セキュリティ
セキュリティ
EasyAnnounceは、最新の手法と技術を用いて安全性に配慮して構築しています。
このページの英語版が、当社のセキュリティ方針の正式版です。翻訳版は情報提供のみを目的としています。
はじめに
このページの記載は当社のセキュリティ体制を示すものであり、セキュリティを重視していることをお伝えするためのものです。
前提
当社は、お客様のセキュリティ要件に対して期待に沿えるよう努めています。ただし、より高い要件がある場合は、対応時期や変更の可能性についてご相談ください。
責任ある脆弱性開示
プラットフォームの脆弱性に関する専門的なご報告は歓迎し、感謝しています。ただし、バグバウンティプログラムは実施していません。確認された問題の解決に努め、公開された場合はクレジットをお付けします。
お客様のWebブラウザまたはアプリケーション、当社サイト、APIゲートウェイ、ワーカーサーバー、信頼できる第三者プロバイダー間のすべてのリクエストは、HTTPSで通信時に暗号化されています。強力な暗号方式(AES-256)と、SHA-256以上を用いた証明書署名(RSAまたはECDSA)を使用しています。TLS1.2以上の接続のみをサポートしています。
当社のプライベートCDNとデータベースは、いずれも通信時および保存時に暗号化されています。SOC2 Type 2およびHIPAAに準拠しています。アナウンス依頼や名前検索に含まれるお客様の名前や詳細情報は、そのアナウンスまたは名前検索の処理期間を超えて保存しません。
当社のWebアプリで使用しているデータベースは、データ分離に関するエンタープライズ要件に対応しやすいよう、Row Level Security(RLS)を採用しています。組織IDは、このデータベース外で使用する前に必ずハッシュ化されます(例: クォータ制御やAPIゲートウェイ管理)。
フロントエンドとバックエンドの両方を専用のWeb Application Firewallで保護し、必要最小限のアクセスのみを設定しています。ボットやDDoS攻撃による影響を抑えるルールも適用しています。
決済処理とサブスクリプション管理にはStripeを使用しています。お客様のカード情報は保存も処理もしていません。当社はPCI DSSのSAQ Aカテゴリの加盟店です。
想定されるPCI-DSS(SAQ-A)の加盟店要件に対応するため、フロントエンドWebサイトを四半期ごとにスキャンしています。見つかった問題は48時間以内の解決を目指しています。
バックエンドAPIサーバーとWebサイトについて、重要なソフトウェア更新の確認と適用を定期的に行っています。重要度の低いパッチは、通常の開発更新やパフォーマンス改善とあわせて適用しています。
APIプラットフォームとフロントエンド上の当社ソフトウェアコードに影響するCVEを監視しています。重大な問題(CVE >9.0)は、把握後48時間以内の対応を目指しています。
すべての管理システムでは、MFAとチームメンバーごとの個別アカウントが必要です。
当社は、所在地とコンプライアンスを基準に第三者サプライヤーを選定しています。利用している各プロバイダー(データベース、データセンター、音声合成生成プロバイダー)は、いずれもSOC 2 Type 2、GDPR、HIPAAに準拠しています。
現在、当社のデータベースはカナダとEUに配置しており、お客様のGDPR要件に対応しやすい構成です。インフラサーバーとWebサーバープロバイダーはいずれもEU-US Data Privacy Frameworkに登録され、稼働しています。
当社は新しいスタートアップであり、サービスをできる限り堅牢かつ安全に構築しています。これにより、将来的な拡張にも対応しやすく、お客様やコンプライアンス要件にも応えられると考えています。まもなくSOC2 Type 1監査を受ける予定です。セキュリティに関する質問票も歓迎しますので、より詳しくご質問にお答えできます。お問い合わせページからご連絡ください。
お問い合わせ先
詳細情報やコンプライアンスに関するご依頼は、お問い合わせページからご連絡ください。