組織的なセキュリティ
情報セキュリティプログラム
- 私たちは、情報セキュリティプログラムを導入し、組織全体に周知しています。当社の情報セキュリティプログラムは、SOC2フレームワークが定める基準に準拠しています。SOC 2 は、米国公認会計士協会が策定した情報セキュリティ監査手順として広く知られています。
第三者監査
- 当組織は、独立した第三者による評価を受け、当組織のセキュリティおよびコンプライアンス管理をテストしています。
第三者によるペネトレーションテスト
- 私たちのサービスのセキュリティ姿勢が損なわれていないことを確認するために、少なくとも年に一度、独立した第三者によるペネトレーションを実施しています。
役割と責任
- 当社の情報セキュリティプログラムおよび顧客データの保護に関連する役割と 責任は、明確に定義され、文書化されています。当社のチームメンバーは、すべてのセキュリティポリシーを確認し、受け入れることが要求されます。
セキュリティ意識向上トレーニング
- 当社のチームメンバーは、業界標準の慣行やフィッシング、パスワード管理などの情報セキュリティのトピックを網羅した従業員セキュリティ意識向上トレーニングを受けることが義務付けられています。
機密保持
- すべてのチームメンバーは、初出勤前に業界標準の機密保持契約書に署名し、これを遵守することが義務付けられています。
バックグラウンドチェック
- 当社は、現地の法律に従って、すべての新入社員に対してバックグラウンドチェックを実施しています。
クラウドセキュリティ
クラウドインフラストラクチャーのセキュリティ
- 当社のサービスはすべて、Amazon Web Services(AWS)とGoogle Cloud Platform(GCP)でホスティングされています。これらの企業は、複数の認定を受けた堅牢なセキュリティプログラムを採用しています。プロバイダーのセキュリティプロセスの詳細については、AWSセキュリティと GCPセキュリティを参照してください。
データホスティングセキュリティ
- 私たちのデータはすべて、Amazon Web Services(AWS)およびGoogle Cloud Platform(GCP)のデータベースでホストされています。これらのデータベースはすべて米国に位置しています。詳細については、上記のリンク先のベンダー固有のドキュメントを参照してください。
Encryption at Rest
- すべてのデータベースは、静止時に暗号化されます。
Encryption in Transit
- 私たちのアプリケーションは、TLS/SSLのみで転送中の暗号化を行います。
脆弱性スキャン
- 私たちは脆弱性スキャンを実施し、脅威を積極的に監視しています。
ログと監視
- 各種クラウドサービスを積極的に監視し、ログを記録しています。
事業継続と災害復旧
- データホスティングプロバイダーのバックアップサービスを利用し、ハードウェア障害時のデータ損失のリスクを低減しています。また、監視サービスを利用し、ユーザーに影響を与える障害が発生した場合に、チームに警告を発します。
インシデントレスポンス
- 当社は、エスカレーション手順、迅速な緩和、コミュニケーションを含む、情報セキュリティイベントの処理プロセスを有しています。
アクセスセキュリティ
権限と認証
- クラウドインフラやその他の機密ツールへのアクセスは、役割上必要な権限のある従業員に限定されます。利用可能な場合は、シングルサインオン(SSO)、2要素認証(2FA)、強力なパスワードポリシーにより、クラウドサービスへのアクセスが確実に保護されるようにしています。
最小特権アクセス制御
- 私たちは、アイデンティティとアクセス管理に関して、最小特権の原則に従います。
四半期ごとのアクセスレビュー
- 私たちは、機密性の高いシステムにアクセスできるすべてのチームメンバーについて、四半期ごとにアクセスレビューを実施しています。
パスワードの要件
- すべてのチームメンバーは、アクセスに必要なパスワードの最小限の要件と複雑さを遵守することが要求されます。
パスワードマネージャー
- 会社が発行するすべてのノートパソコンは、チームメンバーがパスワードを管理し、パスワードの複雑性を維持するためにパスワードマネージャーを利用しています。
ベンダーとリスク管理
年1回のリスクアセスメント
- 不正行為への配慮を含め、潜在的な脅威を特定するために少なくとも年1回のリスクアセスメントを実施しています。
ベンダーのリスク管理
- ベンダーの リスクを判断し、新しいベンダーを承認する前に適切なベンダーのレビューを行います。
お問い合わせ
ご質問、ご意見、ご感想がある場合、またはセキュリティ上の問題の可能性を報告される場合は、security@joor.com までご連絡ください。
