データ保護とデータ・セキュリティ

データ・セキュリティが重要な理由とAppy Pieの意味

デジタル世界では、データセキュリティの重要性は、クライアントだけでなく、お客様にとっても重要です。どの段階でもデータの脆弱性はエコシステム全体に重大な影響を与える可能性があります。

ビジネス・オーナーとして、製品やサービスを顧客に提供するサービスまたはプラットフォームを選択する場合、基本的には、顧客と顧客間のリンクを選択することになります。このため、プラットフォームが最適なセキュリティ基準に準拠し、データから収集する機密データすべてに対して保護を提供する適切な認定を受けることが重要です。このデータには、Eメールアドレス、住所、連絡先、支払い情報、その他の機密データが含まれます。

お客様には、ビジネスの過程で提供されるデータが安全に保持され倫理的に処理され、知識や同意がない限り誰とも共有されないという責任があります。

Appy Pieでは、厳格なセキュリティ対策を講じており、どの段階でもプロセスに脆弱性がないことを確認するために取り組んでいます。AppyPie.com は、あらゆるやり取りを通じてお客様にエンタープライズクラスのセキュリティとコンプライアンスを提供します。

以下に、AppyPie.com が認定およびコンプライアンスに関する措置を示します。この措置により、顧客および顧客が不謹慎な活動から保護されます。

PCI DSSコンプライアンス

Appy Pieが使用する決済ゲートウェイはPCI DSS準拠です。2019年には、データの脆弱性、違反、およびリークに対する懸念と不安を抱いて参加しました。そのため、セキュリティは引き続き話題であり、国民の関心事となっています。

Appy Pieは、お客様の支払い情報を常に保護するために、お客様自身を責任とします。Appy PieのPCI準拠の請求に対応する支払いプロセッサであるStripeは、クレジット・カードとCVVの有効期限とともに、顧客の住所を保持します。

このフォームに入力することで、「データを販売しない」というリクエストを発行できます。

SOC 2証明

当社のクライアントは、請求、請求などの重要なプロセスを処理できるほど自社のプラットフォームを信頼しており、その代わりに、顧客の利益と顧客のプライバシーが尊重され保護されていることを保証します。

SOC 2構成証明は、Appy PieのようなSaaSサービスプロバイダがデータを安全に管理し、顧客の関心とプライバシーが常に保護されるようにします。

Appy PieのSOCコンプライアンスは、財務報告を内部で管理する必要がある企業や、監査中に内部統制を導入したベンダーを紹介する必要がある企業に特に適しています。

このフォームに入力することで、「データを販売しない」というリクエストを発行できます。

ISO 22301:2012

社会のセキュリティ – ビジネス継続性管理システム – 要件は、管理システムの標準です。管理システムの計画、確立、実装、運用、監視、確認、保守、および継続的な改善を行う要件を指定します。管理システムは、発生の可能性を保護し、発生の可能性を減らし、発生した場合に備え、対応し、停止から回復します。

当社はISO 22301:2012認定を取得しており、必要に応じて破壊的なインシデントの処理と復旧に備えています。

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

ISO 27001認証は、本質的にポリシーと手順のフレームワークである情報セキュリティ管理システム( ISMS )の認証です。情報のセキュリティを確保することを目的とした、組織の情報リスク管理プロセスに関連する、法的、物理的、技術的なすべての管理が含まれます。

当社はISO 27001:2013の認証を受けており、リスクの特定、インプリケーションの評価に取り組み、当社が行うすべてのものに信頼を与えるシステム化されたコントロールを導入することを約束しています。

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP

Voluntary Product Accessibility Template (VPAT)

Appy Pieは、第508条の標準に従ってボランタリーなプロダクトアクセシビリティ・テンプレート(VPAT)を作成しました。第508条の要件のそれぞれの側面と、各基準のサポート方法について詳しく説明しています。

VPATには、第508条(2017 Refresh)に関するドキュメントが含まれています。Web Content Accessibility Guidelines (WCAG) 2.0 Success Criteria & Conformance Requirements (Levels A, AA, AAA) およびヨーロッパのアクセシビリティ標準EN 301.こちらでレポート全体を表示できます。

GDPR

Appy PieはGDPRに準拠しており、Appy Pieのサービスおよびプラットフォームに適用される規制に従って、すべての個人データを処理します。

GDPRは、パーソナルデータの処理およびデータの自由な移動に関して、2016年4月27日に制定された欧州議会のEU(EU)2016/679条と、自然人の保護に関する2016年4月27日の議会の規定を指し、指令95/46/ECを廃止する。

Appy PieのGDPRへのコンプライアンスは、Trust Arc氏によって評価されています。Trust Arc氏は、この点について適切な認証を受けています。

このフォームに入力することで、「データを販売しない」というリクエストを発行できます。

EUデータ転送メカニズム

GDPRは、主に欧州経済地域(EEA)内のコントローラおよびプロセッサに適用され、個人データがEEAから転送されると、GDPR保護を失うリスクがあります。このため、GDPRは、個人の権利が何らかの方法で保護されていない限り、EEA外での個人データの転送を制限します。これを行うには、最近まで二つの方法がありました。 EU-US Privacy ShieldとStandard Contractual Clausesです。

しかし、最近の開発では、欧州連合(EU)と米国のプライバシー・シールド枠組みを無効にした。ただし、標準契約条項は、EU、スイス、イギリス以外のプロセッサへのデータ転送のツールまたはメカニズムとして有効です。

Appy Pieでは、すべての個人データが保護されるようにデータを転送するためのStandard Contractual Clauses (SCCs)を用意しています。Appy Pieでは、データ・コントローラとプロセッサの両方として、規定のコンプライアンス・ポリシーを実装し、遵守することにより、お客様が責任を持ってカスタマー・サービスを提供できるように努めています。

CCPA

California Consumer Privacy Actは、カリフォルニア州住民のプライバシー権利と消費者保護を強化することを目的とした州の法律です。

Appy PieはCCPAに準拠しており、プラットフォームを通じてクライアントから収集されたすべての個人データまたは任意の個人データについて透過的です。Appy PieのCCPAポリシーを読み取るには、 こちらをクリックしてください。

このフォームに入力することで、「データを販売しない」というリクエストを発行できます。

浸透テスト、脆弱性スキャン、パッチ適用

Appy Pieでは、サードパーティのソフトウェア/サービスのパッチをチェックして適用しています。脆弱性が発見された場合は、最優先で修正を適用します。また、脆弱性のスキャンは、Amazon インスペクタのサービスを使用して毎月実行されます。

Appy Pieは、サードパーティの専門家による侵入テストを受けています。Bishop Foxと関連するレポートは、security@appypie.comにメールを送信して取得できます。

物理およびネットワークセキュリティ

Appy Pieは、開発センターをNSEZ、Noida(インド)、バージニア州ウォーレントン(米国)、ロンドン(英国)、Noida(インド)に販売/サポート・オフィスを開設しています。事務所には監視カメラが設置されており、その映像は許可された職員によって定期的に監視されています。火災時に発生する可能性の低い火災を検出し、被害を軽減するために、火災報知器と水スプリンクラが設置されています。さらに、緊急避難手順について社員に教育を行うため、構内管理チームが通常の防火訓練を実施します。24時間365日体制の電源装置を備えており、停電が発生した場合でも円滑に機能するように、別の無停電電源装置(PSU)システムでサポートされています。

Appy Pieのすべてのアプリはアマゾンウェブサービス上で作成およびホスティングされ、データベースとアプリケーションサーバーのインフラストラクチャはAmazonによって管理および維持されています。

アプリケーションの保護の最初のレイヤーは、通常のDDoS攻撃やその他のネットワーク関連の侵入に対抗するために装備されたAWSのファイアウォールによって提供されます。2番目の保護レイヤは、問題のあるIP、ユーザ、スパムを監視するAppy Pie自身のアプリケーションファイアウォールによって提供されます。アプリケーションに格納されているすべてのアカウントパスワードは、ハッシュ処理と塩処理が一方向であることに注意してください。

Appy Pieでは、マルチテナントのデータモデルを使用して、すべてのアプリケーションをホストしています。個別の仮想プライベートクラウドを通じて、Appy Pieが各アプリケーションにサービスを提供します。ここで、各お客様に固有のテナントIDが割り当てられます。アプリケーションは、ログインしているテナントのデータのみをフェッチできるように設計および検証されます。お客様が他のお客様のデータにアクセスできないようにする戦略的な設計です。アプリケーション開発チームによるアプリケーションへのアクセスも、制御、管理、監査されます。アプリケーションとインフラストラクチャにアクセスするたびに、詳細なログが作成され、その後監査が行われます。

お客様は、当社の物理的な場所に来て、security@appypie.comからEメールでアポイントメントを設定し、サイトで実行されるセキュリティ対策を検討することを歓迎します。

管理オペレーション

責任を持ち尊敬のある組織である当社は、データの保護とお客様のデータのセキュリティ確保に極めて慎重に取り組んでいます。

組織の従業員は、スマートカードを使用した承認後にのみオフィスへのアクセスを許可され、オフィスの機密エリアにアクセスできるのは、承認された担当者のみです。

データ消失保護

最適なデータ消失保護を実現するための手段として、デルのAppy Pie社では、データ消失保護の分野で世界をリードする企業を採用しています。物理的またはデジタル的な手段を通じてデータが不適切に転送されることを防止します。つまり、企業のデータを他の大容量ストレージデバイスにコピーすることはできません。また、その強力なSecurity Email GateWayまたはSEG機能を使用して、Eメールを添付ファイルまたはその他の形式として送信することもできません。

データ・ストレージ

お客様のデータの保護とセキュリティはAppy Pieにとって深刻な問題です。そのため、お客様はアプリケーションと顧客のデータのセキュリティを誠実かつ責任を持って管理します。ただし、プラットフォームを使用して作成された個々のアプリケーションのプロビジョニングとアクセス管理は、個々のアプリケーション所有者の判断に基づいて行われます。

Appy Pieの開発チームは、本番サーバ上のデータにアクセスすることはできませんが、アプリケーション、インフラストラクチャ、Webコンテンツ、導入プロセスに対する変更は、内部変更管理プロセスの一部として幅広く文書化されています。

当社のプラットフォームでは、お客様の名前、Eメールアドレス、電話番号など、お客様に関する限られた情報を収集します。これらの詳細は、アカウントの作成時にのみ保持されます。Stripe, Appy PieのPCI準拠の支払いプロセッサで請求要求を処理し、クレジットカードおよびCVVの有効期限と同時にお客様の郵便宛先を保持します。

Appy Pieは、お客様のデータの整合性と保護を非常に重視し、次の2種類のデータ履歴を保持しています。システム、アプリケーションおよびお客様のデータからアプリケーションログを取得します。これらのデータはすべてAmazonの最新のクラウドコンピューティングプラットフォームに保存され、AWSとバックアップは6時間ごとに複数の場所で実行されます。

データベース・バックアップは毎日バックアップされ、35日間保持されます。お客様のデータは、次の2つの方法でバックアップされます。

  • プライマリ・データ・センターでシステム・フェイルオーバーが発生した場合は、異なるデータ・センターで継続的バックアップが維持されます。これは堅牢なバックアップのおかげです。いずれかのデータ・センターで起こりそうもない災害が発生した場合、お客様はわずか5分のデータしか失われません。
  • ータは毎日永続的なストレージにバックアップされ、2か月間保存されます。

ヨーロッパおよび米国では、AWS Key Management Serviceによってキーが管理され、AES 256ビット標準(キー強度- 1024)が保存データの暗号化に使用されます。FIPS-140-2標準の暗号化は、安全なソケット接続を介して行われ、appypie.comでホストされているすべてのアカウントについて、転送中のすべてのデータを暗号化するために使用されます。さらに、独立したドメイン上でホストされているアカウントに対して利用できるオプションがあり、セキュアなソケット接続を可能にします。

多様な環境は開発とテストの目的で使用され、情報のクラス分け(Secutive of Secutions)が組み込まれ、四半期ごとにレビューされる、情報のクラス分けに応じて、必要に応じてシステムにアクセスするための厳密な管理システムが導入されています。

データの削除または冗長性

アカウントを削除すると、そのアカウントに関連づけられているすべてのデータが14営業日以内に破棄されます。ただし、アカウントの所有者が自分のデータのバックアップを希望する場合は、Appy Pie製品でデータのエクスポートオプションを利用できます。

問題と脅威の報告

Appy Pieユーザーのデータセキュリティまたはプライバシーに影響を与える問題、セキュリティ上の問題(違反や潜在的な脆弱性など)、または欠陥が発生した場合は、お問い合わせください。

security@appypie.comにメールを送信してください。そうすれば、できるだけ早く作業を進められるようになります。

お客様の要求はすぐに調査され、お客様に連絡を取り、問題の特定または複製、および脅威を直ちに解決するための手段の決定、または戦略の策定に関するガイダンスをお客様に依頼します。

同社は、社内の弁護士によって承認されたプライバシー・ポリシーを持っています。このポリシーはhttps://jp.appypie.com/terms-of-useで公開されています。また、Appy Pieが使用する支払いGateWay(Stripe)はPCIに準拠しています。