セキュリティポリシー
https://gyazo.com/704cd2b0da5a829a76e5dc7f4b48124c
概要
弊社とユーザーとの信頼関係の基本となるものです。
そのためにここにセキュリティポリシーを定め、公開します。
弊社はセキュリティポリシーを常に見直し、更新し続けるよう努めます。更新日をこの文書の最後に示します。
セキュリティプログラム
従業員への教育
弊社では、定期的に従業員へのセキュリティ講習会を実施しています。
セキュリティ担当者
社内にセキュリティ担当者を置いています。
インシデント対応プログラム
社内で不審な活動を発見した場合に報告するプロセスを明文化しています。
ネットワークのセキュリティ
Cosenseは、ファイアーウォール、負荷分散装置(Load Balancer)を適切に設定して、どのサービスがインターネットに露出するかを制御しています。
弊社は、プロダクション環境のインフラにアクセスできる従業員を制限し、アクセスする際の認証処理も強化しています。
具体的には、すべての認証に二段階認証を設定しています。
転送データの暗号化
お客様のデータの送受信には、業界標準の暗号化技術を使用して保護しています。これは一般的にTLS (Transport Layer Security) また SSL (Secure Socket Layer) と呼ばれている技術です。 これに加え、Cosenseでは HSTS(HTTP Strict Transport Security) にも対応しています。 アカウントのセキュリティ
Cosenseは、Googleアカウント(企業向けのGoogle Workspaceアカウントを含む)によるOAuthを利用してログインが可能です(Cosenseエンタープライズ版は他の認証方法も選択できます)。
GoogleアカウントはGoogle社によって管理されており、非常に安全な認証システムの一つです。
Cosenseは、OAuthのトークンのみを保存しており、パスワードをサーバー上に保存していません。
データのバックアップと存続期間
Cosenseは、バックアップ機能がついており、この機能を有効にしている場合、毎日の差分バックアップを取得可能です。
また、システム全体として8日間の間バックアップがとられています。
電子メールのセキュリティ
Cosenseからメールを受信した際に、実際に弊社から送られたメールであるという安心感をお客様に提供したいと考えています。
弊社が @scrapbox.io から送信するすべてのメールにはDKIMを使用して署名がされています。 Cosenseから届くメールに対する信頼度を向上させるために、弊社では DMARCおよびSPFの基準に準拠しております。 製品のセキュリティ
対象には次のような一般的なアプリケーションセキュリティの問題が含まれます: クロスサイトリクエストフォージェリ (CSRF)、インジェクション攻撃 (XSS、SQLI)、セッション管理、URL リダイレクション、およびクリックジャッキング。
アプリケーションで利用しているライブラリの脆弱性に関して通報を受けることのできるセキュリティサービスを利用しています。
アプリケーションのソースコードには、ユーザーデータにアクセスできるような秘密情報が含まれていません。
データの破棄
お客様の操作によりコンテンツを削除しない限り、コンテンツは弊社にて保持されます。
お客様の操作によりプロジェクトを削除すると、コンテンツは即時にデータベースから削除されアクセス不能になります。
お客様の操作ミスによる誤削除を防ぐ為です。
回復力と可用性
お客様が必要な時に、どこからでも確実にCosenseを使用できるようにするために、PaaSを通じて耐障害性のあるシステムおよびネットワークアーキテクチャを採用しております。
また、リアルタイムの稼働状況およびその履歴を以下にて提供しています:
物理的なセキュリティ
データセンターは、PaaSを利用してクラウド上に構築され、厳格なセキュリティ体制が敷かれています。
弊社スタッフでも立ち入りは不可能です。
サーバーの所在地
この機能は、business projectではデフォルトで作動しません。オプトイン式です。
上記以外の機能は全てアメリカにサーバーがあります。
管理者機能
Cosenseのプロジェクトは、管理者ユーザーと一般ユーザーを分けて管理することが可能です。
管理者は、一般ユーザーの追加と削除ができます。
管理者の権限について情報を公開しています。ヘルプの管理者権限を参照してください。 2020/11/10 公開
2023/6/7 サーバーの所在地を追加