Security Policy - Japanese
このセキュリティポリシーは、Problem Free Limited が提供する製品、サービス、ウェブサイト、およびアプリに適用されます。本声明において、これらの製品、サービス、ウェブサイト、およびアプリを総称して「サービス」と呼びます。このセキュリティポリシーは、FreeOnlineSurveys、KwikSurveys、Shout のお客様向けの利用規約の一部でもあります。
人材のセキュリティ
Problem Free Limited の全従業員に対して、継続的に包括的な意識向上トレーニングプログラムを実施し、顧客のクラウドデータを適切に保護する必要性を強調しています。また、契約業者にも関連する従業員に適切な意識向上トレーニングを提供するよう求めており、特定の要件について説明しています。
暗号化
ユーザー(管理者を含む)とクラウド環境との間の取引は、デフォルトで TLS 1.2+ を使用して暗号化されています。物理的に安全なデータセンターから移動される場合、顧客データは保存時に暗号化されます。プロダクションサーバー間で送信されるデータ(データベースなど)は、専用のプライベートネットワーク、プライベート仮想LAN、または暗号化チャネルを介してのみ通信されます。
物理的セキュリティ
当社の主要なデータベースおよびウェブサーバーは、英国の信頼できるデータセンターに設置されています。当社のデータセンターは、24時間365日の現地セキュリティ、CCTV監視、RFキー カードによるアクセス制御を備えています。データセンターは、ISO 27001 情報セキュリティ管理認証を取得しています。バックアップは Amazon S3 クラウド(EU)に転送される前に暗号化されます。利用するすべてのデータセンターは、適切な物理的セキュリティを備えています。
アクセス制御とログ記録
当社は、すべての内部管理システムに対して「どこでも認証」の原則を採用しています。従業員は、自分の役割の遂行に必要な場合のみシステムおよび個人データへのアクセスを許可されます。顧客アカウントへのアクセス(当社のスタッフを含む)やアカウント上で行われる重要な操作の監査ログを、法的およびセキュリティ上の目的で記録します。従業員の会社システムへのアクセスは、終了後24時間以内に取り消されます。複雑なパスワードポリシーが施行されています。サーバーログは外部のログアグリゲーターに送信されます。
資産管理
すべての会社のハードドライブは、完全ディスク暗号化されています。会社によって適切に保護されたデバイスのみが、会社のネットワークにアクセスできます。従業員のPCには標準としてファイアウォールがインストールされており、少なくとも週に一度、脆弱性をスキャンするアンチマルウェアソフトウェアが導入されています。
開発
当社のサービスは、エンタープライズグレードの Microsoft .NET MVC プラットフォーム上に構築されており、ORM を使用して顧客データベースと連携します。これにより、SQLインジェクションなどの一般的なセキュリティ脆弱性の多くを防止します。コードを分散ソース管理システムからステージング環境に移動し、レビューおよびテスト後、プロダクション環境に展開するためのデプロイメントオートメーションシステムを使用しています。ステージングシステムとプロダクションシステムは常に分離されています。
脆弱性テストおよびパッチ管理
当社は、サーバー上で定期的に脆弱性スキャンを実施し、関連する問題を特定します。セキュリティパッチは定期的にレビューされ、適切な場合はサーバーに適用されます。
ウェブアプリケーションファイアウォールとセキュリティプロキシ
当社のサーバーは、DDOS 攻撃に対する専門的な防御、疑わしいまたは危険な活動をフィルタリングするウェブアプリケーションファイアウォール、既知の「悪意のある IP アドレス/ユーザー」のブロック、およびさまざまな暗号化強化を提供する Cloudflare によって保護されています。当社の調査およびフォームは、エンドユーザーに高いパフォーマンスを提供するために、彼らのエッジサーバーにプッシュされます。
情報セキュリティインシデント管理
情報セキュリティイベントについて、お客様に通知することが適切であると判断した場合(それがインシデントとして扱われるべきかどうかが決定される前)、指名された顧客管理者に伝えられます。同様に、お客様はセキュリティイベントをサポートデスクに報告することができ、そこでログが記録され、適切な対策が決定されます。このようなイベントの進捗情報は、サポートデスクから取得できます。お客様のサービスやデータが影響を受けた、または受ける可能性があると判断した場合、情報セキュリティインシデントをお客様に報告します。
指名された顧客管理者または代理に対して、可能な限り迅速に、インシデントの影響および調査についての情報を共有します。各インシデントにはインシデントマネージャーが任命され、デジタル証拠の収集および保存に関連する事項を含め、インシデントに関する Problem Free Limited の連絡窓口となります。個人データに影響を及ぼす侵害の通知に関する GDPR の期限要件を満たすため、インシデント管理活動を優先します。
事業継続管理における情報セキュリティの側面
当社のプロダクションデータセンターは複数の都市に分散しており、広範な障害が発生した場合の冗長性を確保しています。データベースのトランザクションログのバックアップは15分ごとにスケジュールされ、自動的に暗号化され、リモートの Amazon S3 ストレージクラウドに転送されます。追加の完全バックアップおよび差分バックアップも定期的に行われ、同様に安全な場所に転送されます。ソースコードは分散バージョン管理で保存されています。