データ保護とデータ・セキュリティ

データ・セキュリティが重要な理由とAppy Pieの意味

デジタル世界では、データセキュリティの重要性は、クライアントだけでなく、お客様にとっても重要です。どの段階でもデータの脆弱性はエコシステム全体に重大な影響を与える可能性があります。

ビジネス・オーナーとして、製品やサービスを顧客に提供するサービスまたはプラットフォームを選択する場合、基本的には、顧客と顧客間のリンクを選択することになります。このため、プラットフォームが最適なセキュリティ基準に準拠し、データから収集する機密データすべてに対して保護を提供する適切な認定を受けることが重要です。このデータには、Eメールアドレス、住所、連絡先、支払い情報、その他の機密データが含まれます。

お客様には、ビジネスの過程で提供されるデータが安全に保持され倫理的に処理され、知識や同意がない限り誰とも共有されないという責任があります。

Appy Pieでは、厳格なセキュリティ対策を講じており、どの段階でもプロセスに脆弱性がないことを確認するために取り組んでいます。AppyPie.comは、あらゆるやり取りを通じてお客様にエンタープライズクラスのセキュリティとコンプライアンスを提供します。

以下にリストされているのは、当社のクライアントとお客様の顧客が悪質な活動から保護されることを保証するために AppyPie.com が講じた認証およびコンプライアンス対策です。

PCI DSSコンプライアンス

Appy Pieが使用する決済ゲートウェイはPCI DSS準拠です。2019年には、データの脆弱性、違反、およびリークに対する懸念と不安を抱いて参加しました。そのため、セキュリティは引き続き話題であり、国民の関心事となっています。

Appy Pieは、お客様の支払い情報を常に保護するために、お客様自身を責任とします。Appy PieのPCI準拠の請求に対応する支払いプロセッサであるStripeは、クレジット・カードとCVVの有効期限とともに、顧客の住所を保持します。

このフォームに入力することで、「データを販売しない」というリクエストを発行できます。

SOC 2認証

.当社のクライアントは、請求、請求などの重要なプロセスを処理できるほど自社のプラットフォームを信頼しており、その代わりに、顧客の利益と顧客のプライバシーが尊重され保護されていることを保証します。

SOC 2構成証明により、Appy PieなどのSaaSサービスプロバイダーがデータを安全に管理し、お客様の利益とクライアントのプライバシーが常に保護されるようにします。

Appy PieのSOCコンプライアンスは、財務報告を内部で管理する必要がある企業や、監査中に内部統制を導入したベンダーを紹介する必要がある企業に特に適しています。

このフォームに入力することで、「データを販売しない」というリクエストを発行できます。

ISO 22301:2012

社会のセキュリティ – ビジネス継続性管理システム – 要件は、管理システムの標準です。管理システムの計画、確立、実装、運用、監視、確認、保守、および継続的な改善を行う要件を指定します。管理システムは、発生の可能性を保護し、発生の可能性を減らし、発生した場合に備え、対応し、停止から回復します。

当社はISO 22301:2012認定を取得しており、必要に応じて破壊的なインシデントの処理と復旧に備えています。

  • Appy-Pie-LLPAppy-Pie-LLP

ISO 27001:2013

ISO 27001認証は、情報セキュリティマネジメントシステム(ISMS)の認証であり、本質的にポリシーと手順の枠組みです。これには、情報のセキュリティ保護を目的とした組織の情報リスク管理プロセスに関連するすべての法的、物理的、および技術的な制御が含まれます。

当社はISO 27001:2013の認証を取得しており、リスクの特定、影響評価、およびシステム化された管理の実施に取り組んでおり、当社のすべての活動に対する信頼を鼓舞しています。

  • Appy-Pie-LLCAppy-Pie-LLC
  • ISO27001 Appy-Pie-LtdAppy-Pie-Ltd
  • ISO27001-LLPISO27001-LLP


VPAT(Voluntary Product Accessibility Template)

Voluntary Product Accessibility Template (VPAT)Appy Pieは、第508条の標準に従ってボランタリーなプロダクトアクセシビリティ・テンプレート(VPAT)を作成しました。第508条の要件のそれぞれの側面と、各基準のサポート方法について詳しく説明しています。

当社のVPATには、セクション508(2017年更新)、ウェブコンテンツアクセシビリティガイドライン(WCAG)2.0達成基準および適合要件(レベルA、AA、AAA)、および欧州アクセシビリティ規格EN 301に関するドキュメントが含まれています。レポート全体はこちらからご覧いただけます。

GDPR

Appy PieはGDPRに準拠しており、Appy Pieのサービスおよびプラットフォームに適用される規制に従って、すべての個人データを処理します。

GDPRは、個人データの処理に関する自然人の保護、および個人データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則(EU)2016/679、および指令95/46/ECの廃止を指します。

このフォームに入力することで、「データを販売しない」というリクエストを発行できます。

EUデータ転送メカニズム

GDPRは、主に欧州経済領域EEAに所在する管理者および処理者に適用され、個人データがEEA外に移転された場合、GDPRの保護を失うリスクがあります。このため、GDPRは、個人の権利が何らかの方法で保護されていない限り、EEA外への個人データの転送を制限しています。最近まで、これを行うには、EU-US プライバシーシールドと標準契約条項の 2 つの方法がありました。

しかし、最近の開発では、欧州連合(EU)と米国のプライバシー・シールド枠組みを無効にした。ただし、標準契約条項は、EU、スイス、イギリス以外のプロセッサへのデータ転送のツールまたはメカニズムとして有効です。

Appy Pieでは、すべての個人データが保護されるように、データの転送のために標準契約条項(SCC)を用意しています。Appy Pieでは、データコントローラとプロセッサの両方として、所定のコンプライアンスポリシーを実装し、遵守することで、顧客が責任を持って顧客サービスを提供できるようにすることを約束しています。

CCPA

カリフォルニア州消費者プライバシー法は、カリフォルニア州住民のプライバシー権と消費者保護を強化することを目的とした州法です。

Appy PieはCCPAに準拠しており、プラットフォームを通じてクライアントから収集されたすべての個人データまたは任意の個人データについて透過的です。Appy PieのCCPAポリシーを読み取るには、 a href=”https://www.appypie.com/ccpa-policy”>こちら

をクリックしてください。

このフォームに入力することで、「データを販売しない」というリクエストを発行できます。

侵入テスト、脆弱性スキャンおよびパッチ適用

Appy Pieでは、サードパーティのソフトウェア/サービスのパッチをチェックして適用しています。脆弱性が発見された場合は、最優先で修正を適用します。また、脆弱性のスキャンは、Amazon インスペクタのサービスを使用して毎月実行されます。

Appy Pieは、サードパーティの専門家による侵入テストを受けています。Bishop Foxと関連するレポートは、[email protected]にEメールを送信して取得できます。

物理およびネットワークセキュリティ

Appy Pieは、開発センターをNSEZ、Noida(インド)、バージニア州ウォーレントン(米国)、ロンドン(英国)、Noida(インド)に販売/サポート・オフィスを開設しています。事務所には監視カメラが設置されており、その映像は許可された職員によって定期的に監視されています。火災時に発生する可能性の低い火災を検出し、被害を軽減するために、火災報知器と水スプリンクラが設置されています。さらに、緊急避難手順について社員に教育を行うため、構内管理チームが通常の防火訓練を実施します。24時間365日体制の電源装置を備えており、停電が発生した場合でも円滑に機能するように、別の無停電電源装置(PSU)システムでサポートされています。

Appy Pieのすべてのアプリはアマゾンウェブサービス上で作成およびホスティングされ、データベースとアプリケーションサーバーのインフラストラクチャはAmazonによって管理および維持されています。

アプリケーションの保護の最初のレイヤーは、通常のDDoS攻撃やその他のネットワーク関連の侵入に対抗するために装備されたAWSのファイアウォールによって提供されます。2番目の保護レイヤは、問題のあるIP、ユーザ、スパムを監視するAppy Pie自身のアプリケーションファイアウォールによって提供されます。アプリケーションに格納されているすべてのアカウントパスワードは、ハッシュ処理と塩処理が一方向であることに注意してください。

Appy Pieでは、マルチテナントのデータモデルを使用して、すべてのアプリケーションをホストしています。個別の仮想プライベートクラウドを通じて、Appy Pieが各アプリケーションにサービスを提供します。ここで、各お客様に固有のテナントIDが割り当てられます。アプリケーションは、ログインしているテナントのデータのみをフェッチできるように設計および検証されます。お客様が他のお客様のデータにアクセスできないようにする戦略的な設計です。アプリケーション開発チームによるアプリケーションへのアクセスも、制御、管理、監査されます。アプリケーションとインフラストラクチャにアクセスするたびに、詳細なログが作成され、その後監査が行われます。

お客様は、当社の物理的な場所に来て、[email protected]からEメールでアポイントメントを設定し、サイトで実行されるセキュリティ対策を検討することを歓迎します。

管理オペレーション

責任を持ち尊敬のある組織である当社は、データの保護とお客様のデータのセキュリティ確保に極めて慎重に取り組んでいます。組織の従業員は、スマートカードを使用した承認後にのみオフィスへのアクセスを許可され、オフィスの機密エリアにアクセスできるのは、承認された担当者のみです。

データ消失保護

最適なデータ損失保護を提供するための対策として、Appy Pieでは、データ損失保護の世界的リーダーであるCoSoSysによるエンドポイントプロテクターを使用しており、物理的またはデジタル的な手段によるデータの不適切な送信を防止します。つまり、会社からのデータを他の大容量記憶装置にコピーしたり、強力なセキュリティを使用して添付ファイルやその他の形式で電子メールで送信したりすることはできません。

データ・ストレージ

お客様のデータの保護とセキュリティはAppy Pieにとって深刻な問題です。そのため、お客様はアプリケーションと顧客のデータのセキュリティを誠実かつ責任を持って管理します。ただし、プラットフォームを使用して作成された個々のアプリケーションのプロビジョニングとアクセス管理は、個々のアプリケーション所有者の判断に基づいて行われます。

Appy Pieの開発チームは、本番サーバ上のデータにアクセスすることはできませんが、アプリケーション、インフラストラクチャ、Webコンテンツ、導入プロセスに対する変更は、内部変更管理プロセスの一部として幅広く文書化されています。

当社のプラットフォームでは、お客様の名前、Eメールアドレス、電話番号など、お客様に関する限られた情報を収集します。これらの詳細は、アカウントの作成時にのみ保持されます。Stripe, Appy PieのPCI準拠の支払いプロセッサで請求要求を処理し、クレジットカードおよびCVVの有効期限と同時にお客様の郵便宛先を保持します。

Appy Pieは、お客様のデータの整合性と保護を非常に重視し、次の2種類のデータ履歴を保持しています。システム、アプリケーションおよびお客様のデータからアプリケーションログを取得します。これらのデータはすべてAmazonの最新のクラウドコンピューティングプラットフォームに保存され、AWSとバックアップは6時間ごとに複数の場所で実行されます。

データベース・バックアップは毎日バックアップされ、35日間保持されます。お客様のデータは、次の二つの方法でバックアップされます。

  1. ライマリ・データ・センターでシステム・フェイルオーバーが発生した場合は、異なるデータ・センターで継続的バックアップが維持されます。これは堅牢なバックアップのおかげです。いずれかのデータ・センターで起こりそうもない災害が発生した場合、お客様はわずか5分のデータしか失われません。

  2. データは毎日永続的なストレージにバックアップされ、15日間保存されます。

ヨーロッパおよび米国では、AWS Key Management Serviceによってキーが管理され、AES 256ビット標準(キー強度- 1024)が保存データの暗号化に使用されます。FIPS-140-2標準の暗号化は、安全なソケット接続を介して行われ、appypie.comでホストされているすべてのアカウントについて、転送中のすべてのデータを暗号化するために使用されます。さらに、独立したドメイン上でホストされているアカウントに対して利用できるオプションがあり、セキュアなソケット接続を可能にします。

開発とテストの目的で多様な環境が使用され、情報分類に従って行う/知る必要があるシステムにアクセスするための厳格な管理システムが整備されており、職務分掌が組み込まれており、四半期ごとに見直されています。

データの削除または冗長性

アカウントを削除すると、そのアカウントに関連付けられているすべてのデータは14営業日以内に破棄されます。ただし、アカウント所有者がデータのバックアップを希望する場合、Appy Pie製品はデータエクスポートオプションを提供します。

問題と脅威の報告

Appy Pieユーザーのデータセキュリティまたはプライバシーに影響を与える問題、セキュリティ上の問題(違反や潜在的な脆弱性など)、または欠陥が発生した場合は、お問い合わせください。[email protected]にメールを送信してください。そうすれば、できるだけ早く作業を進められるようになります。

お客様のリクエストは直ちに調査され、当社がお客様に連絡し、問題の特定または複製、手段の決定、または脅威を直ちに解決するための戦略の策定に関するご指導をお願いする場合があります。

同社はプライバシーポリシーを持っています,内部弁護士によって承認されました, https://jp.appypie.com/使用-条件で公開されています&支払いゲートウェイ(Stripe) Appy Pieが使用され、PCIに準拠しています。