載したレポートを作成します。このレポートは、アカウントごとに利用可能です。Rods&Cones Platform Operations Managerは、アクセス権が変更された、または不要になったアカウントマネージャーやスーパーアドミンユーザーの役割を変更したり、アクセス権を剥奪したりすることができます。アカウントマネージャーは、自分のアカウントのユーザーに対して同じことを行うことができます。

パーソネルセキュリティ
Rods&Conesは、Rods&Conesのセキュリティおよびデータ・プライバシーに関するトレーニングに参加し、機密保持契約、情報システムの使用に関する合意書、行動規範に署名した熟練した専門家を雇用することを保証しています。人事異動により、最小限の権限と役割に基づくアクセス管理が行われます。

インシデント管理
Rods&Conesは、事業規模に見合った顧客情報を保護するため、セキュリティ・インシデントに対して適切な対応と通知を行う情報セキュリティ・インシデント・マネジメント・プログラムを維持しています。

事業継続方針
Rods&Conesが所有するすべての情報は、データ処理業者によって複数のサイトに複製されたクラウドSAASシステムに保存されています。データの復元については、Rods&Conesのチームがバックアップとリカバリのポリシーを健全に保つようにしています。

ソフトウェア・セキュリティ

ソフトウェアリリースプロセス
SaaSアーキテクチャにより、Rods&Conesのクラウドインフラは1つのバージョンで構成されています。
アジャイル開発プロセスは、マイナーリリースを隔週で、メジャーリリースを四半期で行うよう構成されています。このプロセスには会社のすべてのステークホルダーが参加し、最新のツールでサポートされています。

パスワードのセキュリティ
ユーザーのパスワードは、業界標準のSHA512暗号化で保護されています。私たちは、2段階認証を実施しています。Rods&Conesのスタッフは、ユーザーのパスワードにアクセスすることはできません。ログイン情報は、常にHTTPSで安全に送信されます。

物理的なセキュリティ
データとアプリケーションはMicrosoft Azure上でホストされており、すべてオランダでホストされています。これらのプラットフォームは、最も厳しいセキュリティ標準に準拠しています。

OWASPトップ10
OWASPトップ10でアプリケーションをチェックしました。

暗号化
データは256ビットのAES暗号で保存され、サーバーサイドで復号化されます。

ネットワークセキュリティ
Rods&Conesは、お客様のデータを損失や不正な開示から保護するために、ファイアウォール、侵入検知、アンチウイルスなどのセキュリティコントロールを導入しています。

バックアップとディザスターリカバリー
災害時に再展開が可能なファイルシステムのバックアップを毎日実施しています。

コミュニケーション
クライアントインスタンスへのすべてのWeb接続は、最先端の128ビットSSL暗号化で保護されています。接続にはTLS 1.2が使用されます。接続は、AES_128_GCM 暗号を使用して暗号化および認証されます。

プライバシーに配慮したセキュリティ対策
Rods&Conesのプラットフォームは、ISO 27018の認証を受けたMicrosoft Azureでホストされ、保存されています。データは物理的にオランダでホストされています。

アクセス制御の認証と認可は、ログインパスワードの資格情報に基づき、さらに発信元IPアドレスとターゲットドメイン名に基づく制限を加えて行われます。承認は、管理者やユーザーに付けられたアクセス制御リストに基づいて行われます。

GDPR第32条に記載された制約を満たすため、Rods&Cones:

  • は、個人データの処理に使用されるデータ処理装置への権限のない者のアクセスを拒否するため、マイクロソフト アイルランド オペレーションズ リミテッドに依存しています(機器アクセス制御)。
  • は、データメディアの不正な読み取り、コピー、改ざん、持ち出しを防止するために、先に述べた認証・認可処理に依存する(データメディア制御)。
  • は、データの不正入力や保存された個人データの不正な閲覧、変更、削除を防ぐため、マイクロソフト アイルランド オペレーション リミテッドおよび前にここに説明した適切な認証および認可プロセスに依存しています(保存管理)。
  • は、データ通信機器を使用する権限のない者による自動データ処理システムの使用を防止するために、先に述べた認証および認可プロセスに依存しています(ユーザー制御)。
  • は、自動データ処理システムの使用を許可された者が、そのアクセス権限でカバーされるデータにのみアクセスできることを保証するために、以前ここで説明した認証および認可プロセスに依存しています(データアクセス制御)。
  • は、前述の認証および承認プロセスと、管理ログおよび通信の暗号化により、データ通信機器を使用して個人データがどの機関に送信され、または利用可能になったかを確認および立証することが可能です(通信制御)。
  • は、どの個人データが自動データ処理システムに入力されたか、また、いつ、誰によって入力されたかを検証し、立証することが可能であることを保証するために、前述の認証および承認プロセスと収集チェーン(前述のとおり)に沿った収集データとを組み合わせています(入力管理)。
  • は、個人データの転送中やデータ媒体の移動中に、個人データの不正な読み取り、コピー、変更、削除を防ぐために、暗号化された転送(HTTPS)や暗号化されたzipファイルに依存します(転送制御)。
  • は、インストールされたシステムが中断された場合、復元(リカバリー)できることを保証するために、バックアップ処理に依存しています。
  • は、システムの機能が正常に動作すること、機能に障害が発生した場合に報告されること(信頼性)、および保存されている個人データがシステムの誤動作によって破壊されないこと(完全性)を保証するために、定期的な回帰テストに依存しています。


営業に相談する