SecureCodingHubのセキュリティ

保存されているすべてのデータはAES-256暗号化を使用して暗号化されています。データベースボリューム、バックアップ、ファイルストレージはすべて、専用のキー管理サービスで管理される鍵で暗号化されています。

クライアントと当社サーバー間のすべての通信はTLS 1.3を使用しています。すべてのエンドポイントでHTTPSを強制し、HSTSヘッダーと証明書透明性監視を実施しています。

お客様のデータはアプリケーション層で論理的に分離されています。各組織のデータは厳格なアクセス制御で分離されており、クロステナントでのデータ漏えいが発生しないようにしています。

エンタープライズのお客様は、SAML 2.0シングルサインオンを使用してIDプロバイダーと統合できます。Azure AD、Okta、OneLoginなど、主要なIdPをすべてサポートしています。

MFAサポートにより、ユーザーアカウントにセキュリティの追加層を加えることができます。第二要素認証のためにTOTPベースの認証アプリをサポートしています。

セッションは短命のトークン、自動有効期限、失効機能で暗号的に保護されています。非アクティブなセッションは設定可能なタイムアウト期間後に終了します。

当社はインフラとアプリケーションの第三者ペネトレーションテストを定期的に実施しています。発見事項はトリアージされ、優先順位付けされ、重大度に応じて修正されます。

当社のCI/CDパイプラインには、自動化された依存関係スキャンとソフトウェア構成分析が含まれています。サードパーティライブラリの既知の脆弱性はフラグが付けられ、迅速に対処されます。

セキュリティ研究者向けに責任ある開示プログラムを運営しています。脆弱性を発見された場合は、ご報告いただければ、解決に向けて協力させていただきます。

当社はサービス提供に必要なデータのみを収集します。不必要な個人情報は収集せず、第三者にユーザーデータを販売することもありません。

データは、それが収集された目的を達成するために必要な期間のみ保持されます。データが不要になった場合、安全に削除または匿名化されます。

ユーザーはいつでも自分のアカウントおよび関連データの削除を要求できます。削除リクエストは速やかに処理し、30日以内に完了を確認いたします。

本番環境へのすべての変更は、作成者の直近のワーキングペア以外のエンジニアが少なくとも1名参加するプルリクエストレビューを通過します。CIではプッシュごとに単体テスト、統合テスト、セキュリティチェックが実行されます。本番環境へのデプロイは別の承認ステップを経ます。緊急変更は、同じ週に振り返りレビューを行う文書化されたブレークグラス手順に従います。インフラの変更はコードとして管理され、アプリケーションコードと同じワークフローでレビューされます。

ソフトウェア構成分析はプルリクエストごと、およびメインブランチに対して毎晩スケジュールで実行されます。重大および高重大度のアドバイザリは、オンコールエンジニアにアラートを発し、週単位ではなく日単位で測定される目標修正期間が設定されます。中および低のアドバイザリは週次レビューでまとめて処理されます。コンテナーベースイメージは固定の頻度で再構築されるため、推移的なオペレーティングシステムパッチがアプリケーションの変更を必要とせずに本番環境に到達します。

インシデント対応計画では、4段階の重大度ティア、エスカレーション経路、およびインシデントごとの単一の責任者を定義しています。一次対応者は封じ込めとお客様への連絡を担当し、専任の調査者が技術的な手がかりを追跡します。インシデント後のレビューは非難を伴わず、クロージャまで追跡されるアクションアイテムとともに文書化された記録を作成します。計画は実際のインシデントが発生する前に筋肉記憶として残るよう、年に少なくとも2回スクリプト化されたシナリオに対してリハーサルされます。

貴社のセキュリティチームが契約ペネトレーションテスト、社内レビュー、または製品の通常利用中に何かを発見した場合は、最初に公開で議論するのではなく、当社のセキュリティチームに直接ご報告ください。2営業日以内に受領を確認し、追跡識別子を共有し、問題が解決するまでステータス更新を提供いたします。当社は協調的開示をパートナーシップとして扱います。

お客様の管理者はテナント内でロール割り当てを管理します。当社が推奨する原則は、社内で適用しているものと同じです。ユーザーが業務を行えるよう、最も狭いロールを割り当て、その割り当てを定期的なサイクルでレビューします。特に管理者アクセスは、名前が記録された少人数のグループに限定すべきであり、そのグループは組織内で人々の役割が変わる際に監査されるべきです。

人が貴社組織から離れる際、IDプロバイダーで無効化することで、SCIMを通じてプラットフォームからのアクセスが除去されるはずです。30シート以上の組織には、手動のユーザー管理よりもSCIMベースのプロビジョニングを強くお勧めします。今すぐSCIMを採用できない場合、名前が指定された担当者がいるアカウントレベルのオフボーディングチェックリストが次善の統制となります。

プラットフォームの可用性とサービス低下インシデントを記載したステータスページ。サブプロセッサーのリスト。現行のデータ処理付帯条項。このセキュリティページ自体。SOC 2 Type IIが完了次第、レポートはNDA下でアカウント担当窓口を通じてご請求いただけます。お客様に影響する重要なポリシー更新は、変更履歴に埋もれることなく、アカウント担当窓口を通じて告知されます。

社内ネットワークアーキテクチャ図、詳細な認証フロー、セキュリティチームが使用する具体的なツール、個々の鍵レベルでの鍵ローテーションスケジュール、セキュリティチームのスタッフの氏名と役職。これらのいずれも、議論で必要とされる際(例えば調達主導のセキュリティレビュー中)にはNDA下でレビューできますが、公開ページに掲載すべきものではありません。これらを公開することは、お客様に実質的な利益をもたらすことなく、標的型攻撃のコストを下げることになります。