データ保護とデータセキュリティ

データセキュリティが重要な理由とアッピーパイでの意味

デジタルの世界では、データセキュリティの重要性は、お客様だけでなく、その顧客にとっても非常に重要です。 どの段階においても、データの脆弱性はエコシステム全体に深刻な影響をもたらす可能性があります。

経営者として、製品やサービスを顧客に提供するサービスやプラットフォームを選ぶとき、基本的にあなたと顧客の間のリンクを選んでいることになります。 このため、プラットフォームが最適なセキュリティ基準を遵守し、お客様のデータから収集するすべての機密データに保護を提供するための適切な認証を受けていることが重要です。 このデータには、電子メールアドレス、住所、連絡先、支払情報、またはその他の機密データが含まれる場合があります。

お客様には、業務上提供されたデータが安全に保管され、倫理的に取り扱われ、お客様の認識や同意なしに誰とも共有されないよう、責任を負っていただく必要があります。

アッピーパイでは、厳しいセキュリティ対策を行い、どの段階でもプロセスに脆弱性がないことを確認することに専念しています。 AppyPie.comは、すべてのインタラクションを通じて、エンタープライズクラスのセキュリティとコンプライアンスを顧客に提供することを支援します。

AppyPie.comでは、お客様を不謹慎な行為から守るために、以下のような認証とコンプライアンス対策をとっています。

PCI DSS コンプライアンス

アッピーパイが使用している決済ゲートウェイは、PCI DSSに準拠しています。 データの脆弱性、侵害、漏えいについて懸念と不安を抱えたまま2019年を迎えました。 そのため、セキュリティは常にホットな話題であり、人々の関心事であり続けているのです。

アッピーパイでは、お客様の決済情報を常に保護することを徹底しています。 Stripeは、Appy PieのPCI準拠の決済代行会社で、クレジットカードの有効期限とCVVとともに、お客様の郵便番号を保持します。

このフォームに記入することで、「私のデータを売らないでください」というリクエストを出すことができます。

SOC 2認証

お客様は、私たちのプラットフォームを信頼して、課金や請求書発行などの重要なプロセスをお任せください。その見返りとして、私たちはお客様の利益と顧客のプライバシーが大切に保護されることを保証します。

SOC 2認証は、アッピーパイなどのSaaSサービスプロバイダーがお客様のデータを安全に管理し、お客様の利益とお客様のプライバシーが常に保護されることを保証するものです。

Appy PieのSOCコンプライアンスは、財務報告を内部で管理する必要がある企業や、監査の際に内部統制を導入しているベンダーをアピールする場合に特に適しています。

このフォームに記入することで、「私のデータを売らないでください」というリクエストを出すことができます。

ISO 22301:2019

社会的安全保障-事業継続マネジメントシステム-要求事項、は、破壊的な事故が発生した場合に、その事故から保護し、発生の可能性を低減し、準備し、対応し、回復するためのマネジメントシステムを計画、確立、実施、運用、監視、レビュー、維持および継続的に改善するための要件を規定したマネジメントシステム規格である。

ISO22301:2019の認証を取得しており、万が一、破壊的な事故が発生した場合でも、対処・復旧できるように備えています。

  • アピ-パイ-LLPアピ-パイ-LLP

ISO 27001:2013

ISO27001は、情報セキュリティマネジメントシステム(ISMS)の認証であり、ISMSは基本的に方針と手順の枠組みである。 情報を安全に保つことを目的とした組織の情報リスクマネジメントプロセスに関連するすべての法的、物理的、技術的管理が含まれる。

私たちはISO27001:2013を取得し、リスクの特定、インプリケーションの評価、そして私たちが行うすべてのことに信頼を与えるようなシステム化された管理の導入に取り組んでいます。

  • アピ-パイ-LLCアピ-パイ-LLC
  • ISO27001 Appy-Pie-Ltdアッピーパイ
  • ISO27001-LLPISO27001-LLP


製品アクセシビリティ・テンプレート(VPAT)

アッピーパイでは、508条に準拠したVPAT(Voluntary Product Accessibility Template)を作成しています。 508条要件の各側面や、各基準に対する当社の対応について詳しく説明しています。

当社のVPATには、508条(2017 Refresh)、WCAG(Web Content Accessibility Guidelines)2.0 Success Criteria & Conformance Requirements(レベルA、AA、AAA)のほか、欧州アクセシビリティ基準EN 301に関する文書が収録されています。 レポートの全文はこちらでご覧いただけます。

GDPR

アッピーパイでは、GDPRを遵守し、アッピーパイのサービスおよびプラットフォームに適用される、同規則が定めるガイドラインに従ってすべての個人データを処理しています。

GDPRとは、個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679を指し、指令95/46/ECを廃止している。

このフォームに記入することで、「私のデータを売らないでください」というリクエストを出すことができます。

EUのデータ転送メカニズム

GDPRは、主に欧州経済地域(EEA)に所在する管理者と処理者に適用され、個人データがEEA外に転送された場合、GDPRの保護が失われるリスクがあります。 このような理由から、GDPRは、何らかの方法で個人の権利が保護されない限り、個人データのEEA外への転送を制限しているのです。 最近まで、EU-USプライバシーシールドと標準契約条項の2つの方法がありました。

しかし、最近の動きとして、EU司法裁判所は、データの移転に関するEU-USプライバシーシールドフレームワークを無効とした。 しかし、標準契約条項は、EU、スイス、英国以外のプロセッサーへのデータ移転のためのツールまたはメカニズムとして、依然として有効です。

アッピーパイでは、すべての個人情報が保護されるよう、データの転送に関する標準契約条項(SCC)を定めています。 アッピーパイでは、データ管理者及び処理者として、所定のコンプライアンスポリシーを実施・遵守することにより、お客様が責任を持って顧客サービスを提供できるよう取り組んでいます。

シーシーピーエー

カリフォルニア州消費者プライバシー法は、カリフォルニア州民のプライバシー権および消費者保護を強化することを目的とした州法である。

アッピーパイでは、CCPAを遵守し、プラットフォームを通じてお客様から収集した個人情報のすべて、またはいずれかについて、透明性を確保しています。 アッピーパイのCCPAポリシーは、こちらをご覧ください。

このフォームに記入することで、「私のデータを売らないでください」というリクエストを出すことができます。

ペネトレーションテスト、脆弱性スキャン、パッチ適用

アッピーパイでは、サードパーティ製のソフトウェアやサービスのパッチをチェックし、適用することを習慣としています。 万が一、脆弱性が発見された場合は、最優先で修正プログラムを適用しています。 また、Amazon Inspectorのサービスを利用して、毎月脆弱性スキャンを実施しています。

Appy Pieは、第三者の専門家であるBishop Foxに侵入テストを依頼しました。該当のレポートは、[email protected] にメールを送信することで入手できます。

物理的セキュリティとネットワークセキュリティ

Appy Pieは、開発拠点をNSEZ, Noida(インド)に、販売・サポート拠点をWarrenton, Virginia(米国)、London(英国)、Noida(インド)に置いています。 オフィスには監視カメラが設置されており、その映像は権限のある担当者によって定期的に監視されています。 万一、火災が発生した場合、火災警報器やスプリンクラーで感知し、被害を軽減することができるようになっています。 さらに、施設管理チームが定期的に消防訓練を実施し、緊急時の避難方法について従業員に教育しています。 オフィスには24時間365日電源を供給し、停電時にもスムーズに機能するよう、代替無停電電源装置でサポートしています。

Appy Pieのすべてのアプリは、Amazon Web Services上で作成・ホスティングされ、データベースやアプリケーションサーバーのインフラはAmazonが管理・保守しています。

アプリケーションを保護する第一のレイヤーは、通常のDDoS攻撃やその他のネットワーク関連の侵入に対抗するために装備されたAWSのファイアウォールによって提供されます。 2層目の保護は、Appy Pie独自のアプリケーションファイアウォールによって提供され、問題のあるIP、ユーザー、スパムを監視しています。 アプリケーションに保存されるすべてのアカウントパスワードは、一方向ハッシュ化および塩漬けされていることは注目に値します。

Appy Pieは、すべてのアプリケーションをホストするために、マルチテナントデータモデルを使用しています。 アピパイでは、お客様ごとに固有のテナントIDを付与した仮想プライベートクラウドで、アプリケーションごとにサービスを提供しています。 アプリケーションは、ログインしているテナントのデータのみを取得できるように設計・検証されています。 この戦略的な設計により、どのお客様も他のお客様のデータにアクセスすることができないようになっています。 アプリケーション開発チームによるアプリケーションへのアクセスも制御、管理、監査されます。 アプリケーションやインフラにアクセスするたびに、詳細なログが作成され、その後、監査が行われます。

電子メール([email protected])でアポイントメントをお取りいただき、実際にご来社いただき、現場のセキュリティ対策を検証していただくことも可能です。

管理業務

責任と尊敬を集める組織として、私たちはデータを保護し、お客様のデータを安全に保つことに非常に慎重です。 組織の従業員は、スマートカードを使用して認証された後にのみオフィスへのアクセスが許可され、オフィスの機密エリアは認証された人員のみがアクセスすることができます。

データ損失の防止

アピパイでは、最適なデータ損失保護を提供するための対策として、データ損失保護の世界的リーダーであるCoSoSys社のEndpoint Protectorを使用しており、物理的またはデジタル手段による不適切なデータ送信を防止しています。 つまり、会社のデータを他の大容量記憶装置にコピーすることはできないし、その強力なセキュリティを使って電子メールに添付するなどして送り出すこともできない。

データストレージ

お客様のデータの保護とセキュリティは、アッピーパイにとって重要な問題であるため、アプリケーションとお客様のデータのセキュリティを誠意と責任を持って管理しています。 ただし、このプラットフォームを利用して作成された個々のアプリのプロビジョニングやアクセス管理は、個々のアプリ所有者の判断に委ねられます。

Appy Pieの開発チームは、本番サーバー上のデータにアクセスすることはできませんが、アプリケーション、インフラ、Webコンテンツ、デプロイメントプロセスへの変更は、内部変更管理プロセスの一環として、広範囲に文書化されます。

当社のプラットフォームは、お客様の氏名、電子メールアドレス、電話番号などの限られた情報を収集しますが、これらの情報はアカウント作成のためにのみ保持されます。 Stripeは、Appy PieのPCI準拠の決済代行会社で、クレジットカードの有効期限とCVVとともに、お客様の郵便番号を保持します。

アッピーパイでは、お客様のデータの完全性と保護を非常に重視しており、システムからのアプリケーションログと、アプリケーションおよびお客様のデータの2種類のデータ履歴を管理しています。 これらのデータはすべて、アマゾンの最新クラウドコンピューティングプラットフォームであるAWSに保存され、複数の場所で6時間ごとにバックアップが取られています。

データベースのバックアップは毎日行われ、35日間維持される。 お客様のデータは、2つの方法でバックアップされています。

  1. プライマリーデータセンターでシステム障害が発生した場合、異なるデータセンターで継続的にバックアップが維持されます。 万が一、いずれかのデータセンターで大災害が発生した場合でも、お客様が失うデータはわずか5分程度という堅牢なバックアップ体制が整っているからです。

  2. データは毎日永続的なストレージにバックアップされ、15日間保持されます。

欧米では、AES256bit規格(鍵強度-1024)で静止データを暗号化し、AWS Key Management Serviceで鍵を管理しています。 FIPS-140-2標準の暗号化技術により、appypie.comでホストされているすべてのアカウントの転送中のデータを暗号化しています。 さらに、独立したドメインでホストされているアカウントには、安全なソケット接続を可能にするオプションが用意されています。

開発・テストのために多様な環境を使用し、システムへのアクセスは、情報の分類に応じた必要性と知識に基づいて厳格に管理され、職務分掌が組み込まれ、四半期ごとに見直しが行われています。

モバイルセキュリティ

アッピーパイでは、Kryptowireのモバイルアプリケーションセキュリティテスト(MAST)ソリューションを使用して、アッピーパイのすべてのアプリを安全にし、すべてのプラットフォームユーザーのデータプライバシーを保証しています。

私たちは、Kryptowireを使用して、国際的に認められた最高のソフトウェア保証基準に対して、あらゆるモバイルデバイスのセキュリティとプライバシーを継続的に評価しています。
– 米国国立標準技術研究所(NIST)
– 国家情報保証パートナーシップ(NIAP)
– オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)

データの削除または冗長化

アカウントを削除した場合、そのアカウントに関連するすべてのデータは14営業日以内に破棄されます。 しかし、アカウント所有者がデータのバックアップを希望する場合、Appy Pie製品ではデータのエクスポートオプションを提供しています。

問題や脅威を報告する

万が一、Appy Pieのユーザーのデータセキュリティやプライバシーに影響を与える可能性のある問題、セキュリティ事故(違反や潜在的脆弱性など)、欠陥に遭遇した場合は、私たちに連絡し、懸念事項と詳細を明記した上で、[email protected]

お客様のご要望は直ちに検討し、問題の特定や再現、脅威を直ちに解決するための手段の決定や戦略の考案について、お客様のご指導をお願いする場合があります。

同社は、社内の法律顧問によって承認されたプライバシーポリシーを持ち、https://www.appypie.com/privacy-policyで公開されています。また、アッピーパイが使用する決済ゲートウェイ(Stripe)は、PCIに準拠しています。