Insiderのセキュリティ

400以上の企業が、当社を信頼してデータを預けています。GDPRを100%遵守する企業として、データの個人情報保護とセキュリティは、当社の技術と文化の中心となる考えです。当社は最新のセキュリティ機能を構築し、常に徹底した監査を行うことで、すべてのデータとお客様のコミュニケーションの安全を請け負います。データの安全を構築することは、業界を牽引する当社の技術の突出した点であり、その開発手順の基盤を形作るものです。

認証セキュリティ

パスワード管理

当社はパスワードの条件を厳しく定めており、セキュリティ・スタンダードを満たしています:

  • パスワードは、大文字、小文字、数字、特殊文字が混ざった最低8文字からなる文字列とすること。
  • ユーザーネームもしくはパスワードを複数回間違うと、セキュリティ通知が送られます。ユーザーが「パスワードを忘れた場合」というリンクをクリックすると、一時的にリセットされたパスワードのリンクが事前に登録されているユーザーのEメールアドレスに送られます。必要であれば、アカウントを手動でロックすることもできます。
  • 当社のサーバーに記録保存されているエンドユーザーのアカウントパスワードは、無作為なソルトにハッシュ化されています。

二段階認証(2FA)

アカウントのセキュリティを強化するために、二段階認証をオンにすることができます。ご希望の場合は、担当のアカウントマネージャーにご連絡ください。二段階認証をオンにすると、パスワードを知っているだけではお客様のアカウントにアクセスできなくなります。パスワード入力の他に、SMS、Google認証コード、もしくはアプリのAuthyでアクション確認をする必要があります。

認証情報の記録保存の安全性

認証情報はワンウェイ・ハッシュで人間が読めないフォーマットに暗号化された上で記録保存されています。

APIセキュリティ&認証

標準機能として、当社のサービスはSSLで提供されています。高度にセンシティブなサービスは認証が要求され、HTTPS で提供されます。これらのタイプのサービスには、HTTPを使用することはできません。

セッション管理

セッション・タイムアウト

セッションは30分間アクティビティが無いと、時間切れとなります。連続セッションは、1日でタイムアウトになります。

サインアウト

サインアウトすると、お客様のすべてのセッションクッキーは削除され、セッションIDも無効になります。

その他の製品セキュリティ機能

アクセス特権と役割

当社は粒度の細かいアクセス権利を提供しており、各ユーザーごとに、ユーザー管理、共同、編集、閲覧といった異なるレベルの権利が与えられます。

IP制限

当社は特定のユーザーや代理店からのアクセスを防御または限定するために、IPアドレス制限を行うことができます。

IP制限は企業サポートアカウントでのみ可能になっています。この機能をオンにしたい場合、担当のアカウントマネージャーまでご連絡ください。

デバイス追跡

ユーザーが普段と異なるデバイスでサインインすると、これがプロファイルに追加されます。新しいデバイスが追加されるとユーザーにEメールの通知が送られ、このアクティビティが本人によるものかの確認を求められます。

デバイス追跡は企業サポートアカウントのみで利用可能です。この機能をオンにしたい場合、担当のアカウントマネージャーまでご連絡ください。

ネットワークと送信制御

SSL/TLS

当社は業界標準のコミュニケーション暗号化技術を使用しており、すべてのコミュニケーションの安全を確保しています。そのため、すべてのエンドユーザーと当社のコミュニケーションは暗号化されています。当社は通常のアップデートやコンフィギュレーションに、トランスポート層セキュリティ(TLS)を使用しております。

ネットワークセキュリティ

保護

当社はネットワークとアーキテクチャを継続的ににアップデートしています。冗長なファイアウォール、パブリックなネットワークを介しての安全なHTTPS送信、そして最新のルーター技術が採用され、保護を最大化しています。当社は絶えず内部・第三者のコンサルタントによる徹底した監査を行っています。

アーキテクチャ

当社のローカルエリア・ネットワークのアーキテクチャには、追加のセキュリティ層としてDMZが使用されています。DMZは機密度合によって異なるサブネット(データベース、キャッシュ層、もしくはアプリケーションサービス)を持っています。それぞれのゾーンには特定の監視・アクセス制御が用意されています。

DDoS軽減

当社は分散型サービス妨害(DDoS)軽減のために、DDoS対策プロバイダと提携しています。当社は第三者のセキュリティ・コンサルタントとDDoS攻撃のシミュレーションを行っています。また、クラウドフレアを利用して、DDoSやその他のセキュリティ攻撃を防いでいます。

アクセスログ

当社は包括的なアクティビティ監視システムを採用しています。これにより、すべてのアカウントレベルにおける、ユーザーアカウントのサインイン/サインアウト、ユーザー作成、ユーザー許可の設定やパスワードの変更、施策/パーソナリゼーションの作成、削除、更新、開始、停止といったログを記録保存しています。

Insiderのログにアクセスして、ご自身の施策/パーソナリゼーションのコンテンツの詳細な変更履歴を確認したい場合、担当のアカウントマネージャーまでご連絡ください。

データ機密性と業務管理

データへの内部アクセス

当社のサーバーに記録保存されたお客様の訪問者やアカウントデータは、これらの情報が特定の業務に必要な場合(例:カスタマーサポートのため等)を除いて、従業員や契約業者がアクセスすることはできません。もしサーバーへのアクセスが必要な場合、従業員は非常に強固なパスワードもしくは二段階認証を求められます。

業務管理

当社の従業員がサーバー上のデータにアクセスする場合、厳格な規則と規制だけでなく、秘密保持契約に署名して、サーバーへのアクセスの許可を得なくてはいけません。当社のエンジニアは毎年、セキュリティ規約研修への参加を義務付けられています。この研修ではOWASPのトップ10セキュリティ・フロー、一般的な攻撃事例、そして当社のセキュリティ制御が網羅されています。

セキュリティに関する認知

方針

当社の包括的なセキュリティ方針は、従業員と契約業者が閲覧できます。

研修

新入社員研修では、すべての従業員がセキュリティ認知研修の修了が義務付けられています。この研修は毎年行われています。エンジニアもまた、毎年セキュリティ規約研修を受講しています。

提携している第三者のコンサルタントによる徹底したセキュリティ・テストのほかに、当社のセキュリティ対策担当のエンジニアは、定期的に当社のコードベースをテストしてます。このチームはセキュリティの脆弱性となりうる要素を見つけるための研修を受けています。

従業員審査

経歴の確認

当社のサーバーに記録保存されたお客様の訪問者やアカウントデータは、これらの情報が特定の業務に必要な場合(例:カスタマーサポートのため等)を除いて、従業員や契約業者がアクセスすることはできません。従業員によるサーバーへのアクセスの全ては記録・監査されます。不正使用が起きた場合、この従業員は懲戒処分となり、解雇の可能性もあります。2012年4月より、当社の従業員は入社前に経歴の確認を義務付けられています。

秘密保持契約書

全ての新入社員は採用プロセスでセキュリティチェックを受け、秘密保持契約書及び守秘義務契約書への署名を求められます。

エンジニアリングのセキュリティ

製品のセキュリティ概要

当社は第三者によるエンドツーエンド・ユニットを使用した徹底した脆弱性査定と統合テストを受けており、展開制御を受けています。(例 blue-green deployment、変更管理等)

コード査定

当社は最新のセキュリティ機能を構築し、徹底した監査を継続的に行うことで、すべてのデータとお客様とのコミュニケーションが完全に安全であることを請け負います。データの安全を構築することは、業界を牽引する当社の技術の突出した点であり、その開発手順の基盤を形作るものです。当社のエンジニアはチームでコーディングとその見直しを行うことで高い品質を維持しています。当社の自動コードテストはよくある脆弱性を見つけ出し、修正する様デザインされています。当社はコードベースのセンシティブな領域には手動のテストを行い、定期的なセキュリティスキャンを半年ごとに行っています。

可用性コントロール

災害復旧、フェイルオーバー、DR

当社は災害復旧を考慮した上で設計されています。当社はよく知られたクラウドサービスプロバイダであるAmazon Web Services(AWS)を使用しています。災害時のサービス障害リスクを最小化するために、当社はセンシティブなデータを複製して、複数のデータセンターに保存しています。当社の基盤とデータは三つのAWS可用ゾーンにまたがって記録保存されています。災害や失陥の際にも、サービス障害は起きません。

当社は毎日、そして毎週、毎月、データのバックアップを行っています。高度にセンシティブなデータに関しては、毎時のバックアップを行っています。シンガポールに本社を置き、世界に16のオフィスを持つ当社は、災害時にも事業を継続するために、ローカライズされたサービス・サポートを提供します。

事件対応

当社は事件対応チーム結成しており、セキュリティ関連の事件の際には迅速かつ組織的に対応を行います。security@useinsider.com までご連絡ください。

分離コントロール

データ分離

お客様のアカウントはそれぞれ独自のInsiderコードスニペット(JavaScriptクライアント)を所持しています。これにより、お客様のデータは他のお客様のそれと分離されます。複数のドメインをお持ちの場合、マルチドメイン機能をオンにすることで、同じJSのサービスを使用することができます。しかしながら、マルチドメイン機能をオンにして全てのドメインをInsiderと統合しない限り、同じJSを他のドメインで使用することはできません。

全てのお客様のデータは、そのお客様以外には使用、アクセス、サポートできない様になっています。当社がお客様のデータを第三者に売買することはありません。当社のデータ保護に関する方針は、サービス契約とデータ保護契約(DPA)に明確に記載されています。

ユーザーの役割

当社は、お客様がユーザー管理をしやすい様、特定の役割に応じてユーザーの権利レベルを分けています。ユーザーの役割には、ユーザー管理、共同、編集、閲覧があります。同一の施策/パーソナリゼーションを複数のユーザーが使用する場合、各ユーザーに異なる権利を与えることができます。

物理的なセキュリティ

当社のサービスとデータはアイルランドにあるAmazon Web Services(AWS)の施設(eu-west 1)にホストされています。

データセンターへのアクセスは承認された生体認証IDを持った権利のある従業員だけに厳密に限定されています。AWSデータセンターは警備員、ビデオ監視、そのほか業務用のセキュリティ対策によって、物理的に保護されています。

当社の全てのサーバーはバーチャル・プライベート・クラウド(VPC)にあります。不認可の要求を防ぐため、当社はネットワークアクセスコントロールリスト(ACLs)を所持しています。

当社は制作環境をステージング環境から物理的に分離し続け、テストを継続しています。サービスデータは開発やテスト環境では使用されません。

その他の条件

当社のセキュリティ対策に関するご質問は、security@useinsider.com もしくは担当のアカウントマネージャーまでご連絡ください。データの安全を構築することは、業界を牽引する当社の技術の突出した点であり、その開発手順の基盤を形作るものです。そのため、当社のセキュリティ対策は変更されることがあります。変更に応じてこのページも随時更新されます。そのため、このページを頻繁に確認してください。当社のサービスは、サービス条件の条件及び免責事項の支配下にあります。